Le marché de la sécurité de l’IA entre dans une nouvelle phase

Après une phase d’effervescence et d’exploration, le marché des solutions de sécurité de l’IA entre désormais dans une phase de consolidation. Le secteur voit émerger des dynamiques de maturité que nous avons captées à travers l’évolution de notre radar des solutions.

Depuis la publication de notre précédente édition,

(https://www.wavestone.com/fr/insight/radar-2024-des-solutions-de-securite-ia/),

5 acquisitions majeures ont eu lieu :

• Cisco a acquis Robust Intelligence en septembre 2024
• SAS a acquis Hazy en novembre 2024
• H Company a acquis Mithril Security fin 2024
• Nvidia a acquis Gretel en mars 2025
• Palo Alto a annoncé son intention d’acquérir ProtectAI en avril 2025

Ces mouvements traduisent une volonté claire des grands acteurs de sécuriser leurs positions en absorbant des startups technologiques clés.

En parallèle, notre nouvelle cartographie recense 94 solutions, contre 88 dans l’édition d’octobre 2024. Quinze nouvelles solutions font leur entrée dans le radar, tandis que huit ont été retirées. Ces sorties s’expliquent principalement par des abandons ou des pivots stratégiques : certaines startups n’ont pas réussi à trouver leur marché, tandis que d’autres choisissent de réorienter leur positionnement, en capitalisant sur leur expertise en intelligence artificielle pour adresser des enjeux dépassant le cadre strict de la cybersécurité.

Enfin, un changement de paradigme s’opère : les solutions ne se limitent plus à un empilement de briques techniques, mais convergent vers des architectures de défense intégrées, conçues pour répondre durablement aux exigences des grandes organisations. L’interopérabilité, la scalabilité et l’alignement avec les besoins des grandes entreprises deviennent les nouveaux standards. La cybersécurité de l’IA s’affirme désormais comme une stratégie globale, et non plus comme une somme de réponses ponctuelles.

Pour refléter cette évolution, nous avons fait évoluer notre propre grille de lecture en créant une nouvelle catégorie, AI Firewall & Response, qui résulte de la fusion de nos catégories Machine Learning Detection & Response et Secure Chat/LLM Firewall.

Le meilleur ou l’essentiel ? Le dilemme de l’intégration

Avec l’intégration croissante de briques de sécurité IA dans les offres des principaux fournisseurs Cloud (Microsoft Azure, AWS, Google Cloud), une question stratégique émerge :
Faut-il privilégier des solutions expertes ou s’appuyer sur les capacités natives des hyperscalers ?

• Les solutions spécialisées offrent une profondeur technique et une couverture ciblée, en complément d’une sécurité existante.
• Les briques intégrées sont plus faciles à déployer, interopérables avec l’infrastructure existante, et souvent suffisantes pour des usages standard.

Il ne s’agit pas ici de trancher, mais d’éclairer les possibilités. Voici un aperçu de certains leviers de sécurité activables via les offres des hyperscalers.

Filtrage

Les fournisseurs Cloud intègrent désormais des filtres de sécurité pour interagir avec les IA de manière plus sûre. Objectif : détecter ou bloquer les contenus indésirables ou dangereux. Mais ces dispositifs vont bien plus loin que la simple modération : ils jouent un rôle clé dans la défense contre les attaques adversariales, comme les prompt injections ou les jailbreaks, qui visent à détourner le comportement du modèle.

Evaluation de la robustesse

Il s’agit ici d’évaluer dans quelle mesure un modèle IA résiste à des perturbations, erreurs, ou attaques ciblées. Cela couvre :

• L’exposition aux attaques adversariales,
• La sensibilité aux données bruitées,
• La stabilité face à des prompts ambigus,
• La résilience aux tentatives d’extraction ou de manipulation.

Ces outils offrent une première évaluation automatisée, utile en amont des mises en production.

Confidential Computing

Cette approche va au-delà de la sécurité des données au repos ou en transit : elle vise à protéger les calculs en cours, grâce à l’utilisation d’enclaves sécurisées. Elle garantit un haut niveau de confidentialité tout au long du cycle de vie des modèles IA, des données sensibles ou des algorithmes propriétaires, en empêchant tout accès non autorisé.

IA agentique : un risque transversal, une sécurité distribuée

Parmi les tendances qui concentrent l’attention des experts en cybersécurité, l’IA agentique occupe une place croissante. Ces systèmes capables de prendre des décisions, de planifier des actions et d’interagir avec des environnements complexes cumulent en réalité deux types de vulnérabilités :

• Celles des systèmes informatiques traditionnels avec lesquels l’IA va interagir plus ou moins bien,
• Et celles propres aux modèles d’IA et aux orchestrateurs d’agents associés.

Résultat : une surface d’attaque élargie, et des conséquences potentiellement critiques. Mal configuré, un agent pourrait accéder à des fichiers sensibles, exécuter du code malveillant ou provoquer des effets de bord inattendus dans un environnement de production.

À cela s’ajoute un facteur nouveau majeur : l’émergence du Model Context Protocol (MCP), un standard en cours de diffusion qui permet aux LLM d’interagir de manière standardisée avec des outils et services tiers (mail, calendrier, drive…). S’il facilite la montée en puissance des agents, il introduit aussi de nouveaux vecteurs d’attaque :

• Exposition ou vol de jetons d’authentification,
• Absence de mécanismes d’authentification des outils,
• Possibilité d’attaques par injection de prompt dans des contenus apparemment anodins,
• Ou encore compromission d’un serveur MCP donnant accès à l’ensemble des services connectés.

Au-delà des failles techniques, l’imprévisibilité comportementale des agents pose un défi inédit. Parce que l’action découle directement d’une sortie de modèle IA, une erreur d’interprétation ou de planification peut entraîner une dérive majeure par rapport à l’intention initiale.

Dans ce contexte, la sécurisation de l’agentique ne relève pas d’une catégorie unique. Elle nécessite une couverture transversale, mobilisant toutes les briques de notre radar : évaluation de robustesse, monitoring, protection de la donnée, explicabilité, filtrage et gestion des risques.

Et c’est précisément ce que nous observons sur le marché : les premières réponses à la sécurisation de l’IA agentique ne viennent pas de nouveaux acteurs, mais de fonctionnalités additionnelles intégrées aux solutions existantes. Un enjeu émergent, certes, mais que les acteurs du marché commencent déjà à prendre en charge à travers des évolutions fonctionnelles intégrées aux solutions existantes.

Nos recommandations : quelles briques de sécurité IA implémenter en priorité ?

Au regard de l’évolution des menaces, de la complexité croissante des systèmes IA (notamment des agents) et de la diversité des solutions disponibles, nous recommandons de concentrer les efforts sur trois grandes catégories de sécurité, qui se complètent mutuellement.

AI Firewall & Response : une surveillance continue pour éviter la dérive

Le monitoring des systèmes IA est devenu incontournable. En effet, une IA peut évoluer de manière imprévisible, se dégrader dans le temps, ou commencer à générer des réponses problématiques sans que cela soit immédiatement détecté. Ce point devient particulièrement critique avec les IA agentiques, dont les décisions autonomes peuvent entraîner des répercussions opérationnelles majeures en cas de dérive non maîtrisée.

Face à cette volatilité, il est essentiel de pouvoir détecter les signaux faibles en temps réel (tentatives de prompt injection, dérives comportementales, biais émergents, etc). C’est pourquoi il est préférable de s’appuyer sur des solutions expertes dédiées à la détection et à la réponse, qui disposent d’analyses spécifiques et de mécanismes d’alerte adaptés à ces menaces.

Model Robustness & Vulnerability Assessment : tester pour prévenir

Avant de mettre en production un modèle, il est crucial d’évaluer sa robustesse et sa résistance aux attaques. Cela passe par du model testing classique, mais aussi par des approches plus offensives comme le AI Red Teaming, qui consiste à simuler des attaques réelles pour identifier les failles exploitables par un attaquant.

Là encore, les enjeux sont amplifiés dans le cas de l’IA agentique : les conséquences d’un comportement non anticipé peuvent être lourdes, tant en termes de sécurité que de conformité.

Les solutions du marché apportent ici une forte valeur ajoutée. Elles permettent d’automatiser les tests, de rester à jour sur les vulnérabilités les plus récentes, et parfois même de collecter des preuves utiles dans un cadre réglementaire (par exemple, dans la perspective de l’AI Act). Le coût et le temps nécessaires pour développer ces capacités en interne étant élevés, l’externalisation via des outils spécialisés est souvent plus efficace.

Ethics, Explainability & Fairness : prévenir les biais et les dérives algorithmiques

Enfin, les dimensions d’éthique, de transparence et de non-discrimination doivent être intégrées dès la conception des systèmes IA. Cela implique de tester régulièrement les modèles pour identifier des biais involontaires ou des décisions difficiles à expliquer.

Là encore, les agents IA posent des défis supplémentaires : ils prennent des décisions de manière autonome, dans des environnements changeants, avec un raisonnement parfois opaque. Comprendre pourquoi un agent a agi d’une certaine façon devient alors crucial pour prévenir les erreurs ou les injustices.

Des outils spécialisés permettent d’auditer les modèles, de mesurer leur équité et leur explicabilité, et d’aligner les systèmes sur des référentiels éthiques reconnus. Ces solutions offrent aussi des cadres de test actualisés, difficilement maintenables en interne, et permettent ainsi de garantir une IA à la fois performante et responsable.

Conclusion : construire une stratégie de sécurité adaptée à l’IA

À mesure que l’intelligence artificielle s’intègre profondément dans les opérations des grandes entreprises, sa sécurisation ne relève plus du choix — c’est désormais un impératif stratégique. L’évolution rapide des menaces, l’émergence de l’IA agentique et la complexité croissante des modèles imposent un changement de posture : il faut passer de mesures réactives à des stratégies de sécurité intégrées et proactives.

Les organisations doivent dépasser les approches fragmentées et adopter un cadre global combinant tests de robustesse, surveillance continue et garanties éthiques. L’apparition d’architectures de défense intégrées et la convergence des catégories de sécurité de l’IA témoignent d’un marché en pleine maturité, prêt à soutenir des déploiements à l’échelle entreprise.

L’enjeu est clair : identifier le bon équilibre entre outils spécialisés et capacités natives des hyperscalers, prioriser une couverture transversale, et garantir que les systèmes IA restent fiables, résilients et alignés avec les objectifs métiers.

Nous remercions Anthony APRUZZESE pour sa précieuse contribution à la rédaction de cet article. 

Cet article Radar des solutions de sécurité de l’IA 2025 est apparu en premier sur RiskInsight.

Heureusement, les ordinateurs quantiques ne sont pas encore suffisamment performants pour mener de telles attaques. Les estimations varient quant à la date à laquelle cela deviendra une réalité, mais beaucoup prévoient une échéance entre 2033 et 2037. Par ailleurs, les régulateurs ont commencé à définir des échéanciers pour la fin de vie des algorithmes existants : le NIST a publié un draft avec pour échéance 2035, tandis que l’ASD australien a annoncé 2030 comme date limite. Nous anticipons que d’autres nations publieront des annonces similaires dans les mois à venir. 

Ainsi, quelle que soit la date précise d’émergence des ordinateurs quantiques capables de briser les algorithmes cryptographiques actuels, une transition sera incontournable pour des raisons régulatoires. 

Migrer une infrastructure informatique complexe n’est pas une tâche triviale : selon un mémorandum de 2022, l’administration Biden estimait le coût de la migration de toutes les agences fédérales américaines à plus de 7 milliards de dollars. Un tel projet implique de nombreux aspects, depuis l’évaluation des risques jusqu’à l’exécution technique de la migration, avec de nombreuses étapes intermédiaires. Des solutions existent pour accompagner ou accélérer ces étapes. 

Le radar 2025 des solutions de migration post-quantique de Wavestone offre un premier panorama visuel des solutions leaders du marché pour cette migration et a été et continuera à être mis à jour et enrichi dans les mois à venir. Toute entreprise qui pense devoir y figurer est encouragée à nous contacter.

Le but de ce radar n’est pas de recenser toutes les solutions ayant complété leur transition PQC, mais bien des solutions qui aident et accélèrent cette migration.

Catégories 

La distribution de clés quantiques (QKD) a été envisagée mais rejetée comme catégorie. Bien que résistante aux ordinateurs quantiques, la QKD n’est pas techniquement une technologie de cryptographie post-quantique ni une solution recommandée par les différents régulateurs. 

• Inventaire : Automatisation de l’inventaire le type et l’emplacement de toute cryptographie utilisée. 
• Gestion de la migration : Fournir une vue d’ensemble de la transition post-quantique, souvent basée sur les résultats d’inventaire. 
• HSM/PKI/CLM conformes PQC : Fournir des composants de confiance numérique essentiels la plupart des services et résistants aux ordinateurs quantiques. 
• Bibliothèques/Embedded services : Chiffrer et signer des données avec des bibliothèques polyvalentes ou des solutions intégrées au cloud. 
• Protection périmétrique : Ajouter une couche de sécurité supplémentaire contre les attaques quantiques, notamment via l’encapsulation du trafic et des wrappers pour les applications critiques (e-mails, messagerie instantanée, etc…). 
• Analyse de réseau : Détection des flux réseau utilisant une cryptographie obsolète via des sondes.

Tendances clés du marché 

Une disparité de tailles 

La structure du marché des solutions de sécurité post-quantiques présente des disparités significatives en termes de taille et de maturité des acteurs. À une extrémité du spectre, les géants technologiques et les entreprises de cybersécurité établies s’appuient sur des ressources considérables pour développer et promouvoir des solutions robustes. À l’autre extrémité, des startups de niche et des pure players impulsent des avancées rapides dans des domaines spécialisés. Nous prévoyons que cette diversité favorisera : 

• L’innovation : La diversité du marché, entre géants technologiques et acteurs de niche, accélère le rythme et la qualité des innovations. 
• La fragmentation : Les petits acteurs peuvent avoir du mal à atteindre une échelle suffisante pour déployer leurs solutions largement. 
• Les partenariats : Des collaborations comme celles de Thales et IBM montrent comment les grandes entreprises peuvent profiter des innovations de pure players dans leur segment spécifique en les combinant avec leurs ressources et leur expertise.

Au fur et à mesure que le marché mûrit, il sera passionnant de découvrir comment il se structure.

Des bibliothèques open-source avec le soutien des géants de la tech 

Plusieurs bibliothèques open source proposent déjà de la cryptographie post-quantique. Les bibliothèques les plus connues, comme OpenSSL, ne sont pas les plus avancées sur ce point, leurs propres implémentations étant en cours, alors que des bibliothèques comme liboq éditée par Open Quantum Safe sont déjà prête à être utilisée. Néanmoins, il est encourageant pour l’écosystème de la cybersécurité qu’un sujet aussi crucial que la sécurité post-quantique repose sur des solutions profondément ancrées dans les principes de l’open source.

Cependant, les grandes entreprises de la tech jouent un rôle central en soutenant ces bibliothèques open source, reconnaissant leur potentiel pour accélérer l’adoption et l’innovation. Des initiatives telles que liboq d’Open Quantum Safe bénéficient du soutien de Microsoft, Amazon et IBM ; les fonction PQC de Bouncy Castle ont été développées avec la participation significative de Keyfactor, et Tink, la bibliothèque open source de Google, intègre également des solutions de cryptographie post-quantique. Néanmoins, la plupart de ces implémentations n’ont pas encore été pleinement vérifiées formellement, bien que le processus soit en cours.

Un manque de certification pour les HSMs… 

Les Hardware Security Modules (HSMs) jouent un rôle crucial dans la chaîne de confiance numérique, mais le marché pour ces solutions matérielles n’est pas encore prêt à date. Les fournisseurs ont initialement recouru à des implémentations logicielles à des fins d’expérimentation en attendant la publication du nouveau standard par le NIST. Cependant, les implémentations matérielles ont progressé depuis, quand bien même leur certification n’est pas attendue avant T3 ou T4 2025.

En outre, bien que les HSMs soient conçus pour résister aux altérations et réduire les risques d’exposition des clés, ils devront faire face aux défis liés aux attaques par side-channel, en raison de la maturité encore limitée des implémentations actuelles de ces nouveaux algorithmes.

Et un manque de hardware pour l’IoT, les dispositifs embarqués et les smart cards 

Le manque de matériel est particulièrement problématique pour les objets connectés (IoT), les dispositifs embarqués et les smart cards, qui fonctionnent sous des contraintes sévères – puissance limitée, capacité de calcul réduite et espace de stockage restreint – nécessitant ainsi des algorithmes efficaces et un matériel spécialisé dédié pour les opérations cryptographiques. Malheureusement, l’absence actuelle de processeurs dédiés reste un obstacle majeur.

De plus, la nature décentralisée des dispositifs embarqués représentera un défi considérable à surmonter, car la mise à niveau des équipements hérités sera complexe et coûteuse.

Fort dynamisme du Marché 

La sécurité post-quantique est un sujet encore émergent. Cependant, le marché actuel des solutions dans ce domaine est extrêmement dynamique ; les entreprises, les gouvernements et les institutions se mobilisent pour faire face aux risques émergents, alimentant ainsi une vague d’innovations et d’offres technologiques spécialisées. Cette dynamique sera encore renforcée par les pressions réglementaires attendues, telles que celles exercées par le NIST et l’ASD, qui obligeront les organisations à adopter des solutions robustes et conformes.

Un marché international et souverain 

Le marché de l’informatique quantique est à la fois mondial et étroitement lié aux questions de souveraineté nationale. Les grandes nations considèrent l’informatique quantique comme une priorité stratégique, investissant des centaines de milliards de dollars pour assurer leur souveraineté dans ce domaine émergent.

En revanche, le marché de la sécurité post-quantique adopte une perspective beaucoup plus internationale. Les entreprises actives dans ce secteur proviennent de divers pays, bien que les États-Unis demeurent le leader incontesté. De plus, des partenariats internationaux se distinguent dans ce domaine. Par exemple, Thales collabore avec IBM, CryptoNext et bien d’autres, combinant leurs expertises respectives pour offrir des solutions avancées à leurs clients.

Un marché des solutions post-quantiques prometteur mais encore incomplet  

Comme évoqué, le marché est extrêmement dynamique. La question reste de savoir si les besoins de l’écosystème pour une transition post-quantique sont actuellement satisfaits. À date, l’écosystème matériel n’est pas encore prêt, notamment avec des HSMs qui manquent de certifications et des dispositifs IoT qui ne disposent pas de puces dédiées. Néanmoins, notre analyse du marché indique qu’il est en pleine évolution. D’après la manière dont nous conseillons nos clients dans la planification et la mise en œuvre de leur migration, les solutions du marché répondent ou répondront prochainement à la plupart des besoins de nos clients.

Notre radar constitue la première édition dans ce domaine. En ce sens, nous encourageons vivement toute entreprise absente de cette édition à nous contacter pour remédier à la situation.

Cet article Radar 2025 des solutions de sécurité post-quantique est apparu en premier sur RiskInsight.

Cet été marque une avancée majeure dans le domaine de la cybersécurité avec la publication des standards NIST de cryptographie post-quantique. Cette publication marque l’aboutissement de nombreuses années de travail, le processus de standardisation ayant été commencé en 2016, la recherche mathématique, elle, a duré des décennies.

Cette nouvelle était attendue avec impatience par la communauté cyber tant la menace est réelle : un ordinateur quantique suffisamment performant rendrait toute la cryptographie asymétrique actuelle obsolète. Cela implique l’impossibilité d’échanger des clés de chiffrement de même que la possibilité de signer numériquement des documents. En bref, cela signifierait la fin des garanties de confidentialité et d’intégrité pour les communications.
Il est difficile de décrire l’étendue des conséquences tant elles sont nombreuses que représenterait l’impossibilité de communications sécurisées sur internet.

Pour parer à cela, 3 nouveaux standards cryptographiques ont été identifiés :

• ML-KEM (nommé CRYSTAL-KYBER pendant le processus), le nouveau standard principal pour le chiffrement et donc l’échange de clés
• ML-DSA (CRYSTAL-Dilithium), le nouveau standard principal de signature numérique
• SLH-DSA (Sphincs+), la solution de secours pour la signature si ML-DSA se révélait vulnérable.

A noter qu’une solution de « secours » pour le chiffrement, FN-DSA (FALCON), sera publiée dans un futur proche.

Les standards sont publiés, mais les efforts post-quantiques ne sont pas finis, bien au contraire !

Les intégrations commencent : les éditeurs et développeurs en action

La publication des standards permet de passer à l’étape suivante du processus de sécurité post quantique : l’intégration des algorithmes par les grands éditeurs et développeurs de solutions technologiques.

Ces travaux ont évidemment commencé préalablement mais on peut citer l’intégration des algorithmes post-quantiques à la roadmap de développement de Tink[1], la librairie de cryptographie bien connue de Google. On peut également saluer le partenariat entre IBM et Thales [2]pour une sécurité post-quantique complète, du VPN à TLS en passant par la signature numérique de documents. Microsoft[3] a également indiqué que des efforts étaient en cours pour une transition post-quantique de leurs services, de leur offre cloud au on-premise. Même Apple[4] dans la sphère grand public a lancé la migration de iMessage vers des algorithmes post-quantiques.

Mais attention, la sécurité post-quantique n’est pas soudainement une réalité. Ceci est et sera un long processus, qui repose notamment sur les efforts de tous les fournisseurs de services IT. Il est encourageant de constater que ce sujet est pris au sérieux par les leaders du marché.

Aux grandes organisations d’agir !

La sécurité post-quantique ne concerne pas seulement les GAFAM, toutes les grandes organisations doivent entamer leur transition vers ce nouveau paradigme. Nous recommandons de réfléchir et d’adopter dès maintenant une stratégie en la matière, à noter que les agences américaines ont l’obligation de la faire depuis le Quantum Computing Cybersecurity Preparedness Act (2022).

Les étapes majeures de cette stratégie de migration sont nombreuses et elle doit couvrir évidemment les systèmes informatiques classiques. Mais il ne faut pas oublier les systèmes industriels, les systèmes embarqués (véhicules, trains, objets connectés, systèmes déportés…). Pour chacun de ces périmètres les éléments suivants doivent être consolidés :

• Un inventaire des données et de leur durée de vie sécuritaire (« security shelf-life »), en particulier pour les données à longue durée de vie afin de prioriser les efforts.
• Un inventaire des solutions cryptographiques utilisées en interne, afin d’identifier leurs origines et les responsabilités (internes, open-source, fournisseurs…).
• Chaque utilisation de cryptographie asymétrique doit faire l’objet d’un plan de transition qui inclura un POC. A noter que la cryptographie symétrique AES ne nécessite pas de transition, à l’exception du passage à AES256 pour les données ultra-critiques (sensibles sur plusieurs décennies). Pour les anciens systèmes, au-delà de la migration des systèmes de chiffrement, il sera peut-être nécessaire de rechiffrer une partie des données stockées.
• L’ensemble de la chaîne cryptographique devra évidemment évoluer, de la PKI aux certificats en passant par les différents systèmes de chiffrement et de signature. Il faudra également être attentif aux problématiques de performance, en particulier sur les environnements embarqués.
• Les nouveaux projets doivent prendre en compte la sécurité post-quantique dès la conception :
  • Avec l’inclusion de critères de sécurité post-quantique dans l’évaluation des fournisseurs de services
  • Tous les projets internes doivent prévoir l’utilisation de cryptographie asymétriques post-quantique, des exigences équivalentes à AES256 pour la cryptographie symétrique, et des garanties équivalentes à SHA512 pour le hachage.

Face à l’ampleur de la tâche, un écosystème complet de fournisseur se développe pour accompagner la réalisation d’inventaires, l’évaluation du risque (via le scan de librairies ou de code source) et le suivi des plans d’action. C’est le cas chez Thalès, IBM ou encore Sandbox AQ.

Mais au-delà de l’outillage, il sera nécessaire d’entamer un vrai programme de transformation, mobilisant largement les équipes de la DSI, les métiers concernés mais aussi les achats si l’enjeu fournisseur est important.

Cette migration est aussi l’occasion de réfléchir plus en profondeur à la gestion de la « crypto agilité » car il faut être réaliste, ces algorithmes sont assez « neufs » et il n’est pas impossible que des failles soient découvertes et nécessitent des évolutions. Le programme de transformation devra aboutir non pas à une migration « one off » mais bien à la maitrise d’une cryptographie agile dans l’organisation.

L’histoire montre qu’il faut trois à quatre ans pour entamer et compléter ce type de migration. Et ce sujet ne sera pas facile à faire avancer, tant il est invisible vis-à-vis des métiers. Espérons que des réglementations, en particulier en Europe, mettent le sujet en lumière !

Risques et timeline : à partir de quand agir ?

Les estimations varient quant à la date à laquelle un ordinateur quantique sera en mesure de « casser » un chiffrement RSA à l’état de l’art. La plupart la situe entre 2030 et 2040, avec une concentration d’estimations aux alentours de 2033-2035. La NSA exige une cryptographie exclusivement post-quantique de ses fournisseurs de logiciels, firmware et équipements réseau dès 2030, dès 2033 pour certains autres (e.g. O.S.) et 2035 pour l’ensemble de ses fournisseurs[5]. A noter que la cryptographie post-quantique doit être proposée dès 2025 dans certains cas de figure.

Même si personne ne peut savoir quand exactement les ordinateurs quantiques seront suffisamment sophistiqués, ne pas être prêt à l’horizon 2033 implique d’accepter des risques aux lourds impacts pour les données les plus sensibles.

Cependant une autre menace existe dès aujourd’hui. En effet, nous sommes tous exposés dès maintenant au risque de « Harvest Now, Decrypt Later » qui consiste au stockage à grande échelle de communications internet pour leur déchiffrement futur avec un ordinateur quantique (ou lorsque des clés de chiffrement fuitent). Ce risque concerne évidemment des entités aux capacités très spécifiques, à savoir les agences étatiques ou groupes d’attaquants soutenus par ces dernières. Seules les organisations dont les données représentent un intérêt stratégique pour ces agences sont les plus à risques. Cette particularité a fait démarrer les migrations chez certains acteurs particuliers.

Mais pour tous, vu les efforts requis et la zone de risque à l’horizon 2030, c’est dans le plan d’action 2025 qu’il faut prévoir les premières phases de bilan et de construction du plan projet !

[1] https://developers.google.com/tink/roadmap?hl=fr

[2]https://cpl.thalesgroup.com/blog/data-security/thales-joins-ibm-consulting-to-accelerate-pqc-readiness

[3]https://arstechnica.com/security/2024/09/microsoft-adds-quantum-resistant-algorithms-to-its-core-crypto-library/

[4] https://security.apple.com/blog/imessage-pq3/

[5] https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF

Cet article La cryptographie post-quantique est là : quelles conséquences et actions pour les grandes organisations ?  est apparu en premier sur RiskInsight.

Cet article vient dresser un panorama sur la menace liée à l’IA et les principaux mécanismes de défense afin de démocratiser leur utilisation.

L’IA introduit de nouvelles techniques d’attaques, déjà largement exploitées par les Cybercriminels

Comme toute nouvelle technologie, l’IA introduit de nouvelles vulnérabilités et de nouveaux risques qu’il convient d’adresser en parallèle de son adoption. La surface d’attaque est grande : un acteur malveillant pourrait à la fois attaquer le modèle en lui-même (vol de modèle, reconstruction de modèle, détournement de l’usage initial) mais également ses données (extraire des données d’entraînement, modifier le comportement en ajoutant des fausses données, etc.).

Le Prompt injection est sans conteste la technique dont on parle le plus. Elle permet à un attaquant de réaliser des actions indésirables au modèle, comme extraire des données sensibles, exécuter du code arbitraire ou générer du contenu offensant.

Etant donné la variété grandissante des attaques sur les modèles d’IA, nous survolerons de manière non exhaustive les principales catégories :

Vol de données (impact sur la confidentialité)

Dès lors que des données servent à entraîner les modèles de Machine Learning, ces dernières peuvent être (partiellement) réutilisées pour répondre aux utilisateurs. Un modèle mal configuré peut alors être un peu trop verbeux, révélant involontairement des informations sensibles. Cette situation présente un risque de violation de la vie privée et d’atteinte à la propriété intellectuelle.

Et le risque est d’autant plus grand que les modèles sont « sur-entraînés » sur des données spécifiques (« overfitting »). Les attaques par oracle se déroulent quand le modèle est en production, lorsque l’attaquant questionne le modèle pour exploiter ses réponses. Ces attaques peuvent prendre plusieurs formes :

• Extraction/vol de modèle : un attaquant peut extraire une copie fonctionnelle d’un modèle privé en s’en servant comme d’un oracle. En interrogeant à plusieurs reprises l’accès API du modèle Machine Learning, l’adversaire peut collecter les réponses de celui-ci. Ces réponses serviront d’étiquettes pour former un modèle distinct qui imitera le comportement et les performances du modèle cible.
• Membership inference attacks (attaque par inférence d’appartenance) : cette attaque vise à vérifier si une donnée spécifique a été utilisée durant l’entrainement d’un modèle d’IA. Les conséquences peuvent être très importantes, notamment pour les données de santé : imaginez pouvoir vérifier si un individu est atteint d’un cancer ou non ! Cette méthode a été utilisée par le New York Times afin de prouver que ses articles ont été utilisés pour entrainer ChatGPT[1].

Déstabilisation et atteinte à la réputation (impact sur l’intégrité)

La performance d’un modèle de Machine Learning repose sur la fiabilité et la qualité de ses données d’entrainement. Les attaques par poison visent à compromettre les données d’entrainement pour affecter la performance du modèle :

• Déformation de modèle : l’attaque vise à manipuler délibérément un modèle durant l’apprentissage (soit à l’entraînement initial, soit après sa mise en production si le modèle continue à apprendre) afin d’introduire des biais et orienter les prédictions du modèle. En conséquence, le modèle biaisé pourra favoriser certains groupes ou certaines caractéristiques, ou être orienté vers des prédictions malveillantes.

• Backdoors : un attaquant peut entrainer et diffuser un modèle corrompu contenant une porte dérobée. Un tel modèle fonctionne normalement jusqu’à un input contenant un trigger modifie son comportement. Ce trigger peut être un mot, une date ou une image. Par exemple, un système de classification de logiciel malveillant peut laisser passer un logiciel malveillant s’il voit un mot clé spécifique dans son nom ou à partir d’une date spécifique. Du code malveillant peut aussi être exécuté[2] !

L’attaquant peut également rajouter un bruit soigneusement sélectionné pour tromper la prédiction d’un modèle sain. On parle d’exemple adversaire ou d’attaque par évasion :

• Attaque par évasion (adversarial attack): cette attaque a pour objectif de faire générer au modèle une sortie non prévue par le concepteur (se tromper dans une prédiction ou provoquer un dysfonctionnement dans le modèle). Cela peut être fait en modifiant légèrement l’entrée pour éviter d’être détectée comme entrée malveillante. Par exemple :

• • Demander au modèle de décrire une image blanche qui contient un prompt injection caché, écrit blanc sur blanc dans l’image.
  • Porter une paire de lunettes spécifique pour éviter d’être reconnu par un algorithme de reconnaissance faciale[3]
  • Ajouter un sticker quelconque sur un panneau « Stop » pour que le modèle reconnaisse un panneau de « Limitation de 45km/h »[4]

Impact sur la disponibilité

Au-delà du vol de données et de l’impact sur l’image, les attaquants peuvent également entraver la disponibilité des systèmes d’Intelligence Artificielle (IA). Ces tactiques ne visent pas seulement à rendre les données indisponibles, mais aussi à perturber le fonctionnement régulier des systèmes. On peut citer l’attaque par empoisonnement, qui aura pour impact de rendre indisponible le modèle le temps de le réentraîner (ce qui aura également un impact économique dû au coût de réentraînement du modèle). Voici un autre exemple d’attaque :

• Attaque par déni de service (DDOS) du modèle : comme toutes les autres applications, les modèles de Machine Learning sont sensibles aux attaques de déni de service qui peuvent entraver la disponibilité des systèmes. L’attaque peut combiner un nombre élevé de requêtes, tout en envoyant des requêtes très lourdes à traiter. Dans le cas des modèles de Machine Learning, les conséquences financières sont plus importantes car les tokens/prompts coûtent très cher (par exemple, ChatGPT n’est pas rentable malgré leurs 616 millions d’utilisateurs mensuels).

Deux pistes pour sécuriser vos projets d’IA : adapter vos contrôles cyber existants, et développer les mesures spécifiques de Machine Learning

Tout comme les projets en sécurité, une analyse de risque préalable est nécessaire afin d’implémenter les bons contrôles, tout en trouvant un compromis acceptable entre la sécurité et le fonctionnement du modèle. Pour ce faire, nos méthodes de risques traditionnelles doivent évoluer afin d’inclure les risques précédemment détaillés, qui ne sont pas bien couverts par les méthodes historiques.

A la suite de ces analyses de risques, des mesures de sécurité devront être implémentées. Wavestone a recensé plus de 60 mesures différentes. Dans cette deuxième partie, nous vous présentons une petite sélection de ces mesures à implémenter selon la criticité de vos modèles.

1.    Adapter les contrôles cyber aux modèles de Machine Learning

La première ligne de défense correspond aux mesures applicatives, infrastructurelles et organisationnelles de base de la cybersécurité. L’objectif est d’adapter des exigences qu’on connait déjà, qui sont présentes dans les différentes politiques de sécurité, mais qui ne s’appliquent pas forcément de la même manière pour des projets d’IA. Il faut prendre en compte ces spécificités, parfois assez fines.

L’exemple le plus parlant est celui de la réalisation de pentests IA. Les pentests classiques consistent à trouver une vulnérabilité pour rentrer dans le système d’information. Or, les modèles d’IA peuvent être attaqués sans rentrer dans le SI (comme les attaques par évasion et oracle). Les procédures de RedTeaming doivent évoluer pour traiter ces particularités, tout en faisant évoluer les mécanismes de détection et de réponse à incident afin de couvrir les nouvelles applications de l’IA.

Un autre exemple essentiel est celui de l’isolation des environnements d’IA utilisés tout au long du cycle de vie des modèles de Machine Learning. Cela permet de réduire les impacts d’une compromission en protégeant les modèles, les données d’entraînement et les résultats de prédiction.

Il faut également évaluer les réglementations et les lois auxquelles l’application de Machine Learning doit se conformer et respecter les dernières lois en vigueur sur l’intelligence artificielle (IA Act en Europe, par exemple).

Et enfin, une mesure plus que classique : les campagnes de sensibilisation et de formation. Il faut s’assurer que les parties prenantes (chef de projet, développeurs, etc.) soient formés aux risques des systèmes d’IA et que les utilisateurs soient avertis de ces risques.

2.    Les contrôles spécifiques pour protéger les modèles de Machine Learning sensibles

Au-delà des mesures classiques à adapter, des mesures spécifiques doivent être identifiées et appliquées.

Pour vos projets les moins critiques, faites simple et implémentez la base

Poison control : afin de se prémunir des attaques par empoisonnement, il faut détecter toute « fausse » donnée ayant pu être injectée par un attaquant. La mesure consiste à mettre en œuvre une analyse statistique exploratoire pour repérer les données empoisonnées (analyser la distribution des données et repérer les données absurdes par exemple). Cette étape peut être incluse dans le cycle de vie d’un modèle de Machine Learning pour automatiser les actions en aval. Cependant, une vérification humaine sera toujours nécessaire.

Input control (analyser les entrées fournies par un utilisateur) : pour contrer les attaques par prompt injection et par évasion, les entrées de l’utilisateur sont analysées et filtrées pour bloquer toutes les entrées malveillantes. Nous pouvons penser à des règles basiques (bloquer les requêtes contenant un mot spécifique) comme des règles statistiques plus spécifiques (format, consistance, cohérence sémantique, bruit, etc.). Cependant, cette approche peut avoir un impact négatif sur la performance du modèle, car les faux-positifs seraient bloqués.

Pour vos projets moyennement sensibles, viser un bon rapport investissement / couverture du risque

Des mesures, il y en a pléthores, et la littérature sur le sujet est très riche. En revanche, certaines mesures permettent de couvrir plusieurs risques à la fois. Il nous paraît intéressant de les considérer en premier.

Transform inputs : une étape de transformation de l’entrée est rajoutée entre l’utilisateur et le modèle. L’objectif est double :

1. Supprimer ou modifier toute entrée malveillante en reformulant l’entrée ou en la tronquant par exemple. Une implémentation via des encodeurs est également possible (mais sera détaillée dans la partie d’après).
2. Réduire la visibilité de l’attaquant pour contrer les attaques par oracle (qui nécessite de connaitre précisément l’entrée et la sortie du modèle) en rajoutant un bruit aléatoire ou en reformulant le prompt par exemple.

Selon la méthode d’implémentation, des impacts sur la performance du modèle sont à prévoir.

Supervise AI with AI models : tout modèle d’IA apprenant après sa mise en production doit faire l’objet d’une supervision spécifique dans des processus globaux de détection et de réponse aux incidents. Cela implique à la fois de collecter les journaux appropriés pour réaliser des investigations, mais également de surveiller la déviation statistique du modèle pour repérer toute dérive anormale. En d’autres termes, il s’agit d’évaluer dans le temps l’évolution de la qualité des prédictions. Le modèle Tay de Microsoft lancé sur Twitter en 2016 est un bon exemple d’un modèle qui a dérivé.

Pour vos projets critiques, allez plus loin pour couvrir les risques spécifiques

Il y a des mesures qui nous paraissent très efficaces pour couvrir certains risques. Bien sûr, cela implique de faire une analyse de risques en amont. Voici deux exemples (parmi tant d’autres) :

Randomized Smoothing : une technique d’entrainement visant à renforcer la robustesse des prédictions d’un modèle. Ce dernier est entraîné deux fois : une première fois avec les données d’entraînement réelles, puis une seconde fois avec ces mêmes données altérées par du bruit. L’objectif est d’avoir le même comportement, en présence d’un bruit dans l’entrée ou non. Cela limite ainsi les attaques par évasion, notamment pour les algorithmes de classification.

Apprentissage par exemples contradictoires (adversarial learning) : l’objectif est d’apprendre au modèle à reconnaitre une entrée malveillante pour le rendre plus robuste aux Adversarial Attacks. Concrètement, cela revient à labéliser des exemples contradictoires (soit une vraie entrée qui inclus une petite erreur / perturbation) comme des données malveillantes et à les ajouter durant la phase d’entraînement. En confrontant le modèle à ces attaques simulées, il apprend à reconnaître et à contrer les patterns malveillants. La mesure est très efficace mais elle implique un certain coût en ressources (phase d’entraînement plus longue) et peut avoir un impact sur la précision du modèle.

Les gardiens polyvalents – trois sentinelles de la sécurité en IA

Trois méthodes ressortent du lot par leur efficacité et leur capacité à mitiger plusieurs scénarios d’attaques simultanément : le GAN (Generative Adversarial Network), les filtres (encodeurs et auto-encodeurs qui sont des modèles de réseaux de neurones) et l’apprentissage fédéré.

Le GAN : le faussaire et le critique

Le GAN, ou Réseau Génératif Antagoniste (« Generative Adversarial Network » en anglais), est une technique d’entraînement de modèle d’IA qui fonctionne comme un faussaire et un critique travaillant ensemble. Le faussaire, appelé le générateur, crée des « copies d’œuvres d’art » (comme des images). Le critique, appelé le discriminateur, évalue ces œuvres pour identifier les fausses œuvres des vraies et donne des conseils au faussaire pour s’améliorer. Les deux travaillent en tandem pour produire des œuvres de plus en plus réalistes jusqu’à ce que le critique n’arrive plus à identifier les fausses données des vraies.

Un GAN peut aider à réduire la surface d’attaque sur deux façons :

• Avec le générateur (le faussaire) pour éviter les fuites de données sensibles. Une nouvelle base de données d’entrainement fictive peut être générée, semblable à l’originale, mais ne contenant pas de données sensibles ou personnelles.
• Avec le discriminateur (le critique) limite les attaques par évasion ou par empoisonnement en identifiant les données malveillantes. Le discriminateur compare les entrées d’un modèle avec ses données d’entrainement. Si elles sont trop différentes, alors l’entrée est classée comme malveillante. En pratique, il est capable de prédire si une entrée appartient aux données d’entraînement en lui associant un scope de vraisemblance.

Les auto-encodeurs : un algorithme d’apprentissage non supervisé pour filtrer les entrées et les sorties

Un auto-encodeur transforme une entrée dans une autre dimension, modifiant sa forme mais pas son essence. Pour prendre une analogie simplificatrice, c’est comme si le prompt était résumé et réécrit pour supprimer les éléments indésirables. En pratique, l’entrée est compressée par un encodeur supprimant ainsi le bruit (via une première couche du réseau de neurones), puis elle est reconstruite via un décodeur (via une deuxième couche). Ce modèle a deux utilisations :

• Si un auto-encodeur est positionné en amont du modèle, il aura la capacité de transformer l’input avant qu’il ne soit traité par l’application, supprimant de potentielles charges malveillantes. De cette manière, il devient plus difficile pour un attaquant d’introduire des éléments permettant une attaque par évasion par exemple.
• Nous pouvons utiliser ce même système en aval du modèle pour se protéger des attaques oracle (qui visent à extraire des informations sur les données ou le modèle en les interrogeant). Les sorties seront ainsi filtrées, réduisant la verbosité du modèle, c’est-à-dire en réduisant la quantité d’information en sortie du modèle.

Federated Learning : l’union fait la force

Lorsqu’un modèle est déployé sur plusieurs appareils, une méthode d’apprentissage délocalisée telle que l’apprentissage fédéré peut être employée. Le principe : plusieurs modèles apprennent localement avec leurs propres données et ne remontent au système central que leurs apprentissages. Cela permet à plusieurs appareils de collaborer sans partager leurs données brutes. Cette technique permet de couvrir un grand nombre de risques cyber des applications basées sur des modèles d’intelligence artificielle :

• La segmentation des bases de données d’entraînement joue un rôle crucial dans la limitation des risques d’empoisonnement par Backdoor et par Model Skewing. Du fait que les données d’entraînement sont spécifiques à chaque appareil, il devient extrêmement difficile pour un attaquant d’injecter des données malveillantes de manière coordonnée, étant donné qu’il n’a pas accès à l’ensemble global des données d’entraînement. Cette même division limite les risques d’extraction de données.
• Le processus d’apprentissage fédéré permet également de limiter les risques d’extraction de modèle. Le processus d’apprentissage rend extrêmement complexe le lien entre les données d’entraînement et le comportement du modèle, car celui-ci n’opère pas un apprentissage direct. Il devient alors difficile pour un attaquant de comprendre le lien entre les données d’entrée et les données de sorties.

Ensemble, le GAN, les filtres (encodeurs et auto-encodeurs) et l’apprentissage fédéré forment une bonne proposition de couverture de risque pour les projets de Machine Learning malgré la technicité de leur mise en œuvre. Ces gardiens polyvalents démontrent que l’innovation et la collaboration sont les piliers d’une défense robuste dans le paysage dynamique de l’intelligence artificielle.

Pour aller plus loin, Wavestone a rédigé pour l’ENISA un guide pratique pour sécuriser le déploiement d’apprentissage automatique dans lequel sont listés les différents contrôles de sécurité à établir.

En résumé

L’intelligence artificielle peut être compromise par des méthodes que l’on ne rencontrait pas usuellement sur nos systèmes d’information. Il n’existe pas de risque zéro : tout modèle est vulnérable. Pour mitiger ces nouveaux risques, des mécanismes de défense supplémentaires sont à prendre en main et à implémenter selon le niveau de criticité du projet. Un compromis devra alors être trouvé entre la sécurité et la performance du modèle.

La sécurité de l’IA est un domaine très actif, des internautes de Reddit jusqu’aux travaux de recherche poussés sur la déviation de modèle par exemple. C’est pourquoi il est important d’organiser une veille organisationnelle et technique sur le sujet.

[1] New York Times proved that their articles were in AI training data set

[2] Au moins une centaine de modèles d’IA malveillants seraient hébergés par la plateforme Hugging Face

[3] Sharif, M. et al. (2016). Accessorize to a crime: Real and stealthy attacks on state-of-the-art face recognition. ACM Conference on Computer and Communications Security (CCS)

[4] Eykholt, K. et al. (2018). Robust Physical-World Attacks on Deep Learning Visual Classification. CVPR. https://arxiv.org/pdf/1707.08945.pdf

Cet article Sécuriser l’IA : Les Nouveaux Enjeux de Cybersécurité est apparu en premier sur RiskInsight.

Retour en 2021. Une vidéo de Tom Cruise faisant disparaître une pièce de monnaie devient virale. C’est l’un des premiers buzz des vidéos deepfake ; des vidéos qui amusent et apeurent (à raison) les internautes. Avec les années, les intelligences artificielles sous toutes ses formes se sont perfectionnées, si bien qu’il est possible aujourd’hui par exemple de faire de la traduction en temps réel ou de générer des vidéos et audio de personnalités publiques plus vrais que nature. 

Le crime progressant avec les techniques et les technologies, l’intégration de l’IA au sein de l’arsenal du cybercriminel était somme toute assez naturelle et prévisible. Initialement utilisée pour des opérations simples comme le décryptage des captchas ou la création des premiers deep fakes, l’IA est désormais utilisée pour un éventail beaucoup plus large d’activités malveillantes. 

Dans la continuité de notre série sur la cybersécurité et l’IA (Attaquer une IA : un exemple concret, Quand les mots deviennent des armes : prompt Injection et Intelligence artificielle et ChatGPT & DevSecOps – Quels sont les nouveaux risques cybersécurité induits par l’utilisation de l’IA par les développeurs), nous explorons ici l’instrumentalisation de l’IA par les cybercriminels. Si l’IA permet une progression de la qualité des attaques cyber et de leur quantité, son utilisation par les cybercriminels ne remet pas fondamentalement en question le modèle de défense pour les organisations. 

L’utilisation malveillante de l’IA par les cybercriminels : détournement, marché noir, et DeepFake 

Le détournement des Chatbots grand public 

En 2023, impossible de passer à côté de ChatGPT, l’IA générative développée par OpenAI. Avec plus de 1,5 milliards de requêtes par jour, c’est un merveilleux outil, et les cas d’usages sont nombreux. Cette capacité et la valeur ajouté de ce type d’outil est largement exploitable par des attaquants. 

Si des mesures de sécurité ont été mises en place afin d’éviter une utilisation détournée à des fins malveillantes (les fameux points de modération), certaines techniques, comme le prompt injection permettent de passer entre les mailles. Certains attaquants n’hésitent d’ailleurs pas à partager leurs trouvailles sur les forums criminels. Ces techniques portent en général sur les bots les plus utilisés par le grand public : ChatGPT, Google Bard… 

Capture d’écran tirée de l’article de Slahnext

Mais d’autres outils, plus puissants, pourraient faire encore plus de dégâts. On peut citer ici DarkBert, la création de S2W Inc. Il se présente comme étant la première IA générative entrainée sur des données du dark web. La société assure poursuivre un objectif défensif, en permettant notamment une surveillance du dark web afin de détecter l’apparition de sites malveillants ou de nouvelles menaces.  

Dans leur vidéo de démonstration, ils comparent la qualité des réponses de plusieurs Chatbots (GPT, Bard, DarkBert) à la question suivante : « quelles sont les dernières attaques en Europe ? ». Dans ce cas précis, Google Bard donne le nom des victimes et une réponse assez détaillée du type d’attaques (en plus de quelques conseils basiques de sécurité), ChatGPT répond qu’il n’a pas la capacité de répondre, tandis que DarkBert est capable de répondre avec les noms, la date exacte et même les jeux de données volées en question ! Même si dans la réponse qui est faite, les données ne sont pas accessibles, il est tout à fait imaginable, à travers l’utilisation de technique d’attaque oracle (ces attaques qui combinent un ensemble de techniques pour « tirer les vers du nez de l’IA » et contourner son cadre de modération), de faire en sorte que le modèle révèle et communique les jeux de données en question. 

Le risque majeur est que les attaquants réussissent à exploiter la puissance de ces outils à des fins malicieuses, par exemple pour obtenir du code malveillant, faire rédiger des documents de fraude particulièrement réalistes, ou obtenir des données sensibles. 

Cependant, l’utilisation des techniques de prompt injection et Oracle restent (jusqu’à l’apparition d’outils qui permettront de les automatiser) assez chronophage pour les attaquants. En parallèle, les Chatbots renforcent aussi sans cesse leurs mécanismes de protection et la solidité de leur capacité de modération. 

Le marché noir des IA criminelles  

Des choses légèrement plus inquiétantes voient le jour : la publication de Chatbot d’IA générative purement criminels. Dans ce cas, les attaquants récupèrent des technologies IA en open source, en retire les mesures de sécurité, et publient un modèle « débridé ».  

On a vu notamment apparaître sur les forums des outils tels que FraudGPT et WormGPT. Ces nouveaux bots permettent donc d’aller plus loin : trouver des vulnérabilités, apprendre à pirater un site, créer des courriels de phishing, coder des malwares, les automatiser etc. Les cybercriminels vont jusqu’à commercialiser ces modèles, créant ainsi un nouveau marché noir des moteurs d’IA générative. 

Capture d’écran tirée de l’article Netenrich blog montrant les différents usages de Fraud Bot. 

Exploiter la vulnérabilité humaine : les DeepFake ultraréalistes 

L’inquiétude majeure réside dans l’utilisation accrus de DeepFake ultra réaliste. Vous avez probablement été témoin des photos désormais célèbre du pape en Balenciaga ou encore de la vidéo du débat présidentiel de 88 entre Chirac et Mitterrand, parfaitement doublée en anglais et d’un réalisme bluffant.  

Dans le dernier rapport Cybersecurity Information Sheet (CSI), Contextualizing Deepfake Threats to Organizations (Septembre 2023) publié par la NSA, le FBI, CISA relate quelques exemples d’attaques basée sur l’utilisation de DeepFake. Parmi eux, un cas survenu en 2019 au sein d’une filiale britannique du secteur de l’énergie ayant versé $243,000 à cause d’un audio généré par une IA ; les attaquants s’étaient fait passer pour le CEO du groupe, pressant le CEO de la filiale de lui verser cette somme avec la promesse d’un remboursement. En 2023, des cas d’usurpation d’identité par vidéo de CEO ont déjà été signalés.  

Ce genre d’attaque offre une nouvelle dimension au cybercrime, posant des défis en matière de vérification d’identité et soulevant des questions éthiques et légales, notamment sur la diffusion de fausses informations et d’usurpation d’identité. Elles fragilisent encore plus la vulnérabilité la plus importante en matière de cybersécurité informatique : la faille humaine. Il ne fait aucun doute que les cas de fraude au président et de phishing utilisant des DeepFake se multiplieront ces prochains mois et années. 

L’IA comme outil pour les attaquants, pas une révolution pour les défenseurs 

Il est indéniable que l’utilisation des Chatbot d’IA, qu’ils soient grand public ou criminels, vont permettre de réaliser plus d’attaques, et qui plus est, de meilleure qualité ! Montée en compétences techniques, identification de vulnérabilités, ressources clés en main ou partielle : toutes ces capacités permettent à des profils moins expérimentés de réaliser des attaques avancées, plus qualitatives et plus impactantes.  

Néanmoins, l’instrumentalisation de l’IA par les criminels ne révolutionnent pas la manière dont les entreprises vont se défendre. L’impact d’une attaque générée ou soutenue par une IA sera limité pour les organisations déjà matures, au même titre que les autres attaques. Quand vos murs sont blindés, peu importe qu’on tire au 9mm ou avec un fusil d’assaut dessus.  

Les messages, les processus, les outils seront à adapter mais les concepts sont les mêmes. Le malware le plus perfectionné et le plus automatisé aura lui aussi du mal à progresser face à une entreprise qui a bien implémenté les mécanismes de défense en profondeur et de segmentation (droits, réseau…). Au fond, même si une attaque est boostée à l’IA, il s’agira toujours de se protéger contre le phishing, la fraude, les ransomwares, le vol de données…  

En ce qui concerne les DeepFakes, la sensibilisation des collaborateurs demeurera essentielle. Il faudra ainsi adapter les formations contre le phishing pour y inclure des techniques de détection et de réaction contre cette nouvelle menace. La prévention passe enfin par de la sensibilisation aux techniques de désinformation et par l’adoptions des bons gestes (signalement, enregistrement de preuves, vérification des sources, vérification des métadonnées…). 

Evidemment, ceux ayant adopté des outils d’analyse comportementale, ou qui ont automatisé une partie de leur réponse à incident ont un peu d’avance vis-à-vis d’une potentielle compromission. Pour aller plus loin, n’hésitez pas à tester les fonctionnalités IA bêtas de vos solutions existantes (c’est une bonne manière d’intégrer progressivement l’IA dans votre stratégie de sécurité). Bien que toutes les promesses des éditeurs ne soient pas encore remplies, nous sommes convaincus que des progrès significatifs verront le jour. Pour les plus matures, profitez de votre nouveau cycle stratégie pour explorer de nouveaux outils boostés à l’IA, par exemple pour la détection des deep fakes en temps réel, capables d’analyser des flux audio et vidéo. Ils apporteront une couche de sécurité supplémentaire aux outils de détection en place. 

Pour conclure, gardons la tête froide ! 

L’adoption de l’IA par les cybercriminels est une menace sérieuse qui nécessite une réflexion et une action immédiate. Il s’agit pourtant moins de révolutionner la manière de faire de la sécurité que de l’améliorer, la tenir à jour et l’adapter.  

Les équipes sécurité devront surtout maintenir une attitude pro-active face aux défis que soulèvent l’intelligence artificielle. C’est en adaptant vos processus et en restant alerte sur l’évolution de ces technologies, que vous saurez appréhender la vague sereinement, notamment par l’amélioration de vos capacités de détection des menaces de nouvelles générations. Les techniques de défense déjà en place devraient être suffisamment adaptées pour couvrir la majorité des risques. 

Il s’agit également et surtout de ne pas négliger la sécurité votre usage de l’IA : que ce soit le risque de perte de donnée et de propriété intellectuelle avec l’usage des Chatbots grand public par vos collaborateurs, ou les risques d’attaques (empoisonnement, oracle, évasion) de vos algorithmes d’IA internes. Il est primordial d’intégrer la sécurité sur l’ensemble du cycle de développement, en adoptant notamment une approche basée sur les risques spécifiques à l’utilisation de l’IA.  

La présidente de la CNIL, madame Marie-Laure DENIS appelait de ses vœux le 11 septembre 2023 à « la nécessité de créer les conditions d’une utilisation qui soit éthique, responsable et respectueuse de nos valeurs » devant la Commission des lois de l’Assemblée nationale. Les enjeux de ces nouveaux horizons technologiques impliquent de comprendre, d’évaluer les risques et d’encadrer les usages de l’IA (notamment en les liant au RGPD). C’est déjà le bon moment pour se poser ces questions et mettre en place les processus adaptés. 

Cet article L’industrialisation de l’IA par les cybercriminels : faut-il vraiment s’inquiéter ? est apparu en premier sur RiskInsight.

Définir les ambitions et cadrer la gouvernance

Le bilan cybersécurité et son benchmark ont permis de positionner le niveau de sécurité actuel de l’organisation, reste maintenant à définir la cible à atteindre et les moyens nécessaires pour le faire. S’engage alors un travail avec les équipes cybersécurité, de la DSI et évidemment du sponsor de niveau comité exécutif ! La cible peut prendre de nombreuses formes mais elle doit dans tous les cas répondre à des enjeux métiers clairs et concrets. « Disposer globalement d’un niveau de sécurité au-dessus de la moyenne pour éviter les attaques les plus fréquentes », « Protéger les données des clients grand-publics », « Assurer la reprise de la production des usines en moins de 4 jours en cas de cyberattaques », pour des structures plus mûres « Rationaliser les investissements cyber en dégageant 20% d’économie à niveau de risque égal » voici quelques exemples d’ambitions rencontrées sur le terrain. C’est au moment de cette définition de la cible que l’on peut adopter une approche basée sur les risques, par exemple avec des cibles différentes entre les métiers ou les entités ; une approche réglementaire en ayant des niveaux différents en fonction des contraintes métiers ou une approche globale.

Chaque cible fera l’objet d’indicateurs de performances ou de risques (KPI/KRI) pour concrétiser la manière dont l’avancement sera mesuré. Ces ambitions sont ensuite traduites en un positionnement concret sur un référentiel de cybersécurité, par thématique et par périmètre. Le plus simple consiste évidemment à reprendre les résultats du benchmark précédent mais l’utilisation d’un autre référentiel est possible. Attention, cependant il va être utilisé pendant toute la durée du programme pour suivre le progrès et piloter les différentes équipes et entités, prévoyez donc une durée de vie d’au moins 2 ans ! La définition du référentiel et des indicateurs est une étape clé pour réussir son programme, prévoyez d’y consacrer du temps, il ne s’agit pas de lancer immédiatement plein de projets techniques sans y mettre la cohérence nécessaire.

Pour le pilotage de ce programme, le RSSI devra savoir s’entourer. Les filières SSI ont rarement l’expérience de porter de telle transformation et des enjeux budgétaires de ce niveau. Une bonne pratique consiste à identifier au sein de l’organisation un directeur de programme expérimenté, habitué aux rouages de l’organisation et à créer un binôme avec le RSSI. Les compétences des deux profils se compléteront naturellement, d’un coté avec l’expertise sécurité, de l’autre avec l’expertise de pilotage d’ampleur. Le choix du binôme est aussi un facteur clé de succès important, n’hésitez pas à y consacrer du temps !

Construire les budgets sur des axes clairs et savoir engager les dépenses

Après avoir reçu l’accord de principe, il faut maintenant structurer clairement l’engagement budgétaire à prévoir. A nouveau, l’enjeu majeur dans la relation avec le comité exécutif sera de faire une proposition claire et précise. Les acronymes, code projets et autres termes abscons sont à bannir. La structure d’une stratégie simple « Protéger l’environnement de travail numérique », « Chiffrer et éviter les fuites des données critiques », « Détecter les attaques sur nos actifs clés » sont quelques exemples de termes utilisés avec succès. La structuration d’un programme autour de 4 ou 5 axes, regroupant une trentaine de projets est un maximum à avoir en tête. Au-delà le reporting et le suivi deviendront trop complexes.

A noter qu’il faudra se rompre à l’exercice budgétaire évidemment sur les actions de construction (« build ») mais aussi sur les coûts additionnels de fonctionnement (« run ») sans cela, la belle remédiation ne tiendra pas longtemps… L’identification également des éléments RH (nombre de recrutements/mobilités, formations à prévoir, évolution salariale, évolution des relations hiérarchiques dans les entités ou les filiales…) sont des éléments clés à cranter dans le programme pour s’assurer de sa pérennité dans le temps. C’est clairement le bon moment pour créer une vrai filière cyber dans l’organisation et la faire piloter par un « Chief operating officer » comme toute filière majeure.

La préparation de ces différents éléments budgétaires devra également prendre en compte la difficulté observées depuis maintenant plusieurs années à pouvoir engager les budgets obtenus. Le marché est en manque criant d’expertise cyber et beaucoup de projets doivent être décalés dans le temps. Il est bon de prendre une marge de manœuvre dans le cadrage des plannings pour intégrer cette situation qui va perdurer. La temporalité d’un programme classique « année 1 cadrage, année 2 réalisation, année 3 contrôle » doit être revue pour plutôt fonctionner par vague de projets de plus petite taille et enclenchée au fil de l’eau. En résumé, il vaut mieux avoir 5 vagues de 5 projets qui aboutissent plutôt que de lancer 25 cadrages simultanément !

A noter également que ces budgets et les priorités vont devoir être revus annuellement, la menace cyber étant très dynamique, il est important de garder des lignes budgétaires souples pour s’adapter à une évolution de la menace inédite comme nous en avons connu ces dernières années.

Montrer le progrès au comité exécutif !

Une fois le programme lancé, l’enjeu sera de montrer au comité exécutif l’avancement et les effets sur les niveaux de risques. Un reporting clair, utilisant des termes simples et lié au référentiel utilisé, ajoutant une vision sur l’avancement des projets et la progression du niveau de risque, doit être prévu de manière trimestrielle voir semestrielle. Pour cranter directement le passage en mode régulier de ce reporting, il pourra être intéressant d’ajouter des indicateurs opérationnels liés au niveau de sécurité. L’enjeu étant à terme de garder un échange au moins semestriel avec le comité exécutif pour maintenir le niveau d’attention sur le sujet cyber. Ces échanges dans la durée peuvent s’articulier avec deux rendez-vous annuels, un autour des risques (évolution de la menace et des risques pesant sur l’organisation), l’autre sur les investissements (effets de projets, enjeux budgétaires et RH de l’année suivante).

Finalement, les structures les plus avancées et celles dont le cœur de métier reposent sur le numérique, peuvent envisager d’utiliser leurs investissements en cybersécurité comme des différenciateurs métiers ! Aujourd’hui les exigences cybersécurité des clients, grand public comme professionnels, augmentent rapidement et il est possible, voire souhaitable, de valoriser les investissements réalisés pour montrer que le sujet de la cybersécurité est une priorité de l’organisation ! Et pour certaines structures, la cybersécurité pourra même devenir un centre de profits, ce qui changera clairement les discussions avec le comité exécutif.

Cet article Créer une relation de confiance avec son comité exécutif : étape 3, concrétiser la transformation ! est apparu en premier sur RiskInsight.

Découvrez la présentation des Assises 2021 ci-dessous.

Cet article Assises 2021: fighting back aginst ransomware: comment le CAC40 s’organise ? est apparu en premier sur RiskInsight.

A l’occasion du lancement du mois européen de la cybersécurité et pour les Assises de la Sécurité (du 13 au 16 octobre 2021), le cabinet Wavestone dévoile la nouvelle édition de son benchmark des incidents de cybersécurité. Pour cela, le cabinet a passé en revue les interventions de son équipe de gestion de crise le CERT-Wavestone entre septembre 2020 et octobre 2021.

Cela représente 60 incidents de sécurité majeurs ayant mené à l’interruption d’activités ou à une compromission avancée du SI et ce, dans des secteurs diversifiés : industrie, secteur public, agroalimentaire, technologies de l’information, finance, etc. L’objectif de ce benchmark est d’éclairer et de montrer l’évolution de l’état de la menace cyber en France, tout en partageant les clés pour une meilleure anticipation et réaction.

« Les groupes de cybercriminels ont réussi leur transformation numérique et leur organisation en plateforme a permis de massifier et rendre plus efficace et rapide leur attaque » Gérôme Billois, Partner Cybersécurité

Au-delà du simple blocage du SI, la combinaison avec un vol de données devient de plus en plus présente. En effet, 30% des attaques ransomwares observées combinent le blocage du SI et le vol de données, ce dernier constituant un levier supplémentaire pour obtenir des gains financiers.

Des attaques ransomwares plus rapides et plus ciblées

Nous constatons une réduction du temps moyen entre l’accès initial et le déploiement du ransomware dans le système avec un minimum de 3 jours pour l’attaque la plus rapide et une moyenne de 25 jours sur les cas gérés. Les attaquants sont de plus en plus déterminés à nuire à leurs victimes. En effet, ils vont maintenant jusqu’à cibler et détruire les mécanismes de sauvegarde pour forcer le paiement de la rançon (21% des cas).

Nous constatons également que dans 90% des cas des données ont été perdues irrémédiablement. A noter, nous observons une baisse significative du paiement des rançons cette année (de 20% l’année précédente à 5% des cas). De multiples facteurs peuvent expliquer cette baisse, entre la meilleure compréhension du faible intérêt à payer (le paiement de la rançon n’accélérant en rien le temps de résolution de la crise), les actions de sensibilisation et de pression sur les intermédiaires de paiements par les différentes autorités.

D’autres types d’attaques sévissent toujours en toile de fond

La menace ransomware ne doit pas faire oublier les attaques de vols de données, de fraude et le gain de capacité d’attaques qui restent bien présentes (25%) même si celles-ci sont moins fréquentes.

En ce qui concerne les canaux d’accès pour s’introduire dans les systèmes, les principales portes d’entrée restent l’utilisation de comptes valides (23%), les emails frauduleux, phishing pour obtenir des informations (20%) et les services d’accès distants en utilisant des failles de sécurité ou des défauts de configuration (18%).

Comment ne pas être une cible facile ? Quelques conseils du CERT-W

56% des victimes n’avaient pas anticipé être la cible potentielle d’une cyberattaque. Elles n’étaient ni dotées d’un contrat de réponse à incident ni d’une cyber assurance et 42% des victimes n’avaient pas réfléchi à leur résilience en cas d’attaque.

« Même si des actions diplomatiques et judiciaires ont permis d’affaiblir l’écosystème cybercriminels, il ne s’agit pas de stopper les efforts, il faut se préparer dès maintenant grâce à des actions simples à mettre en place. » Nicolas Gauchard, Responsable du CERT Wavestone

Les actions les plus importantes sont connues :

• Identifier et protéger les systèmes et les données les plus critiques sans oublier les systèmes techniques comme l’Active Directory
• Améliorer l’efficacité de la détection des attaques avec un service spécialisé 24/7
• Savoir gérer une crise majeure en s’entrainant grâce à des exercices de gestion de crise
• Renforcer la sécurité des sauvegardes et s’entrainer à reconstruire en urgence
• Souscrire à une cyberassurance et un contrat auprès de service spécialisé en cas de crise

Cet article Cyberattaques en France : le ransomware, menace numéro 1 est apparu en premier sur RiskInsight.

Pour transformer, il faut savoir d’où l’on part…

Avant toute transformation, il est important de définir le point de départ et de partager les constats avec le comité exécutif. L’utilisation de standards internationaux pour s’évaluer est évidemment la base, l’ISO 27001/2 et le NIST CSF sont les deux références internationales : l’une plutôt européenne, l’autre plus anglo-saxonne.

Mais ce qui comptera le plus aux yeux des dirigeants, c’est un benchmark basé sur la posture de leurs concurrents et du marché dans lequel il se situe. A ce titre, nous avons développé chez Wavestone, un outillage spécifique et construit une base de comparaison qui regroupe actuellement plus de 50 grandes organisations, majoritairement internationales et basées en Europe. La qualité de cette base est essentielle pour convaincre les dirigeants, qui lors des debriefings demanderont, avec précision et souvent beaucoup de prise de recul, ce qui est fait ailleurs.

Premier élément clé d’une évaluation : poser les bonnes questions et obtenir des réponses utiles ! Dans une grande organisation, il est complexe d’évaluer finement le niveau de conformité aux règles de sécurité. L’utilisation d’une simple notation, sur une échelle classique de maturité – de 1 à 4 par exemple – atteint rapidement sa limite. Ce que nous avons choisi de faire et qui a fait ses preuves sur le terrain, c’est de répondre aux questions en exprimant un pourcentage de périmètre couvert. Par exemple,  il est possible d’avoir 80% des postes de travail avec un anti-virus simple et 20% avec un outillage moderne type EDR. La même approche est réplicable sur les questions plus organisationnelles, 50% des utilisateurs sensibilisés par l’envoi d’emails, 30% par le suivi d’un webinar et 20% par des séances en présentiel.

Dans l’inconscient collectif, cette phase d’interrogations paraît souvent longue et très consommatrice d’énergie. Elle peut en effet l’être si l’on souhaite un fort niveau de détail, la collecte de preuves ou des vérifications techniques : cela peut être utile lorsque l’organisation a déjà un fort niveau de maturité. Mais au début d’une démarche, une approche plus simple et efficace, typiquement sur une période courte d’un mois avec une charge d’une vingtaine de jours peut être suffisante pour se donner une vision concrète de la situation et suffisamment d’arguments pour obtenir des décisions et lancer le changement.

Durant la phase de préparation, il sera également important d’identifier en amont les attentes du comité exécutif. Echanger avec les membres les plus concernés autour de leurs attentes, recueillir leur avis sur la bonne manière d’aborder le sujet et les priorités de l’organisation sera essentiel pour garantir la pertinence des phases de questionnement et de restitution. Rien de pire que de faire un hors sujet le jour de la restitution !

… Et partager la réalité de la situation

Après la phase de collecte, viendra ensuite l’heure de l’analyse des résultats. Notre retour d’expérience montre qu’il est efficace de combiner plusieurs vues pour donner du sens et obtenir de l’engagement. Les classiques rosaces de conformité à l’ISO ou au NIST sont évidemment des incontournables mais s’avèrent souvent peu efficaces : trop d’axes, trop d’éléments mélangés qui donnent finalement toujours des notes moyennes.

Comme évoqué dans le billet précédent, deux indicateurs feront mouche au début de l’échange : le budget dédié à la cybersécurité et les effectifs mobilisés sur la cybersécurité. L’indicateur de budget est toujours délicat à manipuler (forte variation annuelle et méthode de comptabilisation non homogène), nous préférons souvent utiliser celui des effectifs plus stables et plus fiables). Ensuite, il est selon nous efficace de dérouler l’analyse sur 3 axes :

• Le 1^er, c’est la résistance de l’organisation aux dernières attaques connues. Elément clairement le plus efficace en debriefing avec le comité exécutif, il permet aussi d’attirer l’attention au début de la restitution. Pour réaliser cette vue, nous utilisons les retours opérationnels du CERT-W pour savoir quelles sont les dernières méthodes d’attaques des cybercriminels et nous réalisons une analyse des mesures qui sont concernées.
• Le 2^ème, c’est la posture face au marché, en croisant le niveau de conformité par rapport aux référentiels internationaux (type : « je vise 75% de conformité à l’ISO ») avec l’écart à la moyenne du marché pour l’organisation concernée (« sur la sécurité du poste de travail, je suis 3 points en dessous du marché. Sur la sécurité physique, je suis 2 points au-dessus »). Croiser ces deux axes permet d’identifier les zones prioritaires (celles où vous êtes en dessous des standards internationaux mais aussi en dessous du marché) de celles où il ne faut pas s’acharner (tout le marché est en dessous des référentiels internationaux, mais vous êtes au-dessus de la moyenne du marché).
• Le 3^ème, c’est une vue orientée « acteurs » de la transformation, organisée par les grandes entités qui seront en charge de la transformation (par exemple : au sein de la DSI, le réseau, les postes de travail, les serveurs, au sein de la direction des risques…). Cette vue est très utile pour conclure l’échange car elle met dans l’action et permet de montrer qui va devoir le plus s’investir.

Bien sûr, ces différentes vues peuvent être segmentées en fonction des pays ou des grandes unités organisationnelles pour refléter d’éventuelles disparités ou attentes de la direction.

Dans cette phase de restitution, notre retour d’expérience montre que les comités exécutifs sont de plus en plus sensibles aux sujets liés à la cybersécurité et vont poser des questions très précises et concrètes. Il faut donc s’armer de preuves et d’éléments factuels concernant l’organisation. Avoir à disposition des résultats d’audits récents, de chiffres concrets sur la durée requise pour réussir une intrusion voire même des vidéos de démonstration d’attaques peut faire basculer un comité exécutif qui prendra conscience du risque.

Entamer dès maintenant l’étape 3: la transformation de l’organisation

Décrire la situation, les difficultés et les axes de progression ne doit pas être une fin en soi. Il faut préparer des premiers arguments sur la conduite du changement. Qui doit porter la transformation ? Quelles sont les volumes financiers à prévoir ? Quel planning envisager ? Quel reporting effectuer ? Et surtout quel sponsor dans le comité exécutif pour suivre ce sujet ! Sans être une partie formelle de la restitution, amener ces éléments à la fin de l’échange permet de préparer l’étape suivante et de collecter des premières orientations.

Ces questions sont évidemment très dépendantes de l’organisation mais nous voyons des tendances se dessiner. Aujourd’hui, c’est majoritairement le RSSI au sein de la DSI qui porte la transformation, souvent épaulé par un directeur de programme expérimenté connaissant bien la structure. Concernant les budgets, pour des programmes de remédiation majeurs, les sommes oscillent dans le secteur financier entre 200 et 800 millions d’euros, et dans l’industrie entre 50 et 100 millions. Ces sommes sont engagées usuellement sur des programmes de 2 ou 3 ans et sont suivies par le comité exécutif à l’échelle trimestrielle au lancement puis un rythme semestriel peut être pérenniser.

Pour conclure la session, le plus important reste de définir la prochaine étape. Même si toutes ces restitutions n’amènent pas le lancement de programme d’investissement immédiatement, il peut être utile d’évoquer que la revue des risques prend en compte ces résultats ou proposer la réalisation d’un benchmark à nouveau l’année suivante.

Cet article Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions est apparu en premier sur RiskInsight.

Un axe fondamental ne changera pas, c’est celui de la menace, par lequel toute démarche de réflexion stratégique doit commencer. De notre point de vue, sans surprise, le Ransomware restera la menace majeure à laquelle feront face les entreprises. Depuis la fin de l’année 2019 et les nombreux faits d’arme de Maze, Sodinokibi ou plus récemment Egregor, ces attaques destructrices sont combinées à des exfiltrations massives de données, ajoutant une nouvelle dimension au chantage opéré par les criminels. Tout le monde est touché : collectivités, PME et grands groupes internationaux, que ce soit en France ou ailleurs.

De plus, comme nous l’évoquions dernièrement auprès du journal Le Monde, les opérations des cybercriminels se sont fortement professionnalisées et leur assurent un retour sur investissement élevé. Ces financements leur permettront demain d’augmenter la profondeur et la technicité de leurs attaques et ils n’hésiteront plus demain à cibler les activités cœur des métiers des entreprises (réseau industriel, systèmes de paiements…). En 2021, le bras de fer pour le paiement des rançons devrait encore s’accentuer avec un réel penchant des groupes criminels à rendre leurs attaques largement visibles. Des prémices ont été observées cette année avec l’aide d’astucieux procédés : annonce d’une attaque via des publicités sur Facebook, négociation directe avec les patients de la cible, jusqu’à l’impression de la demande de rançon via les caisses enregistreuses en magasin… Il s’agira d’anticiper au maximum ces situations, que ce soit en les jouant durant des exercices de crise ou en préparant des réponses adaptées et réfléchies en amont.  

Outre l’hydre du rançongiciel, nos équipes sur le terrain envisagent pour 2021 une croissance forte de deux autres menaces. D’une part, les attaques indirectes, utilisant les services de tiers : les cybercriminels n’hésitent pas à contourner les mécanismes de sécurité des grands donneurs d’ordre en compromettant des partenaires moins protégés, ou en visant des fournisseurs de services informatiques. D’autre part, les attaques visant les systèmes Cloud devraient s’accélérer avec de nouvelles natures de compromission. L’exploitation des vulnérabilités liées à la gestion des identités et des accès (IAM), en particulier sur les API des fournisseurs, pour compromettre des périmètres chaque jour plus critiques pour les entreprises sera au cœur des incidents de 2021. Ce sujet représente aujourd’hui un réel challenge pour les équipes IT, encore trop peu familières  aux spécificités très fortement évolutives de ces plateformes.

Face à ces différentes menaces, le RSSI devra faire preuve d’agilité et de solidité, notamment dans sa maîtrise des fondamentaux sécurité (en particulier sur l’Active Directory, application des correctifs et l’authentification multi facteurs) et dans la démonstration concrète de ses capacités de cyber-résilience (avec des engagements de plus en plus exigés sur des délais de reconstruction et sur la capacité de résilience métiers sans IT). 

En parallèle, certains sujets seront au cœur des évolutions de la DSI et le RSSI pourra les transformer en opportunité pour la cybersécurité de son organisation. Nous pensons en particulier aux projets “Digital Workplace” mais aux travaux d’optimisation des moyens à disposition, qui seront forcément lancé dans ce contexte de réduction budgétaire. Les investissements des années précédentes en cybersécurité recèlent souvent de nouvelles fonctionnalités peu connues ou utilisés, en particulier dans le cloud, et en faire l’inventaire peut être un moyen de faire progresser la cybersécurité à coût réduit.  

Sur l’angle réglementaire, 2021 verra de nouveau s’accentuer les sujets liés aux frontières numériques (“Cyber borders”), voire au protectionnisme cyber. Il va ainsi nécessiter de prendre en compte de fortes exigences d’isolation et de protection des données mais aussi l’interconnexion à des systèmes nouveaux, voir inconnus (Alibaba en Chine, Yandex en Russie…) des réseaux des organisations.

Parmi les évolutions futures à garder à l’esprit, nous identifions trois tendances : le Zero-trust, le Confidential Computing, et l’Informatique Quantique dont vous trouverez les détails ci-dessous et sur lesquelles des actions de veille devraient a minima être prévues. 

La menace se complexifie, les moyens se restreignent… Le RSSI devra montrer son agilité en 2021 et composer avec de nombreux sujets tout en maintenant un cap stratégique clair : protéger son organisation contre les cybercriminels et accompagner, voire développer de nouveaux usages numériques ! 

La transformation numérique à marche forcée

Quels sujets émergeants anticiper en 2021 et au-delà ?

Une nouvelle approche entièrement dans le Cloud avec le Zero Trust

Promu par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust a le vent en poupe ces dernières années. Pour rappel, ce système est à l’opposé de l’approche château-fort traditionnelle, qui visait à défendre le périmètre à l’aide de grands remparts (i.e. des pare-feu), mais est peu à peu devenue impuissante face aux nouvelles menaces.

En effet, la transformation numérique a eu des impacts en profondeur sur l’architecture des systèmes et les interconnexions avec des tiers. Dès lors, il n’est plus suffisant de se protéger uniquement de l’extérieur, la menace pouvant plus facilement utiliser l’écosystème de sa cible pour s’introduire dans ses systèmes et la compromettre. Gestion des accès, des identités, des comptes à privilèges sont des sujets particulièrement centraux dans le Zero Trust et qui répondent à de nombreuses problématiques d’aujourd’hui. En 2021, les entreprises continueront leur mouvement vers le cloud. C’est donc une vraie opportunité pour orienter progressivement les architectures et les systèmes sur le principe du Zero-Trust, ou, pour les retardataires, de commencer à défricher le sujet.

Une révolution dans la protection des données avec le confidential computing

Un des défis majeurs du Cloud reste la confiance avec ses différents partenaires, notamment pour les données les plus sensibles des organisations ou institutions. Pour répondre à cette problématique, des concepts comme le Confidential Computing et le data privacy by-design ont peu à peu émergé ces dernières années, ainsi que des solutions plus concrètes.

Parmi ces solutions, le chiffrement homomorphe permet à des algorithmes de chiffrer des données tout en laissant la possibilité d’effectuer des traitements sur celles-ci, réduisant donc fortement les risques de divulgation et fuite de données. IBM a un coup d’avance sur ce sujet et a partagé dès l’été 2020 une bibliothèque open source, HElib. Les jeunes pousses françaises Cosmian et Zama sont également actives sur cette thématique.

Enfin, une réponse originale à ces enjeux peut également être apportée par les données synthétiques. A l’aide d’algorithmes renforcés par de l’intelligence artificielle, les générateurs de données synthétiques comme celui proposé par la startup britannique Hazy permettent de créer des jeux de données gardant les caractéristiques et la logique de données réelles mais n’en étant pourtant aucunement. Un autre moyen pour éviter tout risque de fuite de données sur le Cloud !

La menace fantôme de l’ordinateur quantique

8 heures : c’est le temps qu’il faudra à un ordinateur quantique suffisamment puissant et fiable pour mettre à mal la sécurité de nos communications. Une course technologique internationale a déjà démarré et les entreprises et institutions doivent se préparer dès aujourd’hui, car les investissements seront lourds pour permettre les migrations techniques nécessaires. Quelles données doivent être protégées en priorité ? Quelles clauses inclure dans mes contrats dès aujourd’hui ? Quels acteurs peuvent accompagner dans ces migrations ?

De nombreuses questions se posent et doivent être répondues dès que possible. Une chose est certaine : le RSSI aura un rôle majeur dans cette révolution, s’il est un des premiers à sonner l’alarme et à anticiper les nombreux travaux qui seront nécessaires.

En France, des acteurs ont déjà pris en main comme la spin-off d’INRIA et Sorbonne CryptoNext-Security, déjà lauréate de plusieurs concours d’innovation et proposant une solution de cryptographie Quantum-safe, déjà testée par l’armée française pour une application de messagerie instantanée sur mobile.

Cet article RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ? est apparu en premier sur RiskInsight.

La crise sanitaire : un ralentissement de l’activité mais pas un coup d’arrêt

Malgré une crise sanitaire d’envergure qui les a impactées de plein fouet, les startups restent en grande majorité confiantes pour leur avenir (plus de 80% des startups interrogées).  Certaines entreprises clientes ont même priorisé leurs activités de cybersécurité pour se renforcer dans ce contexte inédit.

Ainsi, 34% des startups interrogées déclarent être à l’équilibre en termes d’opportunité commerciales, celles décrochées depuis mi-Mars ayant pu compenser celles perdues, 21% d’entre elles ont même constaté une progression !

Un chiffre rassurant, à relativiser car elles sont plus d’un tiers (37%) à avoir subi des pertes de parts de marché, notamment du fait d’arrêts d’investissements chez certains clients. Certaines ayant encore du mal à se prononcer du fait d’un manque de visibilité commerciale (8%).

Sur ce dernier point, la pertinence du secteur d’activité de ces startups vis-à-vis des nouveaux enjeux amenés par la crise sanitaire est probablement en lien. La majorité de celles qui résistent adressent en effet des sujets portés par la généralisation forcée du nomadisme et de l’accès à distance des SI : protection des données et sécurisation des échanges, surveillance et protection des actifs, gestion des accès. La réorientation de leurs efforts commerciaux vers les secteurs résilients, celui du médical par exemple, est probablement un autre facteur de ces résultats.

75% des startups interrogées ont également profité de la période pour se recentrer sur la R&D ou le marketing de leurs produits.

Des chiffres qui nous démontrent la capacité des startups à faire face à la crise, malgré le lot d’adversités et d’incertitudes qu’elle apporte, par leur grande souplesse et réactivité. Ils mettent également en avant la résilience du secteur de la cybersécurité. Elle reste en effet un enjeu principal des entreprises. Même en cette période de crise économique, elles continuent à chercher des solutions toujours plus pertinentes et efficaces pour garantir leur sécurité.

Un ralentissement particulièrement visible sur les levées de fonds

Nous comparons ici deux périodes de levées de fonds sur l’écosystème complet (startups et scale-ups cybersécurité) : période 2019-2020 (de Juillet 2019 à Juin 2020) et période 2018-2019 (de Juillet 2018 à Juin 2019).

La résilience qualitative de l’écosystème constaté précédemment masque une situation plus négative sur les levées de fonds. Les 100 millions d’euros levés en cybersécurité sur la période 2019-2020 font pâle figure face aux plus de 260 de la dernière, 2018-2019.

La période 2018-2019 avait cependant été exceptionnelle : 7 startups du radar avaient levé autour de 10 millions d’euros, 2 avoisinaient les 200 millions d’euros à elles seuls. Les levées de fonds des années précédentes n’avaient jamais atteint de tels niveaux.

2019-2020 a été exceptionnelle aussi, mais d’une manière bien différente. De belles levées ont eu lieu jusqu’en février : le top 4 a été réalisé sur cette période. Malheureusement l’activité a rapidement été impactées par la crise sanitaire. Un certain nombre de levées prévues entre Février et Avril ont été reportées.

Toutefois, un redémarrage a été constaté dès Avril (Stamus Networks) et des levées intéressantes ont suivi sur Juin (e.g. Didomi, Quarkslab). Ces résultats laissent présager une fin d’année plus fructueuse.

Comme le pressent également ACE-Management (entretien à retrouver ici), un effet de décalage de quelques mois des investissements semble se profiler et non une diminution, mettant une nouvel fois en avant le dynamisme du marché de la cybersécurité.

Autre aspect intéressant de la période 2019-2020 : les levées plus faibles sont en hausse. 7 startups ont levé entre 2,5 et 5 millions d’euros contre 3 seulement sur la période précédente. Est-ce là un indicateur potentiel de la volonté croissante des startups de réaliser des levées au plut tôt pour accélérer leur développement ? Ou peut-être assistons-nous à la préparation des prochaines générations de scale-ups ? C’est en tous cas un signe très positif pour le dynamisme de l’écosystème.

Compte tenu des caractères exceptionnels des deux périodes, il est toutefois difficile de tirer une analyse définitive. Rendez-vous l’année prochaine pour une prise de recul qui s’avérera nécessaire.

Des évolutions nécessaires dans toutes les facettes de l’écosystème pour en assurer sa réussite

Clients : prenez le risque d’aller au-delà des POCs

Les clients ont également un rôle clé à jouer dans le développement des startups françaises.

A ce titre, nous constatons que les entreprises font de plus en plus confiance aux startups françaises et les soutiennent tout en les testant : 70% d’entre elles réalisent des « Proof Of Concepts » financés par leurs clients contre 67% l’an dernier. Une augmentation que nous ne pouvons que saluer, ces investissements permettant aux pépites françaises de se développer plus rapidement.

Mais pour continuer à soutenir le développement de cet écosystème, il est également nécessaire d’accepter le risque de transformer l’essai en contractualisant avec les pépites testées. Les entreprises ont cette année davantage de mal à le faire rapidement : 30% d’entre elles peuvent mettre plus de 6 mois à signer un contrat après un POC contre 25% en 2019. La crise sanitaire peut expliquer en partie cette situation.

Travailler avec une startup peut certes représenter un risque, mais c’est également un pari sur l’avenir. Elles peuvent apporter des solutions à des problématiques auxquelles le marché « traditionnel » n’apporte pas de réponses satisfaisantes depuis des années, permettre de rester à la pointe, ou encore d’accompagner davantage l’innovation des métiers (e.g. en sécurisant de nouveaux usages), et in fine apporter des différenciants majeurs. Certains pays ont dans leurs gênes de prendre ce type de risque, c’est moins le cas en France mais rien ne nous empêche de nous transformer.

Startups : sachez identifier les prochaines pépites chez vos clients !

Même si cela semble être trivial, il est important de rappeler à quel point il est crucial de se positionner sur des problématiques ayant peu ou pas de réponse satisfaisante sur le marché « classique ».

Pour ce faire, il est essentiel pour les startups d’être à l’écoute des besoins de leurs futurs clients et de se positionner sur leurs problématiques cruciales.

L’identification ne doit pas être que technologique, mais aussi prendre en compte des critères tels que la difficulté d’intégration de la technologie dans le système d’information des clients, l’existence d’une concurrence établie ou la volonté des principaux donneurs d’ordres d’investir dans une nouvelle technologie. C’est la combinaison de ces critères qui permet d’identifier les sujets qui auront le plus de succès sur le marché !

Les produits qui nécessitent d’installer des éléments sur de très nombreux équipements du SI (e.g. un nouvel agent de sécurité sur les postes de travail) sont particulièrement difficiles à “vendre” à des grandes entreprises déjà équipées. Des approches plus passives les séduisent davantage. Cela peut se faire d’autant plus facilement pour les thèmes encore en forte évolution comme la surveillance ou l’analyse de journaux du SI.

Une concurrence d’acteurs d’envergure bien implantés peut être complexe à dépasser pour une jeune pousse. C’est le cas sur le marché des EDR par exemple, de forts arguments différenciateurs seront alors nécessaires pour percer face à des acteurs majeurs déjà reconnus. A l’inverse, des thèmes comme la cyber-résilience et la cryptographie, par exemple, restent sous-adressés par rapport aux attentes du marché, et seraient donc plus faciles à percer de ce point de vue.

Enfin, la volonté d’investissement des donneurs d’ordres est également cruciale à prendre en compte. Si on reprend le sujet de la cryptographie, l’arrivée des ordinateurs quantiques est encore trop lointaine pour qu’il fasse partie de leurs préoccupations imminentes, l’horizon dans le secteur privé se situe certainement vers 2023/2024. Ceux de l’anonymisation des données tout en gardant la cohérence des bases anonymisées (synthetic data), du Data Leakage Prevention ou du Passwordless sont également des préoccupations majeures des entreprises qui n’ont toujours pas de réponses satisfaisantes sur le marché. La rationalisation des outils des RSSI, qui sont plus en recherche d’optimisation actuellement que d’investissement dans des nièmes solutions de sécurité, est un sujet qui sera bien plus présent à court terme.

Startups : n’oubliez pas de saisir les opportunités de financement et d’accompagnement !

Cette année, encore 32% des startups interrogées n’envisagent pas de lever des fonds, et plus de la moitié d’entre elles n’a jamais été accompagné dans leur développement.

Financement et accompagnement sont pourtant des accélérateurs intéressants, d’autant plus dans le marché extrêmement rapide de la cybersécurité, où la rapidité de conquête du marché est un atout crucial (retours d’ACE-Management sur le sujet à retrouver ici).

Cette absence de volonté de faire appel à des accélérateurs, constaté depuis plusieurs années, peut en partie s’expliquer par un manque historique de structures spécialisées en cybersécurité en France, complexifiant les échanges et la valorisation des startups auprès de ces dernières.

La situation a pourtant bien évolué et la considération au niveau national de la cybersécurité s’accélère particulièrement cette année :

• L’état mobilise des fonds pour l’innovation, en particulier dans le secteur de la cybersécurité pour lequel le plan de relance économique prévoit à minima 136 millions d’euros ;
• Un grand défi dédié à la cybersécurité a été lancé, la publication de sa feuille de route en Juillet de cette année a été suivie par un appel à projets de BPI France avec des investissements de plusieurs dizaines de millions d’euros ;
• Le fond français Brienne III, lancé officiellement en Juin 2019 par un premier tour de table à 80 millions d’euros et géré par ACE-Management, est spécialisé en cybersécurité. D’autres investisseurs n’hésitent pas aujourd’hui à financer des initiatives dans ce domaine.

Autant d’opportunités à saisir pour les startups de l’écosystème, dont il serait aujourd’hui dommage de se passer ! L’actualité met d’autant plus en lumière le fait que c’est le bon moment de se tourner vers ces accélérateurs, la cybersécurité apparaissant comme un élément essentiel du « nouveau monde », où le télétravail restera inscrit dans la durée.

Ecosystème : catalysons et amplifions ces initiatives prometteuses !

Nous l’avons vu, les initiatives pour le développement de la cybersécurité fusent : l’état se mobilise (cyberdefense factory, grand défi, contrat de filière, campus cyber…), les investisseurs et incubateurs lancent également des initiatives privées.

L’état s’ouvre largement grâce à ces initiatives et adopte une posture de plus en plus tournée vers l’innovation. Espérons que ces mouvements incitent des collaborateurs des entités concernées à se lancer dans l’aventure entrepreneuriale. En effet, nos acteurs cyber étatiques disposent d’une visibilité sans pareille de la menace et utilisent des outils ou des approches qu’il serait bénéfique d’offrir au secteur privé à court ou moyen terme. La création de spin-off est encore trop timide en France comparé à d’autres pays, par exemple évidemment Israël mais aussi les Etats-Unis, où les entités étatiques sont parmi les premières pourvoyeuses de startuppers.

L’enjeu maintenant va être d’exploiter au mieux cette multiplicité de dynamiseurs potentiels de l’écosystème cyber français. Le risque serait que ces moyens d’accompagnement du marché se fassent concurrence et se dispersent, fonctionnent en silo, au point d’amener de la confusion et de « brouiller » les messages auprès des acteurs de l’écosystème.

Et cela serait vraiment dommageable. Nous sommes à l’aube d’une année charnière pour notre écosystème : toutes les composantes semblent réunies pour réaliser sa transformation et lui permettre de passer à l’échelle. La question nous semble maintenant être : réussirons-nous collectivement à concrétiser ce mouvement ? Car pour se faire, il nous semble essentiel de joindre les forces en présence, de les catalyser vers ce but commun. Un rôle que le campus cyber pourrait jouer ?

2021 : l’année de la concrétisation ?

Malgré l’effet sur 2020 des impacts de la crise sanitaire mondiale, la cybersécurité reste un secteur résilient, l’écosystème des startups françaises dans ce domaine l’a également démontré. Leurs projets de développements sont parfois décalés mais elles restent confiantes pour leur avenir malgré les challenges qu’elles ont eu et auront encore à relever.

Dans ce contexte, il reste primordial de continuer à soutenir le développement de l’écosystème. De plus en plus d’accompagnements spécialisés dans le secteur voient le jour, à ce titre 2021 sera une année charnière pour concrétiser la transformation de notre écosystème et le hisser à un niveau international.

Cet article Radar 2020 des startups cybersécurité françaises: notre analyse (2/2) est apparu en premier sur RiskInsight.

L’année dernière montrait l’amorçage de la transformation de l’écosystème des startups en cybersécurité françaises. Cette année, de nombreuses questions se posent : la dynamique a-t-elle continué en dépit de la crise sanitaire ? Comment l’écosystème y-a-t-il répondu ? Quelles actions permettraient de l’accompagner vers un passage à l’échelle ?

Un secteur toujours dynamique où certaines startups arrivent à maturité

Un panorama des startups en évolution constante

Notre radar recense désormais 152 startups en cybersécurité, ce qui représente 18 startups de plus qu’en juin 2019, soit une croissance de 13%. Concernant leur taille, on constate une forte augmentation (73%) du nombre de « moyennes entreprises », alors que celui des « très petites entreprises » et « petites entreprises » reste stable, ce qui est un signe d’un début de solidification du marché. Au total, les startups représentent plus de 1400 salariés soit 17% de plus que l’an dernier, un chiffre en augmentation pour la 4ème année consécutive.

Au niveau de leur répartition géographique, le constat est assez similaire à 2019 : le bassin parisien reste le pôle principal (on y compte plus de 60% des sièges sociaux des startups du radar). Le pôle rennais arrive en seconde position et continue à gagner en volume pour atteindre 10% de représentativité. A noter que la région de Bordeaux arrive en troisième position avec 4% de startups.

Des créations de startups toujours prometteuses

Le radar compte 16 jeunes startups créées entre début 2019 et août 2020. Parmi ces startups, on peut observer que :

• Plus d’un quart se concentre sur des sujets de protection des données: Olvid, Protected, Pineapple Technology, BusterAI
• Près d’un autre quart sur l’aide à la gestion de vulnérabilités et des activités de sécurité opérationnelle: Patrowl, V6Protect, Purplemet.
• La protection des endpoints (Nucleon Security, Glimps) complète le podium des principales thématiques adressées par ces nouvelles startups.

A noter, l’apparition de la startup Malizen qui se positionne sur le threat hunting et l’aide aux investigations des équipes de réponse à incidents, sujet encore peu représenté dans l’écosystème. Le positionnement de Moabi sur l’aide à l’audit de sécurité des firmware (logiciel embarqué), est également intéressant en regard des enjeux autours de la sécurité des objets connectés.

Ces nouvelles startups tirent le plus souvent leur origine de l’identification d’un manque sur le marché par l’un des fondateurs lors d’une précédente expérience professionnelle. Toutefois, cette année deux structures, Malizen et CryptoNext sont issues de projets de recherche. Un chiffre, certes faible, mais intéressant en comparaison aux années précédentes, d’autant plus dans un contexte français où le monde de la recherche et celui de la cybersécurité restent encore trop dissociés.

Seulement 38% des startups françaises se positionnent sur des thématiques émergentes

Le rapport des startups à l’innovation reste stable par rapport aux années précédentes. 30% des startups sont disruptives et créent de nouvelles solutions de sécurité, 8% sécurisent des nouveaux usages (IoT, Cloud, etc.). Cependant la majorité (62%) de startups réinventent des solutions existantes en proposant des améliorations. Malgré l’absence d’innovation directe, ces startups peuvent connaitre un franc succès si elles font preuves d’agilité commerciale. L’exemple parfait est Egerie Software, qui a attaqué rapidement la question de la digitalisation de la méthode d’analyse des risques Ebios Risk Manager développée par l’ANSSI.

En termes d’innovation, nous pouvons particulièrement noter le domaine de la cryptographie, où les méthodes de chiffrement actuelles sont menacées par l’arrivée des ordinateurs quantiques. C’est justement le thème de la startup Cryptonext, qui s’engage à fournir des solutions de chiffrement robustes face à ces nouvelles menaces, et s’oriente dans la cryptographie post-quantique. De son côté, la startup Cosmian se concentre sur la tendance du « confidential computing », qui permet de chiffrer les données stockées dans le cloud grâce à un algorithme de chiffrement homomorphe, et ainsi utiliser des données chiffrées dans le cloud sans devoir confier la clé au fournisseur du service. La startup Scille, également, qui a introduit le concept CYOK (Create and Control Your Own Key) via sa solution Parsec, fait du poste utilisateur la seule entité de confiance qui génère automatiquement des clés de chiffrement.

Toujours au centre des préoccupations du RSSI, l’utilisateur se voit proposer de nouveaux moyens innovants de sensibilisation, la réalité augmentée chez Cyberzen par exemple, ou de nouvelles méthodes d’authentification, comme celle d’HIA Secure, qui est un concept d’authentification utilisant « l’intelligence humaine ». Plus précisément, l’utilisateur génère lui-même des codes à usage unique après avoir résolu des challenges consistant en une suite de symboles et de caractères.

Avec la généralisation du travail à distance pour tous les salariés, la crise sanitaire de la Covid-19 a également renforcé la nécessité de sécuriser les terminaux. De nouveaux clients de sécurité avancé (EDR) Français continuent d’émerger, comme celui de la startup Nucléon. Néanmoins, certains vont plus loin dans l’innovation et c’est le cas de la startup Glimps, créée par 4 anciens salariés de la DGA, qui essaye de révolutionner la détection et l’analyse des malwares en conceptualisant le code compilé, ce qui leur permet de s’affranchir des modifications induites par la compilation, l’architecture cible et ainsi détecter des menaces inconnues sur des systèmes non standards.

La majorité des entreprises souhaitent démocratiser l’utilisation des méthodologies agiles, alors que l’intégration de la sécurité dans ces processus reste un réel défi dans la plupart des cas. Intuitem essaye d’y remédier en fournissant l’outillage nécessaire pour suivre leur Agile Security Framewok.

Enfin, avec l’émergence des objets connectés, le besoin d’une plateforme IoT sécurisée est plus important que jamais, c’est ce que Tarides propose à travers sa solution OSMOSE.

Une évolution des startups qui montre une arrivée à maturité des  premières « scale-ups »

20 startups quittent le radar cette année, soit 6 de moins que l’an dernier. Parmi ces sortantes, 5 sont à croissance très rapide (dépassant les 35 employés en moins de 7 ans d’existence), 1 est due à un rachat. Cette continuité par rapport à l’année dernière démontre une capacité croissante de l’écosystème français à sortir des premiers niveaux de “scale-ups” dans le domaine de la cybersécurité, qui peuvent réussir à attirer les plus gros acquéreurs ou des fonds de taille plus importante. A ce titre nous lançons, en commun avec BPI France, un premier suivi non exhaustif de cette catégorie. Il s’agira de continuer à enrichir la liste des scale-ups par les prochaines startups qui quitteront le radar du fait d’une croissance très rapide.

Une proportion moindre de startups sort du fait de son ancienneté uniquement (20% cette année contre 37% en 2019). Nous constatons cette année de premières mises en pause de projets (20%, sans rapport avec la crise sanitaire) et pivots hors cybersécurité (20%).

Un écosystème en plein renouveau

L’international : de plus en plus une réalité pour les startups

La crise sanitaire ne semble pas avoir ébranlé la volonté d’internationalisation des startups : cette année, près de 63% du radar déclare avoir des clients à l’étranger contre la moitié l’an dernier. Également, 13% des startups réfléchissent à s’y lancer. La cybersécurité est effectivement un enjeu mondial et se tourner vers l’international peut s’avérer une opportunité pour les startups, avec des pays où leur marché est plus mature ou important qu’en France.

Concernant les cibles d’expansion des startups, 55% souhaitent s’étendre au-delà des marchés européens. Le marché américain est la cible privilégiée par un tiers des startups désirant s’internationaliser, et certaines pépites françaises comme Sqreen ou Alsid ont déjà pris cette direction.

Toutefois, il ne faut pas négliger le marché asiatique qui, même s’il a moins le vent en poupe (seulement 18% de startups intéressées), peut s’avérer prometteur. C’est un vaste marché, où il est nécessaire d’adopter une approche ciblée. En effet, il peut être intéressant de commencer par cibler les centres économiques de Hong-Kong et Singapour, réputées de bonnes passerelles entre l’Europe et l’Asie. Singapour est particulièrement dynamique sur le sujet de la cybersécurité avec un investisseur historique (SingTel) et des structures d’incubation largement mobilisées sur le sujet, telles que ICE71 ou l’antenne de l’incubateur anglais CylonLab. Mais Hong Kong n’est pas en reste, avec un nombre important de programmes d’accélération tels que Cyberport ou le DIP (Design Incubation Programme).

2019-2020 : l’année des initiatives à l’échelle nationale

L’écosystème français en cybersécurité est en plein renouveau. De nombreuses initiatives ont vu le jour entre 2019 et 2020.

Le Ministère des Armées a ainsi inauguré en octobre 2019 la « Cyberdéfense Factory ». Il s’agit d’un lieu d’innovation croisée entre le monde civil et le monde militaire. Basé à Rennes, ce lieu permet aux startups, aux PME et aux universitaires de travailler au contact des experts de la DGA et des opérationnels des armées sur les sujets de cybersécurité. Il permettra également l’accès pour les structures sélectionnées à certaines données issues du Ministère.

D’autre part, le Comité Stratégique de filière « Industries de sécurité » a vu son contrat stratégique signé avec l’état. Ce dernier comprendre une section dédiée à la cybersécurité dont l’objectif est de faire émerger le potentiel de la France en matière de cybersécurité en alignant et mobilisant les différents acteurs sur des politiques d’éducation, d’innovation et de développement technologique. Concrètement, il favorisera les relations entre le secteur privé et l’état, mais aussi des initiatives sur le volet de l’innovation. Des premiers résultats majeurs sont attendus sur 2021.

L’initiative des Grands Défis, issus des travaux de Cédric Villani sur l’intelligence artificielle, a vu la publication de sa feuille de route cybersécurité en Juillet de cette année. Disposant d’un budget de 30 millions d’euros, elle met en avant des thèmes clés comme l’automatisation de la cybersécurité, la sécurité des PME/ETI et de l’IoT. Un appel à candidature a été ouvert via BPI France, il clôture en 2021 également. La feuille de route met aussi en avant l’importance de l’amorçage en cybersécurité, poussant à la création d’une structure dédiée pour aider les entrepreneurs à se lancer et les accompagner au plus tôt.

Enfin, le projet de Campus Cyber a été validé au plus haut niveau de l’Etat. La création de ce lieu emblématique a pour ambition de réunir les forces vives de la cybersécurité française, évidemment pour mieux protéger notre pays et ses actifs stratégiques, mais aussi pour développer son économie et faire rayonner la France à l’étranger sur ce thème. Le sujet de l’innovation devrait y être largement représenté avec la présence de startups, d’espace de démonstration ou encore potentiellement d’initiatives d’accélération ou d’incubation en cybersécurité. L’ouverture est prévue dans le courant de l’année 2021.

Ici s’achève la première partie de notre analyse sur la dynamique de l’écosystème des startups cybersécurité en France. Le panorama des startups demeure constant, avec des startups nouvellement créées montrant déjà de belles promesses. D’autres, avec déjà plusieurs années d’activité à leur actif, n’ont cessé de croître, à tel point qu’il nous a été nécessaire de créer une nouvelle catégorie: les scale-ups. Cependant, cet écosystème fait face à deux nombreuses adversités, telles que la crise sanitaire actuelle et le ralentissement des échanges internationaux qui en découle. Nous verrons donc dans une seconde partie, quelles sont les évolutions nécessaires à cet écosystème startups.

Cet article Radar 2020 des startups cybersécurité françaises : notre analyse (1/2) est apparu en premier sur RiskInsight.

Après avoir réalisé plusieurs dizaines d’interventions auprès de comité exécutif, de comités d’audit ou de conseil d’administration, je souhaitais partager avec vous les étapes essentielles pour faire progresser la relation dans la durée. La première phase de ce voyage devra permettre de créer un premier contact et à sensibiliser le comité exécutif aux enjeux de cybersécurité. Première étape, la sensibilisation ! L’objectif pour ces séances est souvent d’arriver à attirer l’attention pour pouvoir déclencher une réflexion plus approfondie dans l’organisation. Nous verrons plus tard les étapes suivantes : présenter un bilan, obtenir un budget, suivre la progression du niveau de sécurité…

Un pré-requis essentiel, savoir d’où l’on part et avec qui l’on va échanger !

Cela peut apparaitre comme un poncif, mais cet élément est certainement le plus important avant d’aller rencontrer un comité exécutif ou un conseil d’administration. Grâce à sa large couverture médiatique, le sujet de la cybersécurité est souvent déjà présent dans l’esprit des exécutifs. Mais leur degré de connaissance du numérique et leur niveau d’appétence pour le sujet peuvent changer complètement la manière d’aborder le sujet. Faudra-t-il être très didactique (en allant jusqu’à réexpliquer le principe de données, d’applications, si si) ou alors faudra-t-il tout de suite aborder des points complexes comme les dernières attaques observées et leurs méthodologies ? Vous seriez surpris de voir la diversité des niveaux entre les entreprises, mais aussi au sein d’un même COMEX. Et il est nécessaire d’intéresser chacun des acteurs, au prix d’avoir des commentaires peu amènes pendant l’intervention.

Il s’agit donc de bien préparer cette première réunion en échangeant avec d’autres membres du COMEX, leurs adjoints ou avec des personnes familières de cette enceinte pour déterminer le ton à adopter et le niveau du discours à tenir. Evidemment, les règles de fonctionnement devront aussi être connues : est-il courant que les questions soient posées au fil de l’eau ? Peut-on interpeller un membre ? Doit-on évoquer dès le début les sujets relatifs à l’entreprise ? Prévoyez de déminer le terrain en amont ! Et même s’il n’y a pas de recette parfaite, je vous livre ci-dessous les éléments que j’utilise le plus souvent pour faire de ces rencontres des moments utiles et efficaces.

Pour commencer, attirer l’attention en dévoilant les coulisses d’une attaque

Les sujets s’enchaînent rapidement durant les COMEX, les directeurs réfléchissent très très vite, il faut donc très rapidement être dans le concret et donner de la matière à réflexion, du vécu. L’élément que je trouve le plus efficace consiste à présenter une attaque récente, parue dans la presse ou ayant touché le secteur, et en décrypter les enjeux et les coulisses : quelle temporalité ? quelle motivation pour les attaquants ? quelles faiblesses dans l’entreprise ? quelle réaction en interne ? publique ? avec les autorités ? Cela aura pour effet de projeter mentalement les directeurs concernés dans leur rôle s’ils vivaient la même chose. Nous avons la chance chez Wavestone de gérer fréquemment des grandes crises cyber et nous utilisons ces éléments, à la fois sous forme de benchmark mais aussi en les anonymisant ou en accord avec les victimes, pour donner un sens très concret à nos retours d’expérience.

Enchaîner avec une généralisation sur la cybercriminalité

Une attaque, c’est bien mais ça n’explique pas tout ! Il s’agit après avoir zoomé sur un cas de le généraliser en expliquant quels sont les ressorts du fonctionnement de la cybercriminalité. Nous analysons alors les motivations des groupes criminels, leurs organisations, mais aussi et peut être surtout comment ils gagent de l’argent !

Expliquer concrètement où en est l’entreprise

C’est le bon moment pour présenter la posture IT de l’entreprise et son organisation actuelle en terme de sécurité. Il s’agit alors de la présenter simplement, avec des images claires et parlantes : êtes-vous plutôt dans un modèle « château fort » à l’ancienne ? Ou avez-vous déjà ouvert vos portes suite à la transformation numérique et avez-vous adopter un modèle porche de l’aéroport ou la sécurité est renforcée plus on va vers des systèmes critiques ? Cela permettra de concrétiser la situation.

Après cette phase de mobilisation et d’explication, vient naturellement la phase d’interrogation par les membres du comité exécutif. « Mais alors nous, nous en sommes ou face à ce risque de cyberattaque ? ». Face à cette question, soit vous avez la chance d’avoir un bilan de maturité fin et vous pouvez tout de suite le présenter, soit vous pouvez amener des premiers éléments qualitatifs voire quantitatifs partiels et expliquer qu’aujourd’hui vous avez besoin d’avoir plus de visibilité. Les éléments qui parlent sont les derniers rapports d’audits, les derniers incidents, des éléments budgétaires.

 

S’il est difficile au début de la démarche de parler budget et de se comparer car les données manquent, il est possible d’utiliser un indicateur simple et efficace, celui de vos effectifs dédiés à la cybersécurité. Nous disposons d’une base de données sur ce point et nous pouvons rapidement montrer à un COMEX où il en est rien que par sa mobilisation sur le plan RH. C’est simple et efficace pour les convaincre !

Ne pas repartir bredouille

Le risque majeur de cette sensibilisation, c’est que tout se passe bien mais que rien ne bouge ! En effet, vous pouvez avoir un message positif, « merci et rendez-vous dans un an pour une mise à jour », vous serez content mais vous n’aurez pas débloqué pour autant la situation. Il faut alors bien préparer l’étape d’après en indiquant dès cette présentation les principaux points de faiblesses ou de force ressenti et de quelle manière vous souhaiteriez les évaluer de manière plus précise.

En effet la deuxième étape est souvent la réalisation d’un bilan de maturité dédié pour bien savoir comment se positionner ! Si à ce moment, la réunion s’est déroulé, le COMEX intrigué et intéressé par le sujet voudra en savoir plus et donnera un accord de principe. Attention cela ne sera peut-être pas directement un budget, il vous renverra certainement vers le DSI ou le directeur des risques pour l’obtenir, mais vous aurez avec leur accord un levier formidable pour passer à l’étape d’après ! Rendez-vous au prochain épisode.

Cet article Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation ! est apparu en premier sur RiskInsight.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

Des challenges qui freinent la progression des start-ups

Les échanges réalisés avec les équipes de startups présentes dans le radar permettent d’identifier des challenges concrets qui pour certains sont ambitieux à relever.

Les startups ont du mal à recruter des profils adéquats

A l’instar de l’ensemble du marché, les startups cyber sont confrontées à une pénurie de main d’œuvre spécialisée. Les jeunes diplômés ne sont pas suffisamment formés à la cybersécurité dans les écoles françaises pour alimenter les effectifs ou être à l’initiative de création de startups. Cet état de fait, partagé par l’intégralité du marché en cybersécurité, est encore plus prégnant pour les startups qui ne peuvent pas souvent suivre la course salariale qui s’en suit.

Des fondateurs de startups peu enclins à la prise de risque

66% des fondateurs ont déjà expérimenté une création d’entreprise, mais rarement plusieurs alors que la moyenne d’âge de ces entrepreneurs dépasse les 40 ans. Le profil des fondateurs révèle plutôt des experts que des serial entrepreneurs audacieux. Si on peut saluer la ténacité de certaines startups, il faut souligner la peur de l’échec qui est un problème récurrent en France et qui n’a pas lieu d’être à l’échelle international. Par exemple, un entrepreneur de la Silicon Valley ou israélien ne sera vraiment considéré qu’après plusieurs échecs de création d’entreprise.

Une stratégie marketing carencée…

Les équipes des startups sont davantage composées de profils techniques et spécialisés sécurité que commerciaux. Il en résulte une difficulté des startuppers à rendre leur offre commerciale attirante auprès des prospects. Des efforts sont à faire sur le volet marketing, aussi bien au niveau du produit que du discours. A titre d’exemple, les incubateurs anglo-saxons déploient des programmes d’accélération business élaborés, comme l’incubateur londonien Cylon dédié à la cybersécurité qui forme à « pitcher » efficacement sa startup auprès de potentiels investisseurs, clients et partenaires. Les startups en récoltent les fruits et sont réputées pour leur force commerciale outre-Manche et outre-Atlantique.

…qui se répercute sur les ventes

Les startups françaises ne rencontrent pas de problèmes liés à leur phase de création, mais ont en revanche du mal à faire connaître leurs solutions et à vendre à court et moyen terme. Seul 15% des startups contactées nous a confirmé faire plus de 500 000 euros de chiffre d’affaires. Parmi ces startups, deux tiers ont déjà entre 4 et 7 années d’existence sur le marché de la cybersécurité.

Comment concrétiser cette transformation

Pour les startups, apprendre à se vendre

Les startups doivent proposer des solutions sur étagère et ainsi atteindre un plus grand nombre de clients avec des coûts optimums. Pour ce faire, il est nécessaire que les fondateurs identifient et valorisent une proposition unique de vente plutôt qu’un segment de marché.

Un axe clé pour eux serait de se positionner sur des problématiques non résolues par les solutions traditionnelles. En effet, les grands groupes sont plus enclins à collaborer avec les startups lorsqu’elles adressent des problèmes pour lesquels aucune solution n’existe sur le marché. La startup Alsid, qui se distingue par son premier rang dans notre classement des levées de fonds, est un bel exemple puisqu’elle traite une problématique pour laquelle aucune solution n’existait auparavant : le monitoring de la sécurité d’Active Directory.

Savoir présenter un pitch clair et attirant se concentrant sur les différentiateurs est un axe d’amélioration clé du développement des start-ups. En effet, c’est une étape cruciale dans la relation avec les investisseurs, les partenaires et les clients afin de les convaincre de la valeur ajoutée de la solution.

Un autre élément à envisager est de penser au design et à l’expérience utilisateur dès la création de la solution. Dans un marché où ces critères ne sont pas forcément pris en compte par les concurrents, cela peut représenter un vrai atout. Exemple singulier sur le marché, la startup israélienne Cybereason l’a bien compris et a engagé un VP Créative & Head of Design pour imaginer le design de ses produits parallèlement à la construction des fonctionnalités.

Pour finir, les startups ne doivent pas hésiter à réfléchir international dès leur lancement (langue de travail, documentation des codes sources, rédaction des documents produits…) afin de ne pas alourdir inutilement l’effort, déjà conséquent à fournir sur le plan commercial, pour accéder à des marchés plus matures et pouvoir ainsi accélérer le passage à l’échelle.

Pour le marché

Les avantages liés à l’incubation sont nombreux pour les startups (regard extérieur, service à prix réduit, proximité avec d’autres…), mais en même temps la cybersécurité est un domaine avec des besoins spécifiques (confidentialité, expertise scientifique, protection physique…). Ces raisons font que peu de startups en cyber trouvent leur place efficacement dans un incubateur standard. Cela exacerbe le besoin d’un incubateur spécialisé cybersécurité. De plus cet incubateur pourrait devenir un totem de l’innovation cyber « à la française » et un lieu d’accueil des investisseurs et des grands clients. La France réfléchit à se doter d’un hub dédié à la cybersécurité et les premières propositions seront remises à Matignon d’ici la fin du mois de novembre. Il faut espérer que ce lieu proposera réellement un environnement propice au développement des startups, ainsi que des services d’accompagnement qui ne soient pas seulement liés à de l’aide à la recherche.

Enfin, il serait pertinent de favoriser la création de startups par d’anciens membres de la cyberdéfense des Armées ou de l’ANSSI. En effet, leur réseau et leur expertise professionnelle acquis en début de carrière sont des facteurs de succès dans l’écosystème cyber, comme l’ont prouvé les ex-collaborateurs de l’ANSSI et désormais fondateurs des startups Alsid et Citalid.

Pour les clients

Afin de permettre le développement de l’écosystème, les clients doivent accepter la prise de risque. Ils ont pour l’instant des difficultés à faire confiance et à contractualiser rapidement avec de jeunes structures innovantes. Pour un quart des startups interrogées, le temps de signature du contrat après la réalisation du POC est supérieur à 6 mois, et cette observation est particulièrement prégnante chez les grands groupes. Ces derniers peuvent s’inspirer des grandes entreprises israéliennes qui se tournent très vite vers les startups lorsqu’elles identifient des problèmes pour lesquels le marché traditionnel n’offre pas de solutions en acceptant les risques mais en négociant également des tarifs très attractifs pour le futur.

On pourrait également envisager la création d’un accompagnement à la prise de risque de la part de l’Etat afin d’encourager la collaboration des grands groupes avec les startups. En restant sur l’exemple israélien, l’Etat a créé une agence indépendante qui sélectionne des projets innovants pour lesquels à chaque Shekel investi par le secteur privé, l’Etat investit un Shekel sans contrepartie.

2019 a montré une vraie embellie dans l’innovation cybersécurité en France. Pour que l’écosystème continue sur sa lancée et concrétise son passage à l’échelle, les axes d’améliorations évoqués se doivent d’être accompagnés par un changement d’état d’esprit de l’écosystème, qui demeure pour l’instant trop fermé. Avec la collaboration des différents acteurs, il n’y a nul doute que la dynamique amorcée se confirmera. Les grands projets entamés à l’échelle de l’état, en particulier le Campus cyber, sont une opportunité unique pour transformer notre écosystème. Mobilisons-nous tous pour que cela devienne une réalité !

Cet article Radar des startups 2019 : Quels leviers de développement ? est apparu en premier sur RiskInsight.

+18% de croissance en nombre de startups depuis janvier 2018

Notre radar recense désormais 134 startups cybersécurité, ce qui représente 25 startups de plus qu’en janvier 2018. Il est intéressant de remarquer que leur taille évolue également de manière positive : si les « très petites entreprises » restent majoritaires, le nombre de « petites entreprises » a augmenté de près de 56%. Au total, les startups représentent plus de 1200 emplois, soit 9% de plus que l’année précédente, et ce pour la 3^ème année consécutive !

Concernant les sorties, 27 startups ont quitté notre radar, soit seulement 4 de plus que l’année dernière. Parmi ces dernières, 37% sortent du radar à cause de leur ancienneté (>7ans d’existence) et sans pour autant dépasser le critère de la taille limite (<35 employés), ce qui est un signe de difficultés de croissance ou bien simplement d’un manque de volonté de croissance et de prise de risque par les fondateurs. Ce manque de prise de risque est appuyé par un faible taux de liquidation (30%). Cependant nous constatons cette année que les cas de croissance rapide (dépassant les 35 employés avant d’atteindre les 7 ans d’existence) sont plus nombreux (18%) et observons même les premiers rachats (15%), ce qui témoigne d’une attractivité plus forte des ces acteurs.

Au niveau géographique, peu de surprises par rapport aux années précédentes, avec un centre névralgique positionné sur le bassin parisien. L’écosystème reste néanmoins bien réparti avec des présences régionales issues des différents incubateurs. En particulier le pôle Rennais gagne en importance avec les nombreux investissements réalisés par le ministère des armées qui souhaite y créer un véritable deuxième pôle d’expertise en France sur les sujets cybersécurité, comme le montre la présence de l’activité cybersécurité de la DGA sur son campus de Bruz.

Des signes particulièrement positifs pour la transformation de l’écosystème qui s’observent chez les clients …

Identifié l’année dernière comme un axe essentiel au développement de l’écosystème, le financement des POC par les entreprises devient une pratique de plus en plus répandue puisqu’elle concerne 67% des startups que nous avons interrogées. Cette démocratisation est un signe particulièrement positif pour l’écosystème, car en plus de supprimer cet investissement initial pour les startups, cela montre que les grands groupes évoluent et font confiance à nos pépites françaises.

… du marché …

On ne peut que saluer l’ampleur prise par les levées de fonds cette année. Au niveau de notre radar, le total est 4 fois supérieur à celui de 2017 et pas moins de 6 startups ont levé des montants supérieurs à 10 millions d’euros. Il est également intéressant de mentionner la structure française Vade Secure qui a levé 70 millions d’euros via le fond américain General Catalyst, et la startup franco-américaine Dashlane qui a levé 110 millions de dollars. Cette ampleur est le résultat d’un début de démystification de l’écosystème qui permet aux investisseurs d’être moins frileux sur le sujet. Une autre preuve de cette confiance est la création d’un fonds d’investissement dédié, Brienne III. Cette structure qui a déjà réalisé un premier closing de 80 millions va permettre de continuer à rassurer les investisseurs et contribuer à l’évangélisation de l’écosystème.

Nous observons aussi les premiers « exits » des startups françaises. Ils concernent 4 startups de notre radar cette année, dont notamment Trustelem acquise en juillet par Wallix, Sentryo qui est en négociation avancée avec Cisco pour une intégration d’ici le premier trimestre 2020, et Madumbo qui a été rachetée par l’éditeur franco-américain Datadog. Ils sont une preuve que ces startups françaises sont de plus en plus différenciantes, ce qui les rend plus attractives. En revanche, ces exits sont très souvent portés par des structures étrangères et dans la majorité des cas, ils entraînent la délocalisation des centres de décisions et de R&D de ces startups, ce qui reste dommageable pour l’entretien du dynamisme de l’écosystème et la souveraineté technologique en France.

Autre signe positif de l’évolution du marché, on observe également l’ouverture de la Défense, notamment avec la fondation de l’« Innovation Défense Lab » qui sera accueilli au sein du « Starbust Accelerator » et qui favorisera la collaboration des startups avec la DGA. En parallèle, l’Etat a lancé un projet de campus de la cybersécurité. Cette entité aura pour vocation de créer des synergies entre les différents acteurs de l’écosystème en réunissant notamment des acteurs industriels, des startups, des universitaires, ainsi que certaines agences et ministères.

… et des startups

L’internationalisation des startups reste un gros levier de croissance, et les startups cybersécurité françaises l’ont compris. La moitié de celles que nous avons interrogées ont déjà des clients à l’étranger, et 15% sont en recherche d’opportunités à l’international : elles se donnent ainsi les moyens d’accéder à des marchés plus importants, plus stratégiques et potentiellement plus matures… et donc de trouver les leviers de croissances nécessaires à leur développement.

De plus, le positionnement de l’innovation change pour l’année 2019 grâce à une augmentation de la proportion de startup innovantes parmi les nouvelles créations. En effet, 44% des startups créées cette année proposent des solutions disruptives n’existant pas auparavant sur le marché.

Cela porte à 31% le nombre total de startup de notre radar appartenant à cette catégorie alors qu’il n’était que de 19% l’année dernière.

Les entrepreneurs cybersécurité innovent dans les domaines matures de la cybersécurité

On pourrait s’attendre à ce que ces domaines bien établis où la concurrence est rude soient moins attractifs. Cependant les entrepreneurs n’hésitent pas à les aborder sous un angle nouveau afin de gagner des parts de marché.

La sécurité de la donnée comporte ainsi son lot d’innovations. Les startups Binex et Ugloo ont par exemple conçu des solutions de stockage « décentralisé » en faisant la promesse aux entreprises de pouvoir récupérer le contrôle de leurs données aujourd’hui sauvegardées dans des Cloud de fournisseurs différents.

La gestion des identités et des accès, éternel casse-tête des entreprises, est un terrain où l’innovation est possible, comme le prouve ArmadAI qui optimise les habilitations des utilisateurs via l’utilisation de l’intelligence artificielle. La start-up Reachfive se positionne elle sur le CIAM (Customer Identity and Access Management) en fournissant une plateforme d’identité client répondant aux enjeux de sécurité et d’expérience utilisateur. Enfin des acteurs comme RubycatLabs n’hésitent pas à bousculer les segments où les parts de marché sont rares, ici la gestion des comptes à privilèges, en se différenciant non pas par la technologie mais par une simplicité d’utilisation et des modèles tarifaires attractifs.

Dans la même optique, la start-up Sqreen propose de révolutionner le domaine de la sécurité applicative en déployant son micro-agent au sein des applications, permettant ainsi de les monitorer et protéger. D’autres startups ont choisi des problématiques de niche dans ce domaine, comme Datadome avec sa solution qui empêche les « mauvais » robots (Scraping, DDoS, vol de compte …) de nuire aux applications des entreprises, tout en autorisant les robots légitimes (Googlebot…) à y accéder.

Que dire de la gestion des vulnérabilités où les quelques leaders du marché se partagent les parts du gâteau. Le constat est simple aujourd’hui : les entreprises sont très compétentes quand il s’agit de trouver des vulnérabilités, mais beaucoup moins quand il s’agit de les corriger, à cause des problèmes de criticité (d’un point de vue disponibilité) des ressources concernées. On observe ainsi deux approches intéressantes visant à modifier ce constat : celle de Cyberwatch qui propose d’évaluer les vulnérabilités dans un contexte métier afin de prioriser celles qu’il faut corriger ; et l’approche d’Hackuity qui suggère de centraliser et de normaliser les résultats des différents tests d’intrusion sur une même plateforme et d’implémenter une fonctionnalité de « rejeu » de la vulnérabilité afin de pouvoir suivre la résolution de cette dernière de façon automatique.

Les entreprises françaises, en particulier celle ayant le statut d’opérateur d’importance vitale (OIV), sont toujours à la recherche de souveraineté, et cela s’applique également à la sécurité réseau, où les entreprises étrangères comme Darktrace ou Vectra sont les leaders du marché. C’est ce qui explique, entre autres, la réussite de la startup Gatewatcher dont les sondes de détection d’intrusions ont été récemment qualifiées par l’ANSSI. C’est également le cas de la sécurité endpoint, où des EDR à la française voient le jour comme la jeune pousse Harfanglab et son EDR Hurukai.

Pour finir, la connaissance de la menace est devenue un atout stratégique pour les entreprises, faisant la part belle au domaine de la Threat Intelligence. Dans ce domaine, l’acteur français Citalid innove en commercialisant une plateforme d’anticipation des cybermenaces et de quantification des risques reposant sur l’utilisation de la méthodologie FAIR.

Les startups comprennent les enjeux du marché et se positionnent sur les sujets « porteurs ».

Le domaine de la vie privée a fait parler de lui ces derniers mois en raison de la multiplication des fuites de données à caractère personnel et des premières sanctions vis-à-vis du RGPD. Les entrepreneurs cybersécurité l’ont bien en tête car c’est aujourd’hui une petite quinzaine de startups qui adressent ce sujet, comme la startup Smart Global Privacy dont la solution smart GDPR optimise la gestion des traitements de données à caractère personnel en automatisant certaines actions et en fournissant des templates préconstruit en fonction des métiers de l’entreprise.

Dans le même temps, le besoin de pouvoir collaborer de façon sécurisée est plus présent que jamais. Cependant, les solutions actuelles pâtissent d’un manque de simplicité de déploiement et d’ergonomie d’utilisation. C’est ce qui explique la multitude de solutions qui apparaissent sur le marché, et qui promettent à la fois un niveau de sécurité élevé et une expérience utilisateur acceptable. La messagerie mobile élaborée par la startup Olvid est un parfait alliage entre un modèle de sécurité cryptographique extrêmement robuste et les fonctionnalités standards d’une messagerie. Shadline et Twinlife proposent également des outils collaboratifs sécurisés. Mais il sera dur de se faire une place sur un marché déjà très concurrentiel.

La thématique de la gestion de crise fait son apparition sur le radar 2019. La startup Easylience a notamment conçu une solution permettant d’assister les entreprises dans la gestion des crises de grande ampleur.

Avec l’avènement de la digitalisation des parcours client, le besoin de pouvoir identifier et authentifier ces derniers sans avoir besoin de les rencontrer physiquement a émergé. Ubble et Serendptech adressent cette problématique, d’ailleurs encadrée par le règlement européen eIDAS, en distribuant une technologie de vérification d’identité basée sur des algorithmes de reconnaissance vidéo pour les premiers, et une application mobile qui aide à garantir l’authenticité d’un titre d’identité pour les seconds.

Enfin, le domaine de la sécurité de l’IoT n’a rien à envier à ceux mentionnés précédemment quand on considère l’avènement des objets connectés, pour les particuliers mais également pour les entreprises. La startup Acklio contribue à sécuriser les objets connectés en rendant compatibles les réseaux LPWAN (réseaux à longue portée et basse consommation comme Lora ou Sigfox) nécessaires au bon fonctionnement de ces objets et le protocole IP. Sa solution permet de comprimer les messages internet et d’ainsi assurer la communication native entre l’objet et les applications métier. La startup Moabi elle se positionne sur l’évaluation de la sécurité des firmwares intégrés dans ces objets, en utilisant notamment les technologies d’exécution symbolique.

En revanche, la sécurité par déception est encore trop peu adressée par les startups, bien qu’elle ait fait son apparition avec des startups comme SesameIT et Anozrway qui commencent à implémenter des fonctionnalités de ce type.

Retrouvez dans ce deuxième article, une analyse des actions concrètes qui permettraient aux acteurs d’intensifier le développement de leurs startups, d’acquérir une nouvelle envergure et, d’ainsi, confirmer le changement d’échelle amorcé.

Cet article Radar des startups 2019 : Un écosystème de plus en plus dynamique est apparu en premier sur RiskInsight.

2018 a évidemment vu s’élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (LPM, NIS) ou sectorielles (NYS DFS, HKMA, MAS…) ont également rythmé l’année.

Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :

• Le maintien des ransomware en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;
• La multiplication des incidents de plus faible intensité que les ransomware massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;
• Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques MageCart touchant le cœur du fonctionnement des sites Internet.

Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.

Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2…), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes :  l’agilité, le cloud et l’API-fication des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.

Les 3 axes de la révolution du SI en 2019

Agilité : plus réactif, plus rapide, plus simple

Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité.  Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.

Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les Feature Teams pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des Product Owners portant des services de sécurité apparaîtront pour délivrer de la cybersécurité as a service au sein de l’organisation.

Cloud : sécurisé par défaut, multiple, automatisé

Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le Cloud-first, voire pour nos clients les plus avancés le Cloud-Only. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’Active Directory.

Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.

Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.

Le cloud, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, MFA, Identity Governance, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le cloud. Le multicloud basé sur 2 fournisseurs deviendra une priorité pour permettre la continuité des services.

API-fication : de multiples nouvelles portes d’entrée pour le SI

Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation DSP2, l’API-fication touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.

Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si l’API-fication pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme Google ou Facebook parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.

Si le RSSI veut reprendre en main le terrain de jeu de l’API-fication, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.

Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences

Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :

• Refondre la PSSI et la gouvernance. Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le cybersecurity framework du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;
• Revoir en profondeur les processus d’intégration de la sécurité dans les projets. Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS Risk Manager» par une approche combinant conformité et scénarios d’attaque ;
• Anticiper et s’adapter à une pénurie de talent récurrente. Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le cloud, l’instauration d’un cadre fort instaurant les principes de security by design permettront des limiter les efforts. De même, la création d’offres de services sécurité, le near voire offshoring pour des services standardisés peuvent être des solutions.

Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’empowerment (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.

Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI

• La cyber-résilience bâtie sur le cloud : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;
• Le SOC est mort, vivent les Fusion Centers regroupant des savoir-faire techniques et métiers, permettant d’appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de machine learning, le SOC pourra détecter les attaques plus finement et plus rapidement ;
• Le début de la fin pour les mots de passe : des initiatives comme le 0-password, le déploiement de FIDO2, la biométrie dans le cadre du 2FA ou encore la généralisation des coffres-forts permettent de l’envisager ;
• L’IA et le machine learning représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement…) dans les projets métier incluant de l’IA ;
• Les tiers et les fournisseurs sous microscope : de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme CyberVadis ou Risk Ledger abordent ce problème sous un angle neuf.

Faire de la sécurité un différenciateur vis-à-vis des clients de l’entreprise

Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.

En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le core-business.

Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :

• L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;
• Les opérateurs télécom, dont certains promeuvent leur nouvelle box avec des services de cybersécurité comme la détection de vulnérabilités ;
• Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.

Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.

Alors pourquoi pas vous ?

Cet article 2019 : Le RSSI au cœur de la révolution du SI est apparu en premier sur RiskInsight.

« Va parler à la maitresse si quelqu’un t’embête à l’école », « Je ne te louerai pas ce DVD, ce film est trop violent pour toi » ou encore le classique « Surtout, ne suis pas un inconnu, même s’il t’offre des bonbons ». On a tous encore en tête, même après des décennies, les conseils de nos parents concernant notre sécurité dans la vie de tous les jours. Mais avec une utilisation de plus en plus précoce d’Internet par les enfants, cette vie de tous les jours s’est maintenant étendue à la toile. Il est donc devenu impératif de sensibiliser les plus jeunes aux risques auxquels ils s’exposent en surfant sur le web pour qu’ils puissent en tirer tous les bénéfices !

L’éducation aux risques numérique, une nécessité

C’est la mission que se donne ISSA France sous le patronage du secrétariat d’état chargé du numérique avec son cahier de vacances « Les As du Web ». Et le besoin est là : selon un récent sondage IPSOS, plus d’un tiers des jeunes interrogés (entre 9 et 17 ans) ne protègent en rien les informations personnelles qu’ils mettent en ligne. Plus inquiétant, un cinquième de ces enfants pourrait envisager de donner rendez-vous à un étranger rencontré sur Internet, et 10% discutent d’ailleurs régulièrement avec de parfaits inconnus.

La sensibilisation de cette population à ces dangers est d’autant plus importante que l’autorité parentale ne suffit pas toujours : ils sont 65% à déclarer ne pas respecter au moins une règle de conduite édictée par leurs parents… Ces derniers ne sont d’ailleurs pas toujours très au courant eux-mêmes des dangers de la toile.

Sensibiliser les enfants, et par transitivité des parents, est donc un enjeu qui a déjà fait l’objet d’initiatives, avec notamment la création du Permis Internet par le Ministère de l’Intérieur. La publication de ce cahier de vacances « Les As du Web » est une étape supplémentaire dans l’intégration du numérique au sein de l’éducation des jeunes générations.

Comment parler simplement d’un sujet complexe

Pour autant, aborder une thématique technologique avec un public aussi particulier peut relever d’une véritable gageure, et ce d’autant plus qu’ISSA France a choisi de s’adresser aux 7 – 11 ans. Cibler cette tranche d’âge tombe sous le sens car c’est l’âge auquel ces internautes en herbe accèdent à Internet et sont les plus vulnérables.

Le premier challenge est donc d’arriver à isoler les sujets à aborder dans l’ouvrage. Ils doivent traiter les grands risques auxquels les enfants seront exposés de la manière la plus didactique et rassurante possible. Le choix d’un cahier de vacances, avec ses jeux et son graphisme ludique répond à cet objectif. Ensuite, il s’agit de trouver les bons mots. Le monde du numérique est truffé d’anglicismes et utilise un vocabulaire très particulier qu’il faut simplifier et expliquer si besoin au jeune lecteur afin de faciliter sa compréhension.

Les grands thèmes du petit cahier

Le cahier de vacances « Les As du Web » aborde donc dans un ouvrage ludique et pédagogique d’une vingtaine de pages les six thématiques suivantes :

• Qui se cache derrière ton écran ? Et pour quoi faire ? Pour bien expliquer que l’on peut facilement masquer son identité et prétendre être celui que l’on n’est pas.
• Tes données personnelles : apprends à les reconnaitre et protège-les ! Pour montrer la valeur de ses données et les enjeux à long terme.
• Le monde numérique n’est pas que pour les enfants. Ne t’y promène pas seul. Pour démontrer que le web n’est finalement pas si différent du monde « réel ».
• Le cyberharcèlement : c’est grave ! Cette partie donne les bons réflexes sur comment réagir lorsque l’on est visé ou témoin ?
• Internet ne dit pas toujours la vérité. Gare aux mensonges pour ne pas les répéter. Important en ces temps-de « fake news ».
• Sur Internet, reste cool et toi-même. Afin de démystifier et donner les bons réflexes de posture.

De la page web aux enfants, il reste du chemin à parcourir

Le projet est maintenant arrivé au bout de sa première phase : la création du contenu. Wavestone est d’ailleurs très heureux d’y avoir, avec d’autres, participé. Mais cette première étape ne constitue que 10% du chemin car tout l’enjeu maintenant est de faire que ce contenu atteigne sa cible !

Pour se donner les moyens d’y arriver, ISSA France souhaite imprimer un million de copies papier d’ici cet été. Car si pour le moment, le cahier n’est disponible qu’en ligne, l’association souhaite en effet placer de nombreux exemplaires physiques à des endroits stratégiques, comme les gares, les aéroports ou les aires d’autoroute lors des départs en vacances. Et c’est là que vous pouvez aider et participer au succès de cette initiative. A votre échelle en partageant autour de vous le cahier de vacances mais aussi à l’échelle de votre entreprise, puisqu’ISSA France est toujours à la recherche de partenaires pour participer à la diffusion de cet ouvrage et lui permettre d’atteindre sa cible.

Cet article Les As du Web : Participez à l’initiative de sensibilisation des 7-11 ans aux risques du web est apparu en premier sur RiskInsight.

Cet article RGPD – Que va-t-il se passer après le 25 mai 2018 ? est apparu en premier sur RiskInsight.

Retrouvez aussi l’ensemble des tendances cybersécurité dans le radar du RSSI de Wavestone.

C comme Cyber-résilience

Wannacry et NotPetya ont démontré la capacité d’un malware à détruire en quelques heures des pans entiers de systèmes d’information avec des impacts financiers se chiffrant en centaines de millions de dollars pour les entreprises touchées. Cette menace destructive était jugée souvent théorique jusqu’alors. 2018 devrait être l’année de la définition des stratégies de cyber-résiliences dans les grandes entreprises. Deux grands types d’actions sont à prévoir. Le premier vise à limiter l’occurrence de ce type d’attaque avec un focus particulier sur la sécurisation des fournisseurs pour les plus avancés. Il est important de noter que NotPetya a pu se répandre initialement par le piégeage d’un fournisseur de logiciel tiers (MeDoc) qui est devenu un cheval de Troie pour réussir à entrer facilement dans le SI. Il s’agit d’une technique d’attaque à prendre en compte aujourd’hui dans l’évaluation de la menace. Le deuxième type d’actions vise à savoir gérer une crise de ce type et surtout à se préparer à reconstruire très rapidement son SI en cas d’attaque réussie .

C comme Conformité

Cela ne peut avoir échappé à personne travaillant dans le domaine, le 25 mai 2018 sera le jour J pour la conformité au règlement sur les données à caractère personnel. Verrons-nous un déferlement de contrôle ou les premières notifications de fuite de données très rapidement ? Faudra-il attendre quelques mois ? En tous cas 2018 sera fortement marqué par les travaux de mise en conformité. Au-delà du RGPD et des textes spécifiques à des secteurs comme DSP2, c’est en effet l’arrivée de la directive NIS, sa déclinaison en droit français et la future identification des OES en France en novembre 2018 qui prendront le relais sur le sujet réglementaire. Ce sujet, européen par essence mais décliné nationalement, pourra aussi avoir des impacts importants quant à la localisation de certains services numériques. En effet les exigences et des règles de sécurité étant potentiellement différentes entre les pays européens, il faudra être attentif à ne pas voir se profiler un « dumping cybersécurité ».

C comme Cognitif

L’intelligence artificielle aura certainement été LE buzzword de 2017. Mais sur le terrain les technologies de machine learning font leurs preuves et apportent des résultats tangibles. C’est particulièrement vrai pour la lutte contre la fraude sur les canaux numériques. Vu les volumes et les exigences de réactivité, ces technologies apportent des solutions là où les méthodes classiques atteignent leur limite. La gestion de l’authentification est un autre domaine qui peut profiter de ces avancées avec la mise en œuvre de système biométrique et/ou qui adapte dynamiquement le niveau d’exigences en fonction des actions de l’utilisateur. Cependant ces technologies ne sont pas encore complètement matures sur des sujets de surveillance cybersécurité mais 2018 devrait voir des avancées majeures dans ce domaine. Et sans attendre immédiatement des solutions automatisées de bout en bout, réaliser des premiers tests sur l’apport de l’intelligence artificielle dans la gestion d’un incident et dans sa résolution peut permettre de défricher le sujet.

C comme Comité exécutif

2017 a marqué un réel changement de dimension dans les relations entre la filière cybersécurité et les comités exécutifs. Dans près de 25% des groupes du CAC 40, des programmes massifs de sécurisation sont en place avec des investissements supérieurs à 50M€. Ces programmes sont suivis directement par les membres de la direction générale. C’est un vrai changement de posture pour la filière SSI qui va devoir en 2018 montrer l’efficacité des actions réalisées avec ces budgets. Et la tâche n’est pas simple dans un contexte où les compétences manquent et doivent être fidélisées mais aussi où une faille remplace l’autre et où une stratégie peut être remise en cause avec un incident majeur. Un fort travail de pédagogie et une démonstration de maitrise des risques seront nécessaires.  Pour ceux qui n’ont pas encore franchit la porte du COMEX, le contexte actuel n’a jamais été aussi propice à mettre en lumière ce sujet. Certes les incidents, de plus en plus relayés médiatiquement et avec des impacts financiers majeurs, peuvent aider. Mais c’est surtout les investissements comparativement réalisés dans d’autres grands groupes qui peuvent être un déclencheur. 2018 sera l’occasion pour beaucoup de monter un vrai programme et d’aller chercher les financements nécessaires pour transformer la cybersécurité.

C comme Confiance

La confiance dans le numérique devient un actif clé pour de nombreuses marques. Cette confiance est de plus en plus attendu par des clients de plus en plus sensibles à ces enjeux. Cette confiance passe par de la transparence et de la capacité offerte à chacun de gérer ses propres données. Des nouvelles solutions sont en train d’apparaître en particulier sur la gestion de l’identité des clients (CIAM).  Mais cette confiance c’est aussi une manière de se différencier dans le numérique et de tirer son épingle du jeu. Certaines grandes marques l’ont compris et utilisent cet argument pour se différencier de leurs concurrents dans le même secteur d’activité mais aussi face aux géants du Net qui viennent régulièrement les inquiéter sur leurs terrains historiques. Il nous manque encore aujourd’hui des marqueurs simples de cette confiance, comme une certification ou un label, mais peut-être que 2018 verra les travaux en cours en France et l’échelle Européenne avancer dans cette direction.

C comme Client

Depuis quelques années, les stratégies cyber sont centrées sur la sécurisation de la donnée. Mais avec l’avènement de la transformation numérique, les RSSI doivent changer leur posture et mettre les clients au cœur de leur réflexion. Adopter une stratégie centrée « client » permettra de mettre en lumière concrètement les apports des travaux de la filière SSI dans la fourniture de nouveaux services et dans la protection des intérêts des clients.

2018 sera à ne pas en douter une année clé pour la cybersécurité et la confiance numérique. Une année où il faudra réinventer nos manières de fonctionner pour aller chercher un support au plus haut niveau tout en valorisant les investissements auprès de son écosystème et de ses clients en particulier. La société dans son ensemble est de plus en plus sensible et attentive sur ces sujets de cybersécurité. Profitons-en pour transformer ce contexte en une opportunité !

Cet article 6C : 6 clés pour la cybersécurité en 2018 est apparu en premier sur RiskInsight.

Plus d’informations ici : http://bit.ly/wavestone-cyber-resilience

Cet article NotPetya : 5 mois après, quels sont les impacts ? est apparu en premier sur RiskInsight.

Muscler la gestion de crise

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc nécessaire d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer la dimension cyber.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agira donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction de plan de défense.

Au-delà de l’aspect organisationnel, il faudra s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs ou de « vaccin », isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés sur le SI, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La définition d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Repenser les dispositifs de continuité

Les dispositifs de continuité doivent également évoluer pour s’adapter aux menaces cyber. Les solutions possibles sont nombreuses et peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certains établissements ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les délivrer rapidement en cas de destruction physique.

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyberattaque. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir, mais qui est envisagée pour certaines applications critiques dans le monde de la finance (notamment les infrastructures de paiement à caractère systémique).

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative (« multi-level controls »). Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau (« floodgate ») que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilience n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager (RM) – ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) – sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RM ou son RPCA prendra tout son rôle.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (2/2) est apparu en premier sur RiskInsight.

Face à une cyberattaque majeure, qu’elle soit destructive ou qu’elle entraîne une perte de confiance dans les systèmes clés, le premier réflexe pour une majorité d’entreprises est d’activer le plan de continuité d’activité (PCA). Celui-ci est un élément majeur de la stratégie de résilience des organisations ; afin d’en assurer la survie lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs.

Or les cyberattaques majeures, destructives comme Wannacry ou NotPetya ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) comme les attaques ciblées en profondeur (APT), n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers, focalisés sur un enjeu de disponibilité, n’appréhendent pas les problématiques de la destruction simultanée et de la perte de confiance dans le SI induites par les cyberattaques.

En effet, les dispositifs de continuité du SI, le plus souvent liés aux ressources qu’ils protègent, sont également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyberattaques.

Quelles vulnérabilités pour les dispositifs de continuité ?

À titre d’exemple, lors d’une intervention de crise suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée. Malheureusement ceux-ci avaient été détruits de la même manière que les sites nominaux car ils partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé à ce moment très vains.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI.

Malheureusement, en cas de compromission en profondeur, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments malveillants : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants. De plus, la continuité en tant que telle des systèmes de sauvegarde est souvent négligée. Lors de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes ont eux-mêmes été détruits. Les restaurer a pris plusieurs jours vu leur complexité et leur imbrication dans le SI (nécessité de disposer d’un ActiveDirectory pour lancer des restaurations alors que la sauvegarde de l’AD était nécessaire pour le reconstruire, reconstruction de l’index des bandes de sauvegardes détruit avec le reste…).

S’agissant des SI industriels, les constats sont tout aussi manifestes. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ne disposent souvent pas de mécanismes de sécurité avancés. Du reste, leur cycle de vie long (plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités parfois anciennes. Enfin l’indépendance des chaînes de contrôle (Systèmes Instrumentés de Sécurité, cf. encadré ci-après) vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours appliquée.

Des scénarios d’attaques majeures illustrés par des attaques récentes

La destruction logique ou l’indisponibilité d’une grande partie du système d’information.

Concrétisé par les attaques de vrai-faux rançongiciels Wannacry et NotPetya, ce type d’attaque entraîne une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par ce type d’attaque (Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h. La situation au démarrage de la crise est très difficile car il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes de plusieurs centaines de millions d’euros suite à ces attaques.

La compromission et la perte de confiance dans le système d’information

Il s’agit d’attaques ciblées qui ne remettent en pas en cause le bon fonctionnement du système mais qui visent à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…), leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi exfiltrer tout type de données ou réaliser des actions métiers demandant plusieurs validations successives. Ces attaques ont touché de très nombreuses entreprises dans tous les secteurs avec comme conséquences des fraudes massives, comme celles ayant touché la banque du Bangladesh, ou des vols de données financières et de paiements comme celles ayant touchés plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot. La situation au démarrage de la crise est complexe en raison d’une conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il s’agit alors d’investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes touchées par ces attaques ont fait état d’impacts financiers de plusieurs centaines de millions d’euros.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (1/2) est apparu en premier sur RiskInsight.

Les grands comptes : des cibles existentielles mais complexes

Le tissu économique français repose beaucoup sur des grands groupes disposant de capacités d’investissement important. Pour les startups cherchant à commercialiser leur offre en cybersécurité, ce sont des clients de choix.  Cependant, les processus rigides et complexes de ces grandes entreprises constituent un obstacle majeur pour les startups.

Après les embûches liées à l’identification des multiples donneurs d’ordre dans la structure (RSSI, architecte, expert, DSI, achats…), il reste très difficile de signer son premier contrat. La durée du processus d’achat allant de 3 à 6 mois et sa complexité ne correspondent pas au fonctionnement des startups, qui se voient demander des preuves de rentabilité, un nombre important d’années d’existence ou des références d’autres clients, ce qui est impossible lors des premiers contrats.

Cette situation est exacerbée pour la cybersécurité car les startups ne peuvent pas souvent compter sur les pôles Innovation créés par les grands-comptes pour faciliter les échanges avec l’écosystème de l’innovation. D’une part car les startups ont du mal à convaincre les apports métiers des solutions proposées et d’autre part car les équipes Innovation ont du mal à comprendre les apports concrets vu les spécificités des sujets abordés. Les retours d’expérience réussis montrent que la filière cybersécurité des grands-comptes doit souvent donner l’impulsion, voir porter elle-même les relations avec les startups cyber.

Des habitudes à faire évoluer dans les grandes entreprises

Une fois la mise en relation réalisée, il reste une étape : la réalisation de tests en conditions réelles (Proof of Concept). C’est un exemple de la difficulté pour les startups de rivaliser avec les éditeurs cybersécurité classiques dans le monde des grands comptes. Ces tests sont demandés pour évaluer l’efficacité d’une nouvelle solution. Les grands éditeurs, aux moyens financiers importants, offrent ces « PoCs » à leurs clients, qui en retour se sont habitués à ces tests « gratuits » à leur profit.

Pour les startups cependant la situation est différente car leur besoin en fonds de roulement est très court et réaliser de tels tests gratuitement peut mettre en péril la structure toute entière !

Il est donc nécessaire que les grands groupes prévoient des budgets adaptés, souvent de l’ordre de quelques milliers d’euros seulement, pour tester les solutions innovantes proposées par les startups.

En France, des retours positifs dans les interactions startup/grands comptes

Cependant des collaborations réussies entre startup et grands comptes montrent que ces deux mondes peuvent travailler ensemble. Et l’effort consenti apporte ensuite énormément. Des startups comme Alsid ou Idecsi bénéficient ainsi de témoignages de clients d’ampleurs à même de rassurer d’autres sociétés et les investisseurs.

Un écosystème cybersécurité français valorisant l’innovation

En France, la présence d’un écosystème qui fait la promotion régulière de l’innovation en associant grands comptes et startups est notable : Assises de la Sécurité avec le Prix de l’Innovation, le FIC avec le prix de la PME Innovante ou encore le concours dédié à la cybersécurité dans le milieu bancaire coorganisé par la Société Générale et Wavestone. Ces initiatives permettent une mise en lumière de l’innovation en cybersécurité, ainsi que la mise en relation directe de différents acteurs. Elles participent ainsi à la création de la relation de confiance nécessaire pour que les grands comptes investissent dans les solutions proposées par des startups.

L’importance de l’existence d’une offre française pour la souveraineté numérique

La cybersécurité est une problématique mondiale mais relève aussi de la sécurité nationale. L’intérêt d’avoir des produits de confiance dans ce domaine est évident.

Même si beaucoup reste à faire pour garantir une souveraineté numérique, les initiatives de certaines startups françaises ont permis l’importation de concepts n’existant initialement qu’à l’étranger. C’est par exemple le cas des plateformes de Bug Bounty (en français, « chasse aux failles »). En France, trois startups, Bug Bounty Factory, Bug Bounty Zone et Yogosha proposent des services dans ce domaine. Ceci pourra permettre à terme de garder la connaissance de vulnérabilités sensibles sur le territoire Européen ou national.

Il est important de noter que le marché hexagonal de la cybersécurité est largement animé par des acteurs du secteur de la défense, publics ou privés, qui investissent et aident aux développements de startups. Mais ces opportunités de développement sont en même temps un frein à l’exportation et rendent plus difficile la communication de références.

Demain, arriver à sortir des frontières

Le secteur de la recherche se structure

La recherche en cybersécurité est aussi très active en France avec de nombreux laboratoires mobilisés et des initiatives de premier plan. Le collectif Allistene, regroupant l’INRIA, le CEA, le CNRS et plusieurs grandes écoles, en est un exemple. De premières chaires sont dédiées aux sujets de la cybersécurité et de ses applications concrètes, par exemple pour les véhicules autonomes. Conjointement avec les initiatives des grandes entreprises, tout concourt à créer un terreau positif pour l’éclosion et la croissance de nombreuses startups.

Dépasser le cadre franco-français pour croître à l’international

La France possède de nombreux talents en cybersécurité, un terreau facilitant l’émergence des startups et un marché permettant de faire vivre ces structures. Mais ce bilan très positif ne doit cependant pas masquer la principale difficulté actuelle de nos startups : connaître le succès et la croissance à l’international.

Hormis quelques success story, comme historiquement Qualys ou plus récemment Linkurious aux Etats-Unis, les startups françaises ont du mal à sortir des frontières hexagonales. Elle se heurtent à des barrières sur leur capacité à communiquer de manière percutante en anglais, sur la faiblesse de références clients françaises, sur des problèmes juridiques mais aussi psychologiques à s’expatrier. Alors que la qualité des profils français en cybersécurité est largement reconnue, la qualité des startups, est-elle encore inconnue.

Dépasser ce plafond de verre requiert des initiatives conjointes de l’Etat, des grandes entreprises et un esprit de conquête exacerbé chez les fondateurs de startups. Mobilisons-nous collectivement, chacun avec ses forces, pour que cela devienne une réalité dans les années à venir.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (2/2) est apparu en premier sur RiskInsight.

La cybersécurité en France

Un tissu dynamique de plus de 100 startups

Aujourd’hui, la France compte plus de 100 startups ou PME innovantes en matière de cybersécurité. Ce nombre, en constante augmentation, reflète le dynamisme du secteur et les atouts de la France dans ce domaine. Le secteur représente plus de 1000 emplois directs. Même si cela peut paraître faible, ce nombre devrait augmenter fortement dans les prochaines années.

Une majorité de startups choisissent de réinventer des solutions de sécurité déjà bien implementées

60% des startups entrent sur le marché avec la volonté de faire évoluer des solutions de sécurité ayant déjà fait leurs preuves (sécurité des terminaux, du réseaux, de la messagerie, gestion des identités…).

De manière générale, attaquer un marché déjà consolidé est complexe. Mais il reste des fenêtres d’opportunités, en particulier dans la sécurité applicative. De nombreux acteurs importants sont présents sur ce domaine sans pour autant parvenir à proposer de solutions vraiment satisfaisantes. Les approches innovantes de jeunes pousses comme Sqreen, Ingen ou encore Yagaan peuvent apporter un renouveau.

Sécurité industrielle, cryptographie, et reverse engineering : des domaines innovants sur lesquels la France est bien positionnée

En regard, de nombreuses startups françaises (40%) ont su se positionner sur des technologies où tout reste à construire. Sur les systèmes  industriels, par exemple, les acteurs français comme Sentryo ou Seclab sont particulièrement bien positionnés. C’est aussi le cas pour les technologies d’analyse de logiciels malveillants avec des produits ou des services comme ceux de Tetrane et Quarkslab. Leurs expertises sont reconnues internationalement, y compris par des grands groupes américains.

Côté cryptographie, l’école française de mathématiques permet aux startups d’avoir accès à des expertises pointues difficiles d’accès dans d’autres pays. Cela permet le développement d’outils innovants d’analyse de vulnérabilités comme Cryptosense.

En revanche, certains domaines sont encore négligés en France alors qu’ils ont un fort potentiel de développement, comme les techniques de « tromperie » (« deception » en anglais, qui vise à fournir des fausses informations à un attaquant pour le ralentir) dont l’essor est déjà amorcé en Israël et même au niveau Européen.

Des startups françaises avec des difficultés de communication et de valorisation de leur expertise

L’écosystème national de startups est très dynamique et les expertises, même très spécifiques, ne manquent pas pour concrétiser des idées ou lancer des premiers produits. Un point-clef est cependant requis sur le marché de la cybersécurité : la capacité à communiquer efficacement. Les contacts entretenus avec plusieurs incubateurs étrangers nous montrent une différence frappante en termes de communication entre des startups anglos-axonnes qui savent valoriser leurs produits grâce à des pitchs percutants et un marketing efficace.

Ce manque d’expertise commerciale est particulièrement pénalisant pour les startups françaises qui souhaitent internationaliser leurs offres.

La France, une terre propice pour les startups cyber

Depuis plusieurs années, de nombreuses initiatives se développent en France pour soutenir le secteur cyber. On peut citer la stratégie de Sécurité Numérique du gouvernement portée par l’ANSSI ou encore les investissements du Ministère de la Défense. Différents pôles économiques sont mobilisés, ce qui se traduit concrètement par une concentration géographique des startups. Paris est, comme souvent, en tête mais Lyon, Rennes ou le sud de la France sont aussi très présents.

Présentation du radar des startups

Depuis 2015, Wavestone réalise une veille active sur le domaine des startups dans le cadre de son programme ShakeUp. Fort de ses nombreux contacts et actions au sein de l’écosystème de l’innovation cybersécurité en France, le radar des startups compte aujourd’hui près de 400 structures répertoriées à l’échelle européenne et internationale avec un focus particulier sur la France. Les critères pour intégrer le radar français : siège social en France, moins de 35 salariés et moins de 7 ans d’existence de la structure juridique (hors pivot majeur).

Suite à ces actions de veille par les équipes de la practice cybersécurité et confiance numérique, les startups les plus innovantes sont rencontrées pour réaliser une évaluation de leur solution et certaines peuvent rejoindre ShakeUp, le programme d’accélération de Wavestone.

Des structures d’accompagnement nombreuses et actives mais peu spécialisées

La France est un des leaders mondiaux dans l’innovation avec pas moins de 228 incubateurs nationaux et une cinquantaine d’accélérateurs. Mais par rapport à Israël, à la Suisse ou au Royaume-Uni, nous ne disposons pas de structures d’incubation ou d’accélération spécifiquement dédiées à la cybersécurité. Certains incubateurs ont créé des clusters pour concentrer les savoir-faire mais sans pour autant spécialiser les accompagnements. Ainsi, il est rare de trouver dans ces structures des coachs ayant une forte connaissance du marché cyber, de ses acteurs et de ses spécificités notamment dans le processus d’achat et de qualification de produits. Axeleo ou Wavestone sont ce qui se rapprochent le plus des structures étrangères dédiées.

A suivre, une initiative régionale nommée Ocssimore va démarrer à la rentrée 2017 à Toulouse.  La FrenchTech, très présente et visible à l’international, se mobilise depuis peu sur le sujet de la cybersécurité avec la création du réseau thématique « Security & Privacy ».

Un écosystème de financement favorable mais perfectible

La France a de véritables atouts pour le financement de l’innovation, dont de nombreuses startups témoignent de l’efficacité.  Le « Programme Investissement Avenir » investit 22 milliards d’euros dans la recherche ; le « Crédit Impôt Recherche » et le statut de « Jeune Entreprise Innovante » permettent de réduire les coûts de R&D, les charges sociales et l’impôt sur les sociétés.

De son côté, BPI France multiplie les financements dédiés aux entrepreneurs et les actions d’accompagnement grâce à ses partenaires (banques, investisseurs, régions…) et, par le biais d’accélérateurs, elle propose des prêts participatifs et peut se porter caution auprès des banques.

De nombreuses aides régionales sont également disponibles. En parallèle, nous assistons à une nette augmentation du corporate venture ainsi que les Business Angels sont parfois même en concurrence pour investir dans les meilleures startups cyber.

Cependant, l’écosystème complexe, avec un grand nombre d’acteurs, rend souvent le parcours de financement compliqué. Les démarches pour lever des fonds s’apparentent à de véritables marathons où la bureaucratie est encore très présente. Il s’agit d’avoir un plan de bataille précis, pour solliciter chaque dispositif au bon moment avec le bon dossier… sans pour autant sacrifier le temps destiné au développement de la startup ! Enfin, peu de grands groupes français font l’acquisition des startups, qui peuvent alors être tentées d’accepter les offres d’entreprises étrangères.

La France possède donc un formidable écosystème de startup dans le domaine de la cybersécurité, plaçant le pays parmi les leaders mondiaux. En effet, la création de startup en France est soutenue par des structures d’accompagnement adaptées. Mais pour assurer leur pérennité, ces startups cherchent à attirer de nombreux clients, notamment parmi les grands groupes français.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (1/2) est apparu en premier sur RiskInsight.

Des risques bien réels : les exemples Jeep Chrysler et Tesla

Une voiture autonome, c’est par définition une voiture connectée : GPS, capteurs, accès Internet par 3G/4G… Tous ces éléments sont autant de portes d’entrée vers une voiture qui devient ni plus ni moins qu’un réseau où sont connectés des dizaines d’ordinateurs spécialisés. Ces derniers sont en charge de gérer les différents composants du véhicule. Volant, frein, accélérateur, tous doivent être informatisés pour que le « cerveau » de la voiture autonome puisse les diriger.

La combinaison de ces connexions externes et de l’informatisation des fonctions de conduites pose aujourd’hui des risques bien réels. Pendant longtemps jugées théoriques, la capacité d’attaque des voitures connectées a été démontré dans 2 cas emblématiques. Le 1^er visait une Jeep Chrysler, a l’été 2015. Charlie Miller et Chris Valasek ont montré comment, après plusieurs années de recherche, ils ont pu prendre le contrôle du véhicule de série à distance. En aout 2016, ils ont montré qu’ils pouvaient aller encore plus loin dans la capacité à contrôler les fonctions de pilotage. Le 2^ème a touché Tesla en septembre 2016, dans le même esprit une équipe de chercheurs Chinois de Tencent a réussi à piéger une Tesla et à en prendre le contrôle intégralement.

Derrière, les conséquences ont été lourdes : impact sur l’image des constructeurs et surtout programme de rappel coûteux pour Jeep Chrysler via l’envoi de clés USB aux millions de clients concernés. Tesla, plus habitué à l’environnement cyber, disposait de moyens pour mettre à jour ces véhicules à distances et a réussi en une dizaine de jours à couvrir ces failles. À noter que ce délai est particulièrement court par rapport au contexte actuel des objets connectés.

Une prise de conscience en progression

Ces deux démonstrations ont fait prendre conscience au grand public et aux constructeurs des enjeux de la cybersécurité. Beaucoup d’entre eux investissent et se renforcent sur cet aspect. Volkswagen vient par exemple d’investir pour créer la société Cymotive. Tesla a lancé historiquement un programme de « bug bounty » permettant aux chercheurs en sécurité d’être rémunérés s’ils trouvent des failles sur les véhicules, ceci pouvant éviter aussi que ces failles soient revendues sur les marchés noirs de la cybercriminalité.

Le crash test cyber ou comment bien choisir sa voiture autonome !

Tous les constructeurs ne sont pas au même niveau de prise de conscience et d’investissement. Mais alors comment en tant que particulier choisir une voiture qui sera « cybersécurisée » ? Aujourd’hui, au-delà de quelques papiers de recherche, il n’y a pas de moyens simples de répondre à cette question. Il serait temps que les organismes en charge des crash-test, tel qu’EuroNcap, s’empare du sujet et définissant des indicateurs de cybersécurité d’un véhicule ! Quelques éléments simples peuvent permettre d’évaluer le niveau de sécurité : niveau d’isolation des fonctions de pilotage de celle de connexion à Internet, capacité de mise à jour fiable et non bloquante, alerte du conducteur et du constructeur en cas d’attaque…

Ceci permettrait simplement, par un système d’étoiles compréhensible par tous, d’évaluer la cybersécurité des véhicules. Les clients pourraient alors faire leur choix en connaissance de cause. Et comme pour les crash tests habituels, cela mobiliserait les constructeurs sur la cybersécurité !

Cet article Crash test cyber : la solution pour sécuriser la voiture autonome ? est apparu en premier sur RiskInsight.

Il n’y a pas que les athlètes qui préparent l’événement sportif international de l’année, les cybercriminels également. Chaque spécialité est bien représentée et va lutter pour obtenir la médaille d’or de la méthode la plus efficace de vol et de fraude. Tour d’horizon des équipes en présence et de leur stratégie.

L’équipe Phishing et son lancer de faux emails

Habituée des grands événements, l’équipe Phishing inonde les boîtes emails de faux messages demandant de communiquer des données sensibles comme ses identifiants ou ses coordonnées bancaires. Leur meilleure technique pendant les JO : vous proposer des loteries pour gagner des tickets gratuits ou des accès à des retransmissions TV ! Le meilleur moyen de leur résister ? Être attentif aux messages trop alléchants, trop urgents et qui contiennent des fautes de frappe ou de grammaire. Un bon réflexe : ne jamais aller sur un site en cliquant sur un lien depuis un email, mais le retaper directement dans le navigateur.

Les cybersquatters et leurs tours de passe-passe quasi indétectables

Les cybersquatters affutent leurs méthodes depuis plusieurs mois, ils ont créé près de 4000 faux sites web dont l’adresse ressemble étrangement à celle des sites officiels mais qui vous emmènent dans leurs pièges ! Quoi de plus ressemblant entre www.rio-olympics.com et www.rio-olympisc.com ? Restez donc attentifs aux sites que vous visitez en vous assurant qu’ils ne contiennent pas d’erreur dans leur nom. Vous éviterez ainsi de tomber sur des sites dangereux qui pourraient vous forcer à télécharger des logiciels malveillants ou vous demander des données personnelles.

L’équipe Ransomware et sa clé de bras numérique

Cette équipe a un moyen très efficace pour vous soutirer de l’argent, elle bloque votre ordinateur et/ou votre téléphone portable et vous demande une rançon ! Une vraie clé de bras numérique digne d’un lutteur ou d’un judoka. L’équipe Ransomware joue collectif car elle fait souvent alliance avec les équipes Phishing et Cybersquatteurs qui leurs ouvrent la route via des faux emails ou des faux sites qui ensuite vous demande d’installer des logiciels complémentaires… Et c’est là où l’équipe Ransomware surgit et qu’elle déploie ses outils qui bloqueront votre ordinateur. Pour éviter d’être piégé, soyez très attentif et surtout n’installez pas d’applications alléchantes qui vous propose des accès gratuits à des flux TV ou à du contenu exclusif. Utilisez les boutiques d’applications officielles qui disposent d’un choix très fourni et légal.

Les cybercriminels locaux et leurs faux points d’accès Wi-Fi

Une équipe à domicile est toujours plus forte, c’est bien connu ! Et il faut s’attendre à ce que les cybercriminels brésiliens, présent sur place, essaient de détourner les bornes Wifi mises à disposition des visiteurs dans les lieux publics pour intercepter leurs échanges et ainsi voler des données. Le meilleur réflexe c’est d’acheter une carte SIM locale pour utiliser votre téléphone et accéder à Internet. Pour les plus férus de technologies, un VPN apportera également un bon niveau de protection, il existe de nombreuses applications comme celle d’Opera. Et si vous devez vraiment utiliser du Wi-Fi, restez attentifs au moindre message d’erreur concernant la sécurité. Lorsque vous allez sur des sites Internet et que de tels messages apparaissent, c’est un signe que le point d’accès est peut-être piraté : déconnectez-vous immédiatement.

L’équipe APT et sa précision redoutable

Cette équipe ne vise pas le grand public, elle cherche à gagner la course en s’introduisant frauduleusement dans les systèmes de l’organisation des JO. Elle pourra ainsi y voler directement les données des athlètes, des spectateurs, mais aussi aller jusqu’à modifier des résultats, interrompre des compétitions ou empêcher leur rediffusion ! Le CIO est mobilisé sur ces menaces depuis de nombreuses années et met en œuvre un dispositif spécifique de cybersécurité. Le retour des JO de Londres nous montre clairement la réalité de cette menace avec plus de 165 millions d’événements liés à la cybersécurité qui ont conduit à 6 attaques majeures. Rio devrait subir une pression encore plus forte au regard de l’évolution de la cybercriminalité sur ces 4 dernières années.

Un bon réflexe : ce qui est trop beau pour être vrai est certainement un piège

Ne tombez pas dans les pièges des cybercriminels, soyez attentifs lorsque vous surfez et lisez vos emails. Et n’oubliez pas de faire une sauvegarde de vos données, de mettre à jour votre ordinateur et votre téléphone en appliquant les correctifs de sécurité proposés et en vous assurant d’avoir un anti-virus à jour.

Voici l’entraînement que vous devez suivre pour vivre des Jeux Olympiques en toute cybersécurité !

Cet article JO2016 : qui aura la médaille d’or chez les cybercriminels ? est apparu en premier sur RiskInsight.

Un modèle de sécurité en château fort qui a atteint ses limites

Historiquement, le système d’information a été construit de manière à être isolé de l’extérieur via une muraille constituée des équipements de sécurité (pare-feu, reverse-proxy, DMZ etc.). Il repose  sur un espace de confiance quasiment unique, à l’intérieur du périmètre, avec un accès facile aux ressources de l’entreprise.

Par analogie, ce modèle historique est associé à un château-fort : entouré de murs renforcés, il dispose d’un seul point d’entrée surveillé mais ensuite le circulation est libre dans la la cité.

Ce modèle ne peut plus accompagner l’évolution des cyberattaques, plus précises et pointues. Elles savent viser directement le cœur du SI en pénétrant directement les ordinateurs des collaborateurs sans être arrêtées par la muraille, tel le cheval de Troie de la Grèce antique.

Ce modèle ne permet pas non plus de tirer tous les fruits de la transformation numérique. Celle-ci a amené les entreprises à changer fondamentalement leur conception du Système d’Information : elles sont passées d’un modèle fermé  vers l’extérieur à ouvert. D’un point de vue client et partenaires, certaines informations sont directement accessibles via Internet et les applications mobiles.  D’un point de vue du SI, l’externalisation est une réalité du quotidien, poussé encore plus aujourd’hui par le mouvement vers le cloud. D’un point de vue utilisateur, les collaborateurs utilisent de plus en plus d’outils personnels : BYOD, webmails personnels et applications personnelles sur les smartphones s’invitent dans l’environnement de travail. Toutes ces évolutions inéluctables rendent caduque la notion de périmètre.

Place à un nouveau modèle : l’aéroport

L’évolution du modèle de sécurité est donc nécessaire. Pour répondre à ces nouveaux enjeux, le modèle qui est aujourd’hui le plus adapté est celui de l’aéroport. Un aéroport est composé de zones d’accueil ouvertes au public permettant d’informer les clients ou encore de réaliser des ventes avec un niveau de contrôle minimum et adapté au contexte du pays. L’aéroport contient aussi des zones beaucoup plus sécurisées et en accès limité comme le tarmac ou les avions. Les contrôles sont de plus en plus poussés au fur et à mesure que l’on accède à des zones plus sensibles.

En sécurité de l’information, cela se traduit par des mesures de sécurité telles que des contrôles d’authentification plus ou moins élaborées (authentification forte, usage de la biométrie…), des contrôles d’intégrité et de bons usages (IDS/IPS, DLP…) afin de maitriser les accès aux zones contenant les informations sensibles de l’entreprise, et maîtriser leur manipulation.

Dans le modèle de l’aéroport, en plus des mesures de protection, il est essentiel de pouvoir détecter les éventuelles anomalies ou incidents et d’être en capacité de réagir rapidement et efficacement. C’est le rôle de la tour de contrôle, qui a pour mission de regarder au plus près (ce qui se passe dans le périmètre de l’aéroport) mais aussi au loin (les avions en approche). La tour de contrôle est capable réagir rapidement en cas de problème et d’apporter une réponse adaptée, voire d’appeler des renforts si besoin. Dans l’entreprise, ce rôle de surveillance doit être tenu par le SOC (Security Operation Center), avec si besoin le d’équipes dédiées  à la gestion de crise cyber.

Pour que ce modèle reste viable dans le temps et afin d’être efficace face à l’évolution de la menace, la revue régulière de ces mesures de sécurité est essentielle. Les avions avant de décoller subissent un contrôle de leur niveau de sécurité et les pannes sont anticipées avec la maintenance préventive, il doit en être de même pour les mesures de sécurité : habilitations, contrôles, mise à jour doivent être en continuelle évolution.

Un projet de transformation à part entière

L’enjeu majeur de cette évolution ne sera par l’acquisition de nouvelles solutions de sécurité, bien souvent les pierres du château-fort pourront être utilisées pour bâtir l’aéroport. L’enjeu sera avant tout de structurer un vrai programme de transformation pour la sécurité du SI.

Programme mêlant des évolutions technologiques (souvent principalement autour de la détection des attaques), organisationnelles (responsabilisation des équipes en particulier de maitrise d’ouvrage et de développement, intégration des nouveaux processus de contrôle…) mais aussi qui devra diffuser dans tous les projets SI les principes d’évaluation des risques et d’architectures associés. La tentation est parfois grande de mettre des systèmes sensibles mais non sécurisés directement dans le hall de l’aéroport accessibles à tous…

Le pilotage irréprochable de ce programme et la démonstration de son efficacité par la réduction des risques seront les facteur clé de la réussite de cette transformation !

Cet article L’évolution du modèle de sécurité : du château-fort à l’aéroport est apparu en premier sur RiskInsight.

Des ransomwares d’un nouveau genre

Les ransomwares sont aujourd’hui très répandus, des milliers d’attaques ont lieu chaque jour et de très nombreuses entreprises sont touchées. Mais cela uniquement par « malchance » car les ransomwares que nous connaissons aujourd’hui ne ciblent personne en particulier. Ils sont  en effet envoyés dans des vagues massives de faux emails, avec des pièces jointes véroles. L’ouverture de  ces pièces jointes permettra au ransomware de se télécharger et entrainera le chiffrement des données présentes sur le poste de travail mais également sur  les disques réseaux partagés.

Quelques postes, quelques serveurs touchés, la gestion de l’incident est alors réalisée en quelques heures, voire quelques jours et les pertes sont souvent limites si des sauvegardes existent.

Mais ce schéma « classique » pourrait se voir supplanter par un nouveau type de ransomware : les ransomwares ciblés.

Des cas récents de ransomwares ciblés

Trois grandes sociétés aux États-Unis auraient été touchées très récemment.  Le mode opératoire de ces nouveaux ransomware rappellent les attaques ciblées : les attaquants s’introduisent sur le réseau en compromettant un poste puis rebondissent jusqu’à prendre le contrôle des infrastructures centrales. A la différence des attaques ciblées classiques, les attaquants ne volent pas de données mais utilisent les droits d’administration acquis pour distribuer un ransomware sur l’ensemble des postes d’une entreprise. Ce n’est alors plus quelques postes de travail qui sont touchés, mais plusieurs milliers. Les impacts sont alors considérables et se rapprochent de ceux subits lors d’attaque visant à détruire les machines comme chez Sony ou chez Saudi Aramco.

Repenser la cyber résilience pour inclure l’évolution de la menace

Même si ces attaques sont encore peu répandues et qu’elles n’ont pas totalement réussies, ces révélations posent beaucoup de questions sur les motivations des attaquants. Ces attaques peuvent  en effet être très lucratives, car pour retrouver les données infectées, le ransomware demande de payer une rançon. La question est de savoir si certaines entreprises paieront cette rançon. Si c’est  le cas, cela motivera encore plus les attaquants. Rappelons le cas de l’hôpital américain qui avait finalement payé la demande de rançon de 17 000 dollars en février dernier pour récupérer les données de leurs patients.

Pour les entreprises il est essentiel de se prémunir de ces attaques mais aussi de savoir les gérer. Se prémunir passe par une bonne hygiène informatique et surtout par une sécurisation poussée des mécanismes d’administration massive du SI (Active Directory, télédistribution…) et en particulier par la sécurisation des postes utilisés par les administrateurs du SI. La compartimentation du SI est aussi clé pour être capable de limiter les impacts (principe des cloisons étanches du bateau). Ces chantiers sont souvent en cours dans les grandes entreprises mais l’apparition de cette nouvelle menace ne peut que renforcer leur priorité.

D’autre part les processus de gestion de crise doivent être adaptés pour prendre en compte ce scénario qui pose le problème de la capacité même à gérer la crise si plus aucun poste de travail ou serveur n’est disponible. On retrouve alors certains mécanismes déjà prévus pour les scénarios destructifs comme l’approvisionnement rapide de machine ou l’existence d’un parc alternatif (avec des OS différents et/ou hors systèmes de gestion de parc classique) pour a minima gérer la crise. Les systèmes dans le cloud peuvent aussi être une réponse au moins partielle à cette problématique. À nouveau, ces réflexions sont en cours mais la prise en compte de ce scenario de risque est certainement à réévaluer.

Les ransomwares évoluent, ils se professionnalisent et font courir aux entreprises des risques forts d’indisponibilité massive du SI. Ces risques sont aujourd’hui inacceptables dans bons nombres d’entreprises. Il faut donc évaluer ces risques et les prendre en compte dans les prochains plans d’action.

Cet article Le jour où les ransomwares ont changé de dimension ? est apparu en premier sur RiskInsight.

Mais au-delà de cette succession de nouveautés, cette situation pose surtout des défis en termes d’organisation et de gestion des compétences qui devront être au cœur des actions en 2016.

2015 : une année charnière

L’actualité du triptyque « menaces / réglementations / produits » a été débordante sur 2015.

Des incidents ultra-médiatisés (Sony Pictures, TV5 Monde, Ashley Madison, VTech…) ont rappelé régulièrement les vulnérabilités des systèmes et l’attrait des cybercriminels et des états pour les données immatérielles des entreprises. Cette médiatisation, parfois exagérée, a au moins le mérite d’attirer l’attention sur la cybersécurité au plus haut niveau dans les entreprises mais aussi largement sur l’ensemble de la population.

Les réglementations se sont renforcées drastiquement (Loi de Programmation Militaire, Règlement européen sur les données à caractère personnel…) et vont nécessiter des investissements de grande ampleur. 2016 sera une année où il faudra intégrer ces nouvelles exigences et cadrer les projets de déclinaison, les échéances commençant à tomber dès 2017.

Les éditeurs n’ont pas été sans imagination pour inventer des nouvelles catégories de produits ou de nouveaux concepts. Après « l’anti APT », les mots-clés « machine learning », « Self Defined Security », « Cloud Access Security Broker – CASB » et bien d’autres nous promettent d’arriver à sécuriser les données dans un contexte de changement permanent où les frontières du SI n’existent plus et où le Cloud est devenu une réalité. De nombreuses startups émergent dans ces domaines et des incubateurs/accélérateurs se spécialisent (Euratechnologies, Cylon…). Nous ne serons donc pas à court de solutions innovantes.

Les cercles et associations s’intéressant à la cybersécurité connaissent également une progression rapide et des commissions « cybersécurité » se relancent ou font leur apparition dans des cercles d’influence qui en étaient alors dépourvus (Syntec, Cigref, Medef…).

Compétences et pilotage : les clés pour réussir les grands programmes cybersécurité

Mais au-delà de cette succession d’évènements à prendre en compte, la situation actuelle pose des défis nouveaux en matière de professionnalisation et de gestion des compétences qui devront être au cœur des actions en 2016.

En particulier, le retour d’expérience du déroulement des grands programmes met en lumière deux limites.

La première, c’est la difficulté à disposer des compétences nécessaires pour mener à bien ces programmes. Que cela soit dans les entreprises ou au niveau des fournisseurs conseil ou intégration, les profils ne sont pas aujourd’hui assez nombreux. D’importants efforts de reconversion ou de recrutement sont en cours (par exemple chez Solucom nous avons recruté plus de 90 personnes cette année dans le domaine de la cybersécurité). Mais ceux-ci ne donneront tous leurs fruits que dans quelques années.

La deuxième c’est la difficulté à faire aboutir ces programmes d’ampleur. D’un côté les acteurs historiques de la cybersécurité sont peu habitués à gérer autant de projets (parfois quasiment une centaine) et de budget (plusieurs dizaines de millions d’euros), dans des délais aussi courts. De l’autre côté, ces chantiers impactent de manière transversale l’entreprise, et en particulier les équipes en charge du SI. Ces dernières, qui sont plutôt en phase de réduction des coûts, comprennent peu l’engagement de moyens sur la cybersécurité, voire n’ont pas la capacité à réaliser les actions demandées. D’autant plus qu’il s’agit souvent d’actions « de fond » telles que la cartographie du SI ou encore une gestion rapide et efficace des changements et des incidents, sujets déjà complexes et en souffrance depuis des années. Sans oublier que le système d’information est de plus en plus diffus, en particulier via le Cloud, et il est toujours aussi difficile de savoir où sont et où vont les données alors qu’elles constituent pourtant – encore plus aujourd’hui qu’hier – une grande partie du patrimoine de l’entreprise.

Ce constat nécessite de renforcer la filière cybersécurité, en particulier de lui adjoindre des ressources, pas forcément expertes en sécurité, mais en mesure de porter des grands programmes.

Une priorité : réinventer la filière « cybersécurité »

2016 sera très certainement une année rythmée par des incidents, des cadrages réglementaires, des grands programmes de sécurité et des tests de produits innovants. Mais 2016 devrait aussi être l’année où la filière « cybersécurite » tirera les fruits de la prise de conscience et se réinventera en s’emparant de ces enjeux.

Comme souvent dans notre secteur, les banques montrent le chemin. Elles ont lancé cette année plusieurs projets de réorganisation de leur filière pour l’adapter aux nouveaux enjeux. Ce mouvement doit se décliner dans les autres secteurs d’activité et entraîner la mise en place d’une organisation équilibrée, répartie dans et hors de la DSI. Cette nouvelle organisation devra être à même de porter des grands programmes et de s’emparer des enjeux métiers, tout en développant son expertise et en assurant au quotidien le maintien en condition de sécurité du système d’information.

Ce qui pouvait paraître impossible précédemment l’est de moins en moins avec le support évident aujourd’hui des directions générales. Mais ces dernières attendent des résultats visibles et rapides.

Cet article Cybersécurité : priorité à la professionnalisation en 2016 ? est apparu en premier sur RiskInsight.

Comprendre les mouvances « hacktivistes »

Équivalent « cyber » des activistes dans le monde physique, ces groupes sont constitués de multiples mouvances, souvent auto-organisées, qui se lient à une cause et utilisent des moyens d’attaques dans le cyber espace pour faire passer leur message. Il est difficile de parler de groupes « organisés » étant donné le nombre de structures qui existent, les différences d’idéologies revendiquées, et la multiplicité de causes défendues (lutte contre la finance, le terrorisme, la police, les « pollueurs »…).

Ils réalisent des actions telles que la publication d’information volées sur des sites, la modification de sites web officiels (defacement) ou encore des attaques en dénis de service visant à saturer des sites web et à les rendre indisponibles.

Leur force repose aussi sur la capacité à rendre publiques et visibles leurs actions, en particulier grâce à de nombreuses communications via les réseaux sociaux et le lancement « d’opérations » qui se fédèrent autour d’un thème et d’un hashtag associé.

Les premières attaques relatives à la COP21

C’est justement l’une des mouvances les plus connues, Anonymous, qui a fait parler d’elle. Tout d’abord le lundi 30 novembre, où le groupe d’abord attaqué le site de l’UNFCC (« United Nations Framework Convention on Climate Change »), réussissant à dérober des informations confidentielles telles que les noms, prénoms, coordonnées, mots de passe chiffrés, questions secrètes… Plus de 1500 personnes enregistrées sur le site seraient touchées par l’attaque.

Puis une deuxième attaque aurait touché un système de diffusion de vidéo révélant potentiellement les comptes et les mots de passe de 300 utilisateurs et employés de la société fournissant des systèmes utilisés par l’UNFCC. La sensibilité de ces données, en particulier vis-à-vis du rôle des personnes touchées, doit encore être confirmée. La motivation de ces attaquants : dénoncer les arrestations de dimanche à Paris suite aux manifestions en partie violente.

Un autre mouvement vise à révéler des informations compromettantes sur des entreprises ou des organisations accusés d’abuser des ressources naturelles. Cette campagne « #OpCanary », existante depuis plusieurs mois, connaît une activité plus forte depuis la semaine dernière et vise actuellement particulièrement le Canada et la société Barrick Gold.

Des conséquences sur les négociations ?

Même si la véracité des attaques et des données doit encore être confirmée, le premier objectif de ces attaquants est en partie atteint : ils font passer leur message publiquement. Au-delà des révélations de données, il est important de souligner que d’autres attaques pourraient être réalisées grâce aux données volées. En particulier les mots de passe, si les personnes concernées ont utilisés les mêmes sur plusieurs sites ou ordinateurs (ce qui est très courant comme le montrait une étude de l’OFCOM au Royaume-Uni avec des taux de réutilisation supérieur à 55%), leur révélation pourraient entraîner d’autres fuites de données. Et, si des officiels sont touchés, cela pourrait être encore plus dommageable en particulier sur les teneurs des négociations.

Affaire à suivre …

Cet article COP21, quand les hacktivistes s’en mêlent… est apparu en premier sur RiskInsight.

Les cyberattaques mettent en lumière les limites de la résilience actuelle et des plans de continuité d’activité

La continuité d’activité est souvent présentée comme un des éléments majeurs de la stratégie de résilience des organisations. Ainsi, face à des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs, les organisations se sont dotées de plans de continuité d’activité (PCA) de manière à assurer leur survie.

Or les cyber-attaques, dans leur forme moderne, n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers focalisés sur un enjeu de disponibilité, n’appréhendent pas la problématique de perte de confiance dans le SI induite par les cyber-attaques.

De plus, les dispositifs de continuité du SI, le plus souvent intiment liés aux ressources qu’ils protègent, sont également affectés par ces attaques. En effet, depuis plus d’une décennie, les dispositifs de continuité (repli utilisateurs ou secours informatique) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide des métiers et au besoin d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyber-attaques. A titre d’exemple, les postes de secours dédiés et connectés des sites de repli sont aujourd’hui très souvent exposés aux mêmes risques de contamination (et destruction) que les postes nominaux.

Les historiques plans de reprise/secours « à froid » (consistant souvent à activer les systèmes de secours en cas d’incident) concernent désormais de moins en moins d’applications, et il s’agit souvent d’applications secondaires.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI. Malheureusement, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments de compromission : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants.

La gestion de crise et les dispositifs de continuité doivent être repensés

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes (autorités, fournisseurs…) eux-mêmes souvent peu préparés sur ce sujet. Ces éléments démontrent qu’il est nécessaire d’ajuster les dispositifs existants. Un des thèmes vise à anticiper des astreintes et des rotations des personnels clés. Au-delà de l’aspect interne, il faudra s’assurer de disposer également des expertises en SSI (investigation numérique, méthode d’attaque…) et de l’outillage de recherche et d’assainissement requis pour comprendre la position prise par l’attaquant dans un SI toujours plus grand et dont les frontières sont de plus en plus difficiles à déterminer. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise et anticiper certaines réponses, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Dans ce contexte, les dispositifs de continuité doivent également évoluer, voire être complètement repensés. Les solutions possibles sont nombreuses, nous pouvons citer en particulier la construction de chaînes applicatives alternatives (non similar facilities), visant à « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. Il s’agit là d’une solution ultime, envisagée pour certaines applications critiques dans le monde de la finance. D’autres solutions, moins complexes, comme l’ajout de contrôle fonctionnel d’intégrité dans le processus métier pour détecter rapidement une attaque (multi-levels controls) ou encore la définition de zone d’isolation système et réseau (floodgate) sont possibles.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilence n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Responsable du Plan de Continuité d’Activité (RPCA) sera alors un plus ! Il est aujourd’hui impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RPCA prendra tout son rôle.

Protéger, détecter, réagir, assainir et reconstruire, voilà donc les piliers d’une cyber-résilience solide. Cyber-résilience qui ne pourra être atteinte que si le RPCA et le RSSI travaillent main dans la main !

Cet article Cyber-résilience : allier les forces du RPCA et du RSSI pour franchir une nouvelle étape est apparu en premier sur RiskInsight.

Il ne s’agit pas de la seule méthode qui peut être imaginée pour pirater un avion, et la maintenance au sol peut aussi être un moment de choix pour s’infiltrer dans le système informatique d’un avion.
Quels sont les risques et comment s’en prémunir ?

Piratage d’un avion depuis le siège passager : un scénario probable ?

Si le récit fait par Chris Roberts a rendu quelques experts dubitatifs, le FBI prend la menace très au sérieux. En effet, l’événement a suscité l’ouverture d’un mandat d’investigation. Celui-ci a révélé que le matériel saisi à sa descente d’avion par le bureau fédéral se composait notamment d’un câble réseau modifié qui lui aurait permis de connecter son ordinateur au système.

Quelle réalité du risque ?

L’utilisation de plus en plus courante de technologies standardisées ou universelles (type port Ethernet) à la différence des particularités de la construction aéronautique conduit à faciliter les cyberattaques puisqu’elles nécessitent moins de connaissances spécifiques à l’aviation.

En raison de l’utilisation de réseaux multiplexés, des passerelles existent entre le système destiné aux passagers et le système avionique qui permet de contrôler l’avion (navigation, communication, pilote automatique…).

Quels scenarii de risque ?

Plusieurs scenarii peuvent être imaginés à partir de ces risques d’intrusion. En effet, le piratage des outils informatiques des autres passagers par le biais du WiFi ou d’un câble Ethernet branché sur le système ouvert est une possibilité. Il serait également possible d’accéder aux informations de communication de l’avion pour diffuser de faux messages sur les écrans des passagers afin de créer des mouvements de panique.

Mais on pourrait également imaginer des injections de logiciels malveillants, des actions sur des systèmes critiques (désactivation ou activation d’équipements de sécurité…).

Maintenance au sol : des avions connectés par 3G ou Wi-Fi

Aujourd’hui, les opérations de maintenance logicielle sur les avions les plus modernes (B787, A380 et A350) peuvent être réalisées à distance. Elles nécessitent une suite logicielle sol, développée par le constructeur, déployée dans la zone de confiance de la compagnie. Ce système sol communique avec l’appareil, lorsqu’il est au sol uniquement, par une connexion 3G ou Wi-Fi avec l’avion afin d’opérer diverses opérations de maintenance informatique. La chaîne de liaison se veut très sécurisée : infrastructure d’authentification en partie cloisonnée, lien VPN, signature de tous les composants. Néanmoins, elle constitue une faille potentielle supplémentaire d’intrusion et de corruption du système.

Quels risques peuvent être identifiés ?

Dans ce cas de figure, le risque de sabotage est prépondérant. Les fonctions avioniques critiques ont peu de chances d’être touchées. Mais des données EFB erronées donneraient déjà des sueurs froides aux pilotes. Les EFB (Electronic Flight Bag) sont des équipements d’aide au vol (carte, approche d’aéroport, procédures…). Une intervention frauduleuse sur ces données semble alors plus probable par une corruption du système que par une attaque directe de l’avion. En effet, elle ne permettrait pas de contourner les mécanismes de signature électronique. Néanmoins, elle est loin d’être infaillible. En effet, de nombreuses attaques reposent désormais sur du vol de certificats, voire des attaques par rebond visant déjà l’émetteur des certificats afin de produire des certificats falsifiés, qui permettent par la suite de conduire l’attaque finale.

Comment atténuer les risques ?

Face à la multiplication des cyberattaques, une coordination européenne est nécessaire pour mettre à jour les mécanismes de sécurité. Elle permettrait d’assurer leur bon déroulement, afin de tenir compte des attaques et des failles les plus récentes. Elle développerait également davantage la certification des systèmes au sol comme à bord. Ces opérations sont potentiellement complexes dans le monde de l’aérien avec les principes de certification des équipements.

La mise en place d’une évaluation du risque selon une approche holistique, qui prendrait en compte tous les cas de figure possibles (risques internes et externes à l’entreprise), permettrait une meilleure identification des acteurs se connectant aux systèmes impliqués dans le fonctionnement de l’aviation civile.

Les récentes annonces sur la sécurité des automobiles connectées montrent que les problèmes de cybersécurité sont de plus en plus prégnants dans les systèmes embarqués, quel que soit le secteur d’activité !

Cet article Cybersécurité dans l’aérien : pirater un avion, c’est possible ? est apparu en premier sur RiskInsight.

Des attaques dont les objectifs sont souvent difficiles à cerner

L’actualité le montre trop régulièrement, les actes cybercriminels se multiplient et visent tous types d’organisation. Certains sont revendiqués et leurs objectifs sont rapidement connus. C’est le cas pas exemple de l’attaque visant le site Ashley Madison où les motivations sont explicites.

Mais dans la plupart des cas, les objectifs de l’attaquant sont beaucoup plus difficiles à identifier ! Il est pourtant crucial de le faire pour pouvoir réagir au mieux et protéger rapidement ce qui n’a pas encore été touché par l’attaque.

Une des clés pour mieux comprendre une attaque consiste à exploiter les erreurs des attaquants. En effet, malgré leur niveau de compétences potentiellement élevé, les pirates restent des humains et commettent souvent des erreurs. Des fautes qu’il est possible d’exploiter pour mieux comprendre l’attaque et la contrer, mais aussi pour identifier ceux à son origine.

Utiliser les erreurs des attaquants pour mieux les comprendre

Le cas récent d’Ashley Madison semble être un bon exemple, même s’il faudra attendre les investigations complètes pour confirmer tous les éléments. Les attaquants auraient diffusé les données volées via BitTorrent en utilisant un serveur loué chez un hébergeur aux Pays Bas. Ils auraient cependant oublié de sécuriser ce serveur, en particulier ils n’ont pas mis de mot de passe sur les interfaces d’administration web. Même si cela ne permet pas de les identifier directement, il s’agit d’une piste de premier choix pour les forces de l’ordre en charge des investigations. Il faut cependant rester prudent car cela peut aussi être une forme de diversion réalisée par les attaquants. Affaire à suivre !

Autre exemple, le cas « Red October ». C’est l’affaire d’une vaste opération de cyber espionnage qui a commencé en mai 2007 et qui a été découverte par le cabinet Kaspersky quelques années plus tard. Le cabinet a réussi à identifier, bloquer et neutraliser le logiciel malveillant en utilisant une faille de l’attaque. En effet, les noms de domaines pour les serveurs d’exfiltration qui étaient utilisés dans le code malveillant n’avaient pas été réservés par les attaquants. Cela a permis à Kaspersky de simuler un de ces serveurs et de voir qui était infecté et quelles données étaient capturées.

Parfois, ces erreurs permettent même d’identifier les auteurs de l’attaque, comme ce fut le cas avec la traque de la personne derrière le malware PlugX.

Nos consultants ont d’ailleurs eux aussi rencontré ce genre de situation dans le cadre d’une attaque ciblée chez un de nos clients. Les pirates avaient en effet « oublié » la présence d’un keylogger sur les serveurs internes utilisés pour l’exfiltration des données, ce qui a permis à nos experts d’identifier quelles données étaient ciblées et où elles étaient envoyées. Nous avons même pu récupérer le login et le mot de passe utilisés par les attaquants. Le concept de « l’arroseur arrosé » remis au goût du jour.

Savoir tirer parti de ces informations pour mieux gérer la crise

Les informations obtenues grâce à ces erreurs sont très précieuses, elles permettent ensuite d’adapter la réponse à l’incident. D’autant plus que les attaquants utilisent parfois des mécanismes de diversion « bruyants » (redémarrage de machines, effacement de fichiers, forte activité CPU, voir déni de service…) afin de détourner l’attention des vrais données qu’ils visent. Une compréhension « métier » des objectifs de l’attaque permet d’éviter de se focaliser sur ces pièges.
Il est même souvent intéressant de laisser l’attaque se dérouler pour mieux la comprendre.

Les réflexes face aux incidents de sécurité « classiques » (déployer des signatures antivirales, réinstaller des serveurs…) sont donc aujourd’hui largement révolus. Il faut adopter une approche dynamique de la crise, s’intéresser à son objectif métier et utiliser les erreurs des attaquants pour être plus pertinent, en pouvant même envisager des réponses « actives » à l’attaque. Un challenge pour les équipes de réponses à incidents, qui doivent adapter leurs méthodologies et leurs réflexes, mais un objectif crucial pour lutter contre ces attaques

Cet article Cybercriminalité : savoir profiter des erreurs des attaquants est apparu en premier sur RiskInsight.

Au milieu de l’été : une nouvelle proposition de loi sur le secret des affaires en France

La date n’a pas été choisie au hasard. Alors que les discussions actuelles au Parlement Européen autour du projet de règlement sur le traitement des données personnelles rentrent dans leur phase finale, et que l’application de la Loi de Programmation Militaire est attendue très prochainement avec les publications des décrets sectoriels, la France souhaite légiférer sur la protection des données entreprises. Ce manque avait déjà été mis en avant dans le rapport du groupe interministériel sur la cybercriminalité à travers la recommandation n°18 qui préconisait la création d’incriminations particulières pour le secret des affaires.

La résurrection tardive de ce projet de loi, plus ambitieux que son prédécesseur, montre bien à quel point il est compliqué de légiférer sur ce sujet épineux. La France poursuit donc sa volonté de construction d’un cadre législatif complet et spécifique pour tous les enjeux cyber stratégiques.

Vers une règlementation plus protectrice et plus sévère pour les intérêts économiques essentiels du pays

Par rapport au projet de loi dit Carayon cette nouvelle proposition comporte très peu de nouveautés. Nous pouvons citer par exemple que la tentative de violation du secret des affaires est punie au même titre que le délit, qu’un alourdissement des sanctions a été ajouté quand la violation du secret des affaires concernent les intérêts économiques essentiels de la nation (7 ans contre 3 ans d’emprisonnement et 750 k€ contre 350 k€ d’amende précédemment). Ont été également ajoutées des mesures législatives afin de contrer les procédures de type « discovery » obligeant les entreprises françaises à dépendre de tribunaux étrangers et donc de devoir communiquer leurs secrets d’affaire.

Cependant les obligations précises pour les entreprises ne sont pas encore définies. A l’heure actuelle l’information protégée doit seulement faire  « l’objet de mesures de protection raisonnables, compte tenu de sa valeur économique et des circonstances, pour en conserver le caractère non public. ». Ces éléments seront précisés ultérieurement.

Quelle réalité et quel avenir pour cette proposition de loi ?

L’initiative de cette proposition ne venant pas du gouvernement lui-même (c’est donc bien une proposition et non un projet de loi), ce texte devrait suivre un processus parlementaire plus long.

Des travaux parlementaires afin de cibler les obligations pour les entreprises sont en cours. Son étude par l’Assemblée Nationale avant le Sénat n’est pas prévue avant novembre 2014. Cependant, comme le souligne le texte de la proposition, une directive européenne est aussi en cours de discussion au parlement européen. Cette directive, déposée le 28 novembre 2013, pourrait rendre obligatoire une législation nationale sur ce sujet. L’enjeu est donc ici d’anticiper l’adoption de cette directive en mettant en place en amont un cadre juridique clair à l’échelle française.

Le futur impact pour les RSSI reste difficile à estimer, l’identification des informations sensibles au sein des entreprises risque d’être complexe. Cependant la reprise des négociations autour de la protection des données entreprises reste une bonne nouvelle, et ne demande qu’à être confirmée dans la suite des discussions parlementaires !

Cet article Le « secret des affaires » de retour dans le débat public, encore un essai sans suite ou réelle prise de conscience ? est apparu en premier sur RiskInsight.

L’Autorité des marchés financiers (AMF) obligent depuis 2009 les entreprises à préciser les facteurs risques dans leurs rapports annuels. Nous avons donc souhaité mesurer le niveau de prise en compte des risques SI en réalisant pour cela une étude comparative des rapports annuels des entreprises du CAC40 sur les années 2010 (première année où l’obligation a été prise en compte) et 2013 (rapports les plus récents). L’étude a été réalisée en se basant sur les rapports et documents de référence disponibles au 15 mai 2014.

Elle nous a permis d’identifier le niveau de prise en compte des enjeux cyber par ces entreprises et les actions mises en place pour se protéger.

Une prise en compte de la cybersécurité en forte augmentation mais qui reste « timorée »

L’analyse des rapports montre une prise en compte forte des enjeux cybersécurité par les entreprises dès l’année 2010, avec une augmentation en 2013 : en 2013, 95% des entreprises  mentionnent une stratégie SSI contre 73% en 2010. Le terme « cyber » en lui-même apparait dans plus de 50% des rapports annuels. La prise en compte des problématiques cybersécurité en France est donc quasi unanime. En comparaison, au Royaume-Uni, il apparait que seules 60% des entreprises du FTSE100 mentionnent la problématique des risques SI. Ce chiffre est cependant à nuancer car la base de comparaison de ces deux études est différente (40 entreprises au CAC vs 100 au FTSE).

La part des entreprises ayant initié des actions pour faire face aux risques SSI est également croissante : elle est passée de 45% en 2010 à 78% en 2013.

Malgré cette prise en compte de plus en plus croissante, les entreprises sont encore peu loquaces dès lors qu’il s’agit de mentionner les incidents cyber dont elles ont pu être victimes. Deux entreprises uniquement le précisent, alors qu’elles sont beaucoup plus nombreuses à en avoir été victimes (publiquement  ou non). Ce sujet est encore tabou ; l’évolution du cadre réglementaire à venir dans les prochaines années devrait changer la donne.

Des informations hétérogènes dans les rapports de 2013

Ces rapports mettent en lumière les sujets clés pour les entreprises aujourd’hui.  Beaucoup mentionnent la nécessité de l’ouverture de leurs systèmes d’information, de la protection des données personnelles et les évolutions organisationnelles et technologiques que cela pourrait entraîner. Les impacts du Big Data, du Cloud Computing ou du BYOD sont cités dans plus de la moitié des rapports.  

Les entreprises précisent également les menaces auxquelles elles doivent faire face. Une trace du passé subsiste car encore beaucoup de rapports mentionnent les virus. Mais pour la majorité des entreprises, l’espionnage industriel et l’évolution de la cybercriminalité apparaissent comme des craintes fortes : ces deux tendances sont présentées comme des menaces pesant sur l’entreprise. À noter, un réalisme de plusieurs acteurs qui indiquent subir ou pouvoir subir des pertes dues à ces menaces, malgré les efforts de protection et la prise en compte de ces risques. Le message semble s’être bien diffusé : l’invulnérabilité n’existe pas en matière de cybercriminalité. Cette prise en compte se manifeste également par la mention de normes, standards internationaux ou recommandations faites par des acteurs comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ou l’Organisation Internationale de Normalisation (ISO), même si seules cinq entreprises mentionnent utiliser ces normes. Ce chiffre qui peut paraitre faible par rapport à la réalité observée sur le terrain.

Le sujet de la sécurité des SI industriels reste le parent pauvre des rapports. Alors qu’il concerne la moitié des entreprises du CAC 40, seules 3 le mentionnent dans leur rapport.

Il est également intéressant de relever que la nature de la cible des rapports annuels (actionnaires, investisseurs) modifie la nature des messages. Plus que de projets techniques de sécurisation, les entreprises parlent de gouvernance sécurité et de contrôle interne. Le niveau de prise en compte est également très variable dans le vocabulaire utilisé et la précision des termes employés.  Il doit cependant être relativisé considérant le degré d’implication des fonctions sécurité dans la rédaction des rapports… et la sensibilisation encore jeune des fonctions communication et financière responsables de ces documents aux problématiques sécurité. Les informations communiquées et le niveau de détails  des programmes mis en œuvre est également très variable : de quelques lignes mentionnant le risque … à des extraits des méthodologies utilisées.

 Quelles évolutions attendre dans les rapports de 2014 ?

Plus personne ne nie aujourd’hui l’enjeu cybersécurité. Les entreprises semblent ainsi de plus en plus conscientes des impacts potentiels et agissent afin de se protéger. Des efforts de transparence sont cependant encore à réaliser, particulièrement concernant la notification des incidents et leur mention.

La prise en compte de la cybersécurité devrait encore connaître une augmentation forte entre 2013 et 2014, du fait de la succession des incidents mais aussi de la promulgation de la Loi de Programmation Militaire, qui entraîneront mécaniquement des actions dans les entreprises concernées (notamment les Opérateurs d’Importance Vitale).

[Article rédigé sur la base d’une étude réalisée par Oumeima Guessous, Pierre-Alain Pocquet et Victor Stril, consultants]

Cet article Cybersécurité, quelle prise de conscience des entreprises ? Analyse des rapports annuels du CAC40 est apparu en premier sur RiskInsight.

Retour sur l’attaque Target : 40 millions de données bancaires subtilisées

Entre le 27 Novembre 2013 et le 15 Décembre 2013, Target s’est fait subtiliser plus de 40 millions de données bancaires, auxquelles s’ajoutent 70 millions de données personnelles. La méthode d’attaque est classique, mais bien exécutée : les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation. Le système de facturation externe de Target auquel le sous-traitant (et donc les attaquants) avait accès n’étant pas complétement isolé du réseau interne, les cyber-criminels ont réussi à s’y infiltrer, à voler 70 millions de données personnelles, et à installer un logiciel malveillant sur quelques  terminaux de paiements. Après des tests concluants sur les magasins concernés, ils ont décidé, peu avant Noël où l’affluence est la plus forte, de déployer leur malware sur la plupart des terminaux de paiements des magasins du territoire américain.

Les motivations des attaquants sont purement financières. En effet, une donnée personnelle se vend sur le marché noir entre  0,25$ et 2$ environ, tandis qu’une donnée bancaire peut rapporter plusieurs dizaines de dollars. Les gains sont donc potentiellement colossaux pour les attaquants !

Quel coût pour Target ?

Ponemon Institute annonce dans son rapport de 2013 un coût moyen de 130$ par donnée subtilisée, ce qui nous amènerait dans le cas de Target à un montant de plus de 14 milliards de dollars ! Il est cependant très peu probable dans ce cas que de tels montants soient atteints… quoique.

Les conséquences financières de l’attaque pour Target sont multiples. Hormis la perte de clientèle suite à la médiatisation de l’incident, Target a dû faire face à de nombreux coûts : frais d’expertise technique pour colmater la brèche, frais de notification, frais de credit monitoring… et devra faire face à de nombreux autres : amendes règlementaires, procès…

Target a récemment déclaré avoir dépensé 61 millions de dollars pour le moment suite à l’attaque. Ce montant, a priori assez faible au regard de l’importance de la crise (rien que les coûts de credit monitoring devraient dépasser ce chiffre, sans compter les frais de notification), est dans tous les cas assez loin du coût final. En effet, s’il est prouvé que Target n’était pas en conformité avec le standard PCI-DSS au moment de l’attaque, le distributeur peut encourir une amende de 90$ par donnée bancaire, soit 3,6 Md$. De plus, les banques tenteront dans ce cas de se faire rembourser la réémission des dizaines de millions de cartes reconstruites ainsi que les fraudes associées, tandis que les individus touchés intenteront probablement une class-action (procès collectif) à l’encontre de Target…

Et la cyber-assurance dans tout ça ?

C’est là que la cyber-assurance prend tout son sens, en indemnisant une partie non négligeable de ces coûts. La cyber-assurance prend en effet en charge les frais suivants :

Target a déclaré que sur les 61 millions de dollars dépensés, 44 ont été pris en charge par la cyber-assurance, l’ensemble des garanties souscrites par Target s’élevant à 165 M$ environ.

Cependant et il est important de le noter, la cyber-assurance ne couvrira pas la perte de clientèle et la chute du cours de l’action en bourse, qui restent des impacts importants mais difficilement chiffrables.

Il convient également de remarquer que l’attaque en question touche les terminaux de paiements, soit le SI « métier » qui peut parfois faire l’objet d’exclusions dans les contrats de cyber-assurance. Il est donc primordial de tester sa couverture via des scénarios d’attaques concrets.

La difficulté d’estimer le coût d’un scénario catastrophe et des garanties nécessaires

Pour traiter ce type de risque, la cyber-assurance peut donc avoir un rôle à jouer. Cependant, le montant de garantie à souscrire n’est pas simple à déterminer. Il influe directement sur le montant de la prime annuelle à payer par l’assuré, il faut donc trouver le juste milieu entre garantie et coût. Pour ce faire, une analyse détaillée des coûts par scénario peut être menée. Celle-ci permettra d’estimer le montant de garantie complémentaire nécessaire, une fois déduites les garanties des éventuelles autres assurances couvrant une partie du risque : Responsabilité Civile, Tous Risques Informatiques…

Mais ces estimations peuvent amener à des chiffres astronomiques, dépassant allègrement les 500 à 600 millions d’euros pour des acteurs B2C d’ampleur. Le coût de l’assurance en regard est alors élevé, mais judicieux au vu de la multiplication des incidents actuellement. Des grandes entreprises n’hésitent plus à investir 1 million d’euros par an pour ce type de contrat. Les capacités du marché français sont d’ailleurs en constante augmentation, atteignant aujourd’hui jusqu’à 500 millions d’euros de garanties par police d’assurance.

Mais attention à ne pas faire ces dépenses au détriment de l’augmentation du niveau de sécurité de l’entreprise. Car l’assurance n’empêche pas l’incident ! Le cas Target montre bien que des signaux d’alertes ont été ignorés.

Target apparait donc comme une illustration parfaite du rôle de la cyber-assurance dans le cas d’une cyber-attaque majeure. Cependant, un travail non négligeable d’estimation des coûts est nécessaire pour déterminer le montant de garantie à souscrire, afin d’optimiser le montant de la prime annuelle. Et ceci sans oublier de protéger son système d’information des menaces cybercriminelles de plus en plus pointues !

Cet article Target 6 mois plus tard, quel retour sur la cyber-assurance ? est apparu en premier sur RiskInsight.

Des virus ou vers massifs : les premiers impacts généralisés

Les codes malveillants ont ensuite évolué, devenant de plus en plus visibles et entraînant des impacts bien réels dans les entreprises. C’est au début des années 2000 qu’ils ont fait le plus parler d’eux. Nimda (2001), Blaster (2003), Sasser (2004), tous ces noms donnent encore des sueurs froides aux responsables des postes de travail ou des réseaux. Ces codes malveillants entraînaient des indisponibilités massives en saturant les réseaux et ont mis en lumière les vulnérabilités et la fragilité du SI. Leurs effets sont somme toute restés limités à des indisponibilités et à des efforts humains importants de nettoyage au sein de la DSI. Conficker marque le dernier évènement marquant de cette catégorie… et il date maintenant de 2008. On trouve encore dans certains SI un peu de ces « anciens » codes malveillants, assez simples à nettoyer et dont on peut se protéger par des mesures basiques (application de correctif, blocage de flux sur les réseaux…).

Au-delà des dénis de service, les malwares deviennent des plateformes d’espionnage et de destruction

Aujourd’hui la situation a bien changé, et depuis le début des années 2010, nous voyons apparaître des codes malveillants d’un tout autre niveau. Des codes très impactants et pouvant provoquer des incidents majeurs. Nous  pouvons citer les malwares « incapacitants » ou « destructeurs », comme ceux ayant visé la Corée ou l’Arabie Saoudite, et ayant entraîné la destruction de postes de travail, ou encore le fameux ransomware Cryptolocker qui rend les données inaccessibles. Dans cette catégorie, Stuxnet représente certainement le code malveillant le plus abouti sur les systèmes industriels.

Certains codes malveillants sont aussi capables de devenir de véritables espions de l’activité d’une entreprise. Les fameux Gauss, Duqu, ou encore très récemment The Mask, sont capables de s’installer sur le SI d’une entreprise, de prendre le contrôle de postes de travail et d’exfiltrer des informations très sensibles sans être facilement détectés. Aujourd’hui ces codes malveillants sont issus de vrais groupes organisés, dotés de moyens importants et d’équipes entraînées. La révélation de The Mask le montre bien : le code malveillant et son infrastructure de contrôle disposaient de mécanismes pour bloquer les équipes des éditeurs de sécurité et une fois révélé, toute l’infrastructure a été décommissionée en 4 jours. L’organisation derrière ce malware avait bien prévu un « kill switch » pour disparaître en cas de compromission. Le changement de niveau technique et de moyens est bien réel, car les enjeux eux aussi ont beaucoup évolué depuis les années 1980 et la digitalisation progressive de notre société.

La fin du support de Window XP verra-t-elle ressurgir des menaces historiques ?

Il est évident que des codes malveillants « avancés » vont être révélés régulièrement. Les attaquants voient tout l’intérêt de continuer à faire évoluer leurs « armes numériques » et la montée en puissance est encore en cours. Les révélations sur la NSA montrent que les services de renseignement ont encore un cran d’avance avec des mécanismes d’attaques avancés, très discrets, et prévus pour se cacher en cas d’investigation.

Mais des problèmes que l’on croyait appartenir au passé reviendront-ils  à court terme ? En effet la fin du support de Windows XP peut faire ressurgir la crainte d’un ver réseau incapacitant qui se répandrait sur les systèmes d’information, utilisant encore cette version du système d’exploitation. La crainte est réelle dans les entreprises face à cet ancien type de menaces, et nous accompagnons de nombreuses structures qui se préparent à cette éventualité en revoyant leur processus de crise et en prévoyant des moyens de réactions et de préventions adéquates aujourd’hui.

Cet article De « I Love You » à « Blaster », va-t-on voir un retour des codes malveillants du passé ? est apparu en premier sur RiskInsight.

Cette multiplication d’évènements montre que toutes les organisations peuvent être concernées. Et lorsqu’un incident survient, c’est tout l’écosystème de l’entreprise qui doit être mobilisé pour gérer la crise : clients et collaborateurs, mais aussi fournisseurs, partenaires, presse…

Force est de constater que peu de structure ont déjà mise en place un plan de communication de crise face à un incident lié à la cybercriminalité. Aujourd’hui, le RSSI doit se positionner comme le chef d’orchestre de cette démarche. Quelles sont les cibles prioritaires à inclure ? Quel type de message préparer ? Voici des éléments de réponses issues de nos retours d’expérience.

La direction générale : expliquer, analyser et mobiliser

Les RSSI parlent à leur direction depuis des années ; c’est même une de leurs cibles de prédilection. Mais les messages doivent aujourd’hui changer. Jusqu’alors en effet, le RSSI, essayait d’attirer l’attention sur son sujet, afin d’obtenir des ressources par exemple.

Aujourd’hui, il doit démystifier ce qu’il se passe, donner des clés de lecture sur un sujet qui touche maintenant le grand public. A titre d’illustration, les Echos ont publié depuis juin 2013 156 articles consacrés à Edward Snowden.  Cette abondance d’information peut générer des incompréhensions ou des doutes : en quoi mon entreprise est-elle concernée ? Peut-on se protéger ? Un incident de type Target ou Vodafone est-il envisageable chez nous ? Que fait-on en matière de protection ?  Cette communication devra être claire, synthétique… et transparente. Sans sombrer dans le fatalisme ou au contraire l’excès de confiance, elle mettra  en lumière la réalité des menaces pour l’entreprise et les vulnérabilités qui demandent à être traitées dès aujourd’hui.

Ressources humaines et communication interne : des alliés pour sensibiliser les collaborateurs

Les collaborateurs sont une cible essentielle pour le RSSI. Même si les actions de sensibilisations ne sont pas à 100% efficaces, elles sont nécessaires pour minimiser les risques. Comme dans le cas de la direction générale, le RSSI dispose avec l’actualité récente d’une opportunité de communication sans précédent.

Des messages simples et clairs pourront être adressés à l’ensemble des utilisateurs pour leur rappeler leur devoir vis-à-vis du système d’information. Les ressources humaines et la communication interne apporteront  à ces campagnes leur maîtrise des canaux et des codes internes de communication, propre à chaque entreprise. Pour renforcer l’impact des messages,  n’hésitez pas à faire un parallèle avec les situations de la vie privée que les utilisateurs rencontrent (banque en ligne, réseaux sociaux…), les messages seront mieux assimilés.

Les fonctions SI / métiers critiques : maintenir la vigilance des fonctions les plus ciblées

Les incidents récents montrent clairement qu’aujourd’hui les cybercriminels savent mener des attaques ciblées sur les fonctions sensibles de l’entreprise. Même s’ils sont connus, ces scénarios restent encore très efficaces. Une communication spécifique pour maintenir l’attention de ces populations en éveil est nécessaire. L’utilisation d’exemples concrets sera particulièrement efficace et il en existe de nombreux, des photos de Carla Bruni pour piéger des diplomates  à l’appel téléphonique pour pousser un utilisateur à réaliser des virements frauduleux.

Ces trois premières catégories ne sont pas nouvelles : les RSSI ont l’habitude de travailler avec elles. Leurs messages doivent néanmoins s’adapter.

Surtout, nous assistons à l’émergence de deux nouvelles cibles de communication, à qui les évènements récents ont conféré une forte importance.

La direction de la communication : préparer la crise pour en réduire l’impact auprès du public

La probabilité qu’un incident se produise dans les grandes organisations augmente singulièrement ces derniers temps, avec des cas dans tous les secteurs d’activités et de plus en plus d’occurrence en Europe et en France. Surtout, la conscience que de tels incidents peuvent se produire augmente, rendent les directions de la communication plus réceptives au discours des RSSI.

Une communication rapide, structurée clairement,  est nécessaire  dans des situations de crise. Bien souvent néanmoins, les crises liés à la cybercriminalité ne sont ni connues ni envisagées par les équipes de communication. C’est le bon moment pour le RSSI d’échanger avec ces entités (communication institutionnelle mais aussi de crise) et de les sensibiliser à ce qui pourrait se passer en cas d’attaques.

Quelques réunions de travail, permettront de réfléchir ensemble aux différents temps médiatiques et de définir les postures de base à adopter en cas de phishing (email frauduleux aux clients), de sites web modifié (défacement) ou encore en cas d’interruption de service (Dénis de service DDoS).

Direction de la relation clients : savoir activer les canaux en cas de crise

2014 va rendre cet interlocuteur incontournable pour le RSSI… cette année sera en effet celle du vote du règlement européen sur la protection des données à caractère personnel. Le texte devrait imposer la notification des incidents de sécurité aux clients concernés par un vol de données à partir de 2016.

Il s’agira d’une obligation majeure qui entraînera un changement de posture dans la relation client. Ce changement doit être anticipé dès maintenant. Les retours d’expérience  montrent qu’au-delà du coût important lié à ces notifications (entre 10 et 200 € par client suivant la gravité des fuites de données et les pays concernés), les effets sont réels sur les canaux de communication classique (agences, call-center, site web, réseaux sociaux…) qui peuvent se retrouver dépassés par l’afflux de demandes liés à l’incident. Il faudra donc anticiper ces communications, qu’elles soient requises par la loi ou rendues nécessaires en réponse à la publication par les attaquants des données. Comme avec les directions de la communication, des premières réunions de sensibilisation et de découverte du sujet pourront être organisées. La réalisation de fiches réflexes de communication ou encore d’exercices de crise est un bon moyen d’avancer ensuite.

L’aspect « communication » de la fonction du RSSI ne doit donc pas être négligé. Celle-ci connaît  aujourd’hui une évolution forte, passant d’un rôle de sensibilisation aux bonnes pratiques à une démystification de l’actualité jusqu’à un vrai rôle de communiquant opérationnel lors de gestion des crises.

Cet article RSSI, communiquez avec ceux qui communiquent ! est apparu en premier sur RiskInsight.

Après ces révélations, 2014 devra être une année de progression pour la communauté dans son ensemble. Les directions sont connues et les principes partagés. Néanmoins, leur promotion et leur application se feront sur  2014 !

2013 aura fait avancer la prise de conscience… Que peut –on souhaiter à la sécurité de l’information 2014 ?

Une sécurité plus transparente

C’est possible ! L’exemple de l’intégration de la reconnaissance biométrique à l’iPhone 5S le montre. Même si la solution n’est pas parfaite, elle a permis d’augmenter significativement le niveau de sécurité des personnes  qui n’utilisent pas de code de verrouillage en raison de la gêne qu’il représente. Au premier rang desquelles on peut citer la PDG de Yahoo, Marisa Meyer…

 Une sécurité plus ancrée dans le quotidien de la DSI

Un chemin important reste à parcourir pour maintenir une hygiène de base dans le SI. La question de l’application des correctifs et des mises à jour en est un exemple frappant. L’ANSSI pousse dans ce sens avec ses 40 règles d’hygiène. Le vote de la loi de Programmation militaire ne fera que renforcer cette orientation pour les structures concernées. Et rappelons que même les structures les plus visés par des attaques ne sont pas encore toutes au point sur ces sujets !

Une sécurité mieux appropriée par les métiers

Nous avons assisté en 2013 à une multiplication des attaques informatiques visant des activités métiers – comme les fraudes dans les agences Santander ou RBS, le premier malware visant SAP ou encore les attaques ciblées sur les systèmes gérant les plafonds de paiements de carte bancaire. Elles montrent aux métiers que lorsqu’un incident survient, certes le SI est touché, mais les cibles finales sont bien les données des métiers ! Ces cas entraînent des prises de conscience fortes. Nous ne pouvons évidemment pas souhaiter d’en voir plus, mais espérer que ces incidents auront été des aiguillons suffisamment forts pour montrer aux métiers, au-delà même des entreprises touchées, l’importance de leur implication au quotidien.

Une sécurité plus à même de détecter et de réagir en cas d’incidents

2013 aura connu son lots d’incidents. Toutes les menaces ont été mises sur le devant de la scène. États avec le rapport APT1 et les révélations sur la NSA, cybercriminels avec l’arrestation du plusieurs profils de haut niveau (Paunch par exemple) et des attaques destructrices (Corée du Sud) ou paralysantes (Cryptolocker). Tout ceci montre clairement que les incidents peuvent se produire et qu’il n’est pas toujours possible de les éviter. Il faut donc se préparer à réagir efficacement !

Une sécurité qui anticipe les innovations

Les évolutions se succèdent dans la société et la sécurité doit les accompagner si elle n’arrive pas à les devancer. Les objets connectés sont aujourd’hui au cœur de toutes les attentions, et 2013 nous a montré leurs vulnérabilités. Lunettes Google Glass, voiture Ford ou Toyota, ampoules Philips Hue, drone Parrot, tous ces systèmes ont été piratés. Et sur ce volet, les efforts de sécurité doivent être réalisé en amont, en effet, il sera très complexe de les mettre à jour une fois distribués sur le terrain !

La plupart des membres de la communauté de la sécurité de l’information partagent déjà ces orientations, mais il est bon de les rappeler et de les confirmer afin qu’elles guident nos actions sur 2014 !

Cet article Que souhaiter pour la sécurité de l’information en 2014 ? est apparu en premier sur RiskInsight.

Des craintes à relativiser …

Disponibilité du Cloud

Chaque incident touchant l’un des grands acteurs du Cloud fait la « Une » de l’actualité, mettant sur le devant de la scène la question de sa disponibilité.

Il s’agit pourtant d’un faux problème : les taux de disponibilité des services Cloud sont souvent  supérieurs à ceux des systèmes internes des entreprises. La situation, d’un point de vue médiatique, est comparable à celle des accidents aériens : bien que rares, ils choquent l’opinion et intéressent les journalistes beaucoup plus que les accidents de voiture, qui font pourtant annuellement plus de victimes. La disponibilité n’est donc pas un risque inhérent au Cloud. Il reste néanmoins une spécificité à laquelle il faut prêter attention : la connectivité avec le fournisseur Cloud. Si celui-ci utilise internet comme unique moyen d’accès à ses datacenters, le risque d’indisponibilité de cet accès et d’internet en tant que tel doit être pris en compte.

 Confidentialité des données

Mes données sont-elles isolées de celles des autres clients ? Les administrateurs peuvent-ils y accéder ? Il est important de remettre ces craintes en perspective. D’une part, toutes les données de l’entreprise ne sont pas critiques en termes de confidentialité. D’autre part, si ces questions se justifient dans certains cas, elles ne sont pas nouvelles et ont trouvé leurs réponses il y a déjà plusieurs années, à l’heure des premiers contrats d’externalisation IT ou de l’emploi d’administrateurs prestataires. Les principales différences résident dans l’éloignement potentiel et le degré de contrôle possible du fournisseur.

La confidentialité des données vis-à-vis des Etats reste un sujet plus complexe à adresser. Ces derniers disposent en effet de textes leur permettant d’accéder aux données présentes dans les systèmes hébergés sur leur sol. Les USA font souvent figure d’épouvantail, leurs textes ayant en plus une portée extraterritoriale (Patriot Act, FISAA). Ces textes permettent à la justice et aux forces de l’ordre américaines d’accéder aux données manipulées par des sociétés de droit américain quel que soit le client et la localisation des données. Le risque est donc que des Etats aient accès aux données dans un objectif d’espionnage économique. Ce risque est réel comme l’illustrent les révélations sur les moyens dont dispose la NSA. Mais là encore, la portée du risque est à mesurer. Seules quelques données ont un niveau de sensibilité élevé : étatiques (administrations, défense, etc.), stratégiques pour l’entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc.

 Conformité réglementaire

La conformité réglementaire (PCI-DSS, LIL…) des offres Cloud, notamment en matière de protection des données à caractère personnel est également un sujet d’inquiétude. La situation reste très variable en fonction des acteurs, même si des réponses techniques (localisation des données, chiffrement…) ou juridiques (Safe Harbour, contrat type de la commission européenne…) existent aujourd’hui chez la plupart d’entre eux.

… car la sécurité est au cœur de la préoccupation des fournisseurs

Très visibles et régulièrement attaqués, les fournisseurs majeurs de Cloud mettent souvent en place des équipes dédiées pour assurer la sécurité de leurs services. La sécurité est même devenue pour certains d’entre eux l’un  des principaux arguments de vente.

Attention cependant : tous n’assurent pas le même niveau de sécurité. Il reste donc important de préciser avec le fournisseur les mesures incluses dès la signature du contrat, d’autant qu’il est difficile de faire évoluer les mécanismes de sécurité d’un fournisseur quand ceux-ci ne sont pas prévus initialement. Certains fournisseurs de solutions « SaaS métier » de taille petite et intermédiaire négligent parfois la sécurité : les audits et tests d’intrusion ont pour ce type d’offres une importance accrue.

Vers une coresponsabilité fournisseur / entreprise

Analyse de risque : passer de l’intention à l’action

Suivre une démarche d’analyse de risque est impératif pour lever les freins relatifs à l’adoption du Cloud. La finalité de l’analyse n’est pas d’interdire le Cloud par défaut mais plutôt d’identifier les données sensibles afin d’accompagner les projets de la manière la plus sûre et la plus pertinente. L’implication des responsables sécurité dès le démarrage des projets est donc essentielle. Ils doivent identifier les risques que l’on peut réduire par des moyens techniques et organisationnels, et ceux résiduels impossibles à couvrir. Aux Métiers et à la Direction de décider ensuite si ceux-ci sont acceptables ou non pour l’entreprise. Et de revoir si besoin le périmètre de la démarche Cloud.

Des contrôles à ne pas négliger…

Durant le projet ou en amont lors de la phase de choix des fournisseurs, il est recommandé de poser des questions précises sur les mesures de sécurité pour ne pas laisser place à des réponses ambiguës. Par exemple, beaucoup de fournisseurs mettent en avant leurs certifications.

Il convient de vérifier le type de certification et le périmètre concerné. Un certain nombre d’acteurs du Cloud acceptent d’ailleurs de fournir des détails sur l’architecture de leur solution, après signature d’un accord de non-divulgation. La capacité à répondre rapidement et de manière détaillée aux questions permet de se forger un avis sur la maturité de l’offre proposée.

En outre, la possibilité d’auditer le prestataire Cloud est un bonus à ne pas négliger. Accepter un audit est une preuve de transparence du fournisseur et de confiance en son niveau de sécurité. Même si les plus grands acteurs anglo-saxons s’y refusent, il est toujours utile de poser la question, notamment pour des acteurs de taille intermédiaire.

Des référentiels émergents

Un outillage commence à voir le jour pour aider les entreprises à évaluer les risques et le niveau de sécurité inhérent. En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié un guide pour accompagner les démarches de type Cloud computing. Au niveau européen, l’ENISA (European Network and Information Security Agency) fournit une analyse générique mais complète des risques liés au Cloud. Enfin, outre- Atlantique, l’association Cloud Security Alliance, qui regroupe les acteurs majeurs, a mis au point la Cloud Controls Matrix. Cette matrice permet de comparer de nombreux fournisseurs sur des critères de sécurité précis. Bien que fondée sur les seules déclarations desdits fournisseurs, elle peut s’avérer utile pour comparer les offres.

Le chiffrement : graal de la sécurité Cloud ?

Parmi les solutions techniques permettant de réduire les risques du Cloud, le chiffrement se positionne en tête. Et si aujourd’hui son utilisation nécessite souvent de donner les clés de déchiffrement au fournisseur, des innovations technologiques se profilent. Elles permettront de transférer et de traiter des données à distance sans jamais donner au fournisseur d’accès direct. Bien qu’encore expérimentales, ces techniques, rassemblées sous la bannière du chiffrement homomorphique, méritent qu’on les suive avec attention.

Ne pas mettre ses responsabilités dans les nuages

Contrairement à ce que trop d’entreprises pensent, leur responsabilité ne s’arrête pas une fois la solution Cloud mise en production. Si le fournisseur est tenu de respecter un certain nombre

de règles de sécurité, le maintien du niveau de protection dans le temps relève aussi de la  responsabilité de l’entreprise. Pour cela, les bonnes pratiques appliquées au SI d’entreprise doivent être transposées au Cloud : gouvernance de la sécurité (processus, sensibilisation des utilisateurs), administration fonctionnelle de la sécurité, configuration des options de sécurité avancées, restriction des droits requis par les utilisateurs, formation des administrateurs, revue régulière des paramètres de configuration… Ceci est particulièrement vrai pour la gestion des identités et des accès, élément clé pour garantir la confidentialité des données dans le Cloud.

Cet article Sécurité et Cloud, un mariage de raison est apparu en premier sur RiskInsight.

Une attaque motivée par la perspective de gains financiers

L’enquête semble converger vers un prestataire de l’opérateur qui aurait réalisé le vol de données. Ce dernier a déjà été interpellé par les forces de l’ordre, preuve pour les plus sceptiques, de l’efficacité aujourd’hui des autorités sur ces dossiers d’attaques informatiques. Nous en saurons certainement plus dans les jours qui viennent sur ses motivations, mais la recherche de gains financiers ne doit pas être négligée. Aujourd’hui, un « enregistrement client » (nom, prénom, adresse…) peut se monnayer autour de 15 centimes de dollars, ce qui représente quand même plus 300 000 euros dans le cas de Vodafone.

En effet, plus de deux millions de données clients ont été dérobées, dont certaines informations bancaires. Ces données pourront servir à réaliser des attaques en phishing de « haute qualité », capables de tromper plus facilement les destinataires grâce à des informations fiables. Heureusement, les enregistrements les plus sensibles (numéro de carte, mot de passe…) semblent avoir été épargnés. Dans le cas contraire,  l’impact aurait pu être bien plus important : des fraudes financières auraient pu être réalisées directement.

 Prestataires et administrateurs : des populations à encadrer

Cet incident met à nouveau en lumière la faille majeure que représentent les fonctions d’administrations du SI. Sans préjuger de la situation de Vodafone, ces fonctions sont souvent externalisées à moindre coût dans des méga-contrats dont les contours sont toujours difficiles à cerner (qualification des employés, sous-traitance masquée, pays concernés…) et dont les mesures de sécurité censés encadrer les usages sont rarement vérifiées sur le terrain. Et cette situation se rencontre malheureusement dans de nombreux secteurs, même les plus sensibles. N’oublions pas qu’Edward Snowden, administrateur sous-traitant, nous dévoile régulièrement depuis le début de l’été des documents secrets de la NSA…

Des changements à entamer à la DSI et à la direction des achats dès aujourd’hui pour limiter les risques

Vodafone vient de voir son image écornée et les coûts de gestion de l’incident risquent d’être élevés. Au-delà des coûts directs liés aux investigations, le volet notification des clients peut être majeur. Les chiffres en provenance des États-Unis parlent d’un coût autour de 100€ par clients à notifier, nous sommes dans une fourchette rapidement supérieures à la centaine de millions d’euros.

Dans cette situation, et pour limiter les impacts, un contrat de cyber assurance peut être utile, mais attention il ne doit pas contenir d’exclusion sur les malveillances internes.

Au-delà de cette mesure de compensation, il est bien évidemment nécessaire de vérifier sur les périmètres les plus sensibles de l’entreprise, la qualité et la sécurité des processus d’administration. Il s’agit d’un chantier d’ampleur, qui au-delà de la mise en place de mesures techniques (mise en place de plateforme de rebond, journalisation des actions, limitations des comptes d’administration, utilisation de postes de travail dédiés non connectés à Internet…) est avant tout un projet de conduite du changement. Un changement à mener à deux niveaux, auprès de populations de la DSI souvent très (voir trop) autonomes dans la réalisation de leurs actions au quotidien qui doivent accepter la mise en place de mesure de sécurité et de contrôle, mais aussi et peut être surtout au niveau de la direction des achats pour valoriser les fonctions d’administration du SI et faire de la sécurité un des critères de premiers plans dans les contrats d’externalisation.

Cet article Vol de données chez Vodafone : un rappel douloureux de la « menace intérieure » est apparu en premier sur RiskInsight.

Il met en particulier l’ANSSI au cœur de la future stratégie de la France dans ce domaine en renforçant ses pouvoirs et sa capacité d’action. La majorité de ces points étaient connus ou envisagés depuis la publication du livre blanc Défense et sécurité nationale 2013. Mais ce document donne plus de détails sur les moyens déployés et les orientations à venir.

Les opérateurs d’importance vitale (OIV), sous le contrôle rapproché de l’ANSSI

Le texte prévoit que le Premier ministre, avec l’aide de l’ANSSI, puisse imposer aux OIV, sur leurs périmètres sensibles, la mise en place de mesures de sécurité, la qualification des systèmes de détection et la réalisation d’audit par l’ANSSI. Comme prévu, la notification des incidents est intégrée au texte. Elle se définit par l’obligation de fournir « des informations sur les attaques qu’ils peuvent subir ».

Au delà du guide d’hygiène informatique qui pourrait être la base des mesures imposées, l’ANSSI travaille actuellement sur d’autres référentiels, par exemple sur les systèmes industriels ou sur le cloud.

En cas de non-respect de ces obligations, des sanctions pénales sont prévues. Il se posera alors la difficile question des moyens à disposition pour respecter ces obligations. Aujourd’hui, même si la sécurité est souvent préservée des coupes budgétaires, les budgets alloués sont souvent trop faibles au regard des enjeux et des risques. Espérons que cette réglementation, au-delà de paraître « intrusive », aura des vertus pédagogiques et fera prendre conscience aux dirigeants des OIV des réels enjeux de sécurité et permettra le déblocage de ressources.

 La lutte informatique défensive dans le champ d’action de l’ANSSI

Le récent rapprochement « géographique » entre le CALID (centre d’analyse en lutte informatique défensive) du Ministère de la Défense et le COSSI (centre opérationnel en sécurité SI) de l’ANSSI le laissait présager. Il y a aujourd’hui une volonté de renforcer les capacités de lutte informatique défensive au sein de l’Etat. L’ANSSI sera ainsi en mesure « d’accéder à un serveur informatique à l’origine d’une attaque afin d’en neutraliser les effets ». C’est une première dans ce domaine. Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1,2 et 3 du code pénal qui répriment des actions de ce type.

 Le volet militaire n’est pas en reste : recrutements et investissements sont prévus

De nombreuses autres évolutions sont prévues, en particulier dans le domaine du développement des capacités de cyberdéfense militaire avec la mise en place d’une chaîne opérationnelle unifiée, centralisée et spécialisée. Le projet de loi prévoit la mise en place des capacités défensives mais aussi offensives pour préparer ou accompagner les opérations militaires. Les moyens humains seront renforcés et des investissements sont également prévus en particulier pour mieux surveiller les systèmes critiques. La DGA sera en charge de la composante technique de cette organisation.

 L’Etat investit dans la cybersécurité… mais les entreprises restent à convaincre

Nous ne sommes qu’au début du processus législatif et les débats au parlement et au sénat amèneront certainement des modifications. Cependant, l’orientation est claire et tout cela va dans la bonne direction pour renforcer nos capacités de défense face à des attaquants de plus en plus virulents et pointus.

Enfin, ce projet de loi démontre que l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. Espérons que cela sera un électrochoc pour les organisations privées, aujourd’hui en retrait face aux évolutions de la cybercriminalité.

Cet article Loi de programmation militaire 2013 : de réelles avancées pour la cybersécurité est apparu en premier sur RiskInsight.

En effet, le processus de souscription constitue le pilier fondateur d’un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d’une telle opération.

Quels sont les acteurs majeurs de ce processus ?

Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations :

• Le client : il s’agit d’une organisation ou d’une entreprise souhaitant disposer d’une prestation (généralement financière) en cas de survenance d’un incident. C’est lui qui exprime le besoin, que ce soit par ses Risk Manager, ses RSSI, sa Direction Générale ou encore ses acteurs métiers.
• Le courtier : il est l’intermédiaire entre le souscripteur et l’assureur, et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client.
• L’assureur : il crée les polices d’assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client.

Comment se déroule le processus de souscription à une cyber-assurance?

En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une analyse de risques récurrente et un bilan assurantiel (évaluation de la couverture actuelle et des manques) impliquant toutes les parties de l’entreprise sont nécessaires.

Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et des modalités de son accompagnement au cours des différentes étapes, du choix à la vie du contrat.

Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin.

Le client et le courtier présentent ensuite à l’assureur leurs exigences en termes de périmètre de couverture et de plafond de garantie. Dans le cas de montants très élevés, le courtier peut mettre en place des montages d’assurances qui permettent d’atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l’assureur évalue la maturité du client, par l’intermédiaire de questionnaires ou par une analyse de risques. L’assureur propose alors un montant de prime d’assurance en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différents partis.

Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la police d’assurance.

Comment faire vivre le contrat ?

Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l’assureur, notamment sur le devoir d’information en cas de modification significative des risques sur son système d’information. Cette obligation se concrétise généralement par des réunions annuelles entre l’assureur, l’assuré et le courtier dans le but d’établir un bilan de l’évolution de la maturité du client et d’adapter le contrat en conséquence.

La souplesse dans l’évolution du contrat a deux principaux intérêts. Pour le client, il est de faire baisser le montant des primes en améliorant sa sécurité. Pour l’assureur, il est d’adapter le montant des primes en fonction de l’évolution du risque. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI.

Comment déclencher les garanties ?

Les délais de notification en cas d’attaque constituent l’élément central du déclenchement. Le code des assurances rappelle : «L’assuré est obligé de donner avis à l’assureur, dès qu’il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l’assureur. Ce délai ne peut être inférieur à cinq jours ouvrés » (Article L113-2). En cas de faute vis-à-vis de cette règle, le client peut se voir refuser ses garanties. L’enjeu est donc d’alerter au plus tôt l’assureur, même s’il n’y a que suspicion d’intrusion, mais aussi de cadrer les preuves à recueillir pour l’indemnisation – et ce dès l’établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si  l’assureur a été notifié dans les délais, et l’évaluation du sinistre réalisée.

En fonction des assureurs, la mise à disposition d’experts peut relever d’une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d’intervention de ces experts (obligation d’utiliser les prestataires de l’assureur, …).

Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Souscrire une cyber-assurance : mode d’emploi est apparu en premier sur RiskInsight.

Deux journaux (le Guardian et le Washington Post) ont publié des documents identifiés comme Top Secret en provenance de la NSA. Ils ont été fournis par un prestataire des services secrets américains, Edward Snowden. Ce dernier, intervenant en tant qu’administrateur de système, a été choqué par les informations auxquelles il avait accès. Il a alors décidé de contacter des journalistes pour les faire connaître au grand jour. Il s’agit d’un comportement proche, mais certainement plus raisonné, de celui de Bradley Manning l’homme à l’origine de la fuite des câbles diplomatiques repris sur Wikileaks depuis 2010 et actuellement en train d’être jugé aux États-Unis.

Qu’est ce qui a été révélé concrètement ?

Trois documents ont été rendus publics : une requête judiciaire demandant à l’opérateur Verizon de fournir l’ensemble des données relatives aux appels téléphoniques sur son réseau (mais sans le contenu des appels), une présentation sur le programme PRISM qui décrit l’organisation des actions d’écoute avec les grands acteurs du web comme Microsoft, Google ou encore Facebook et, finalement, un document sur les capacités offensives et la construction de liste de cibles par la NSA dans le cyberespace.  Ces documents, classifiés TOP SECRET, constituent des premières preuves de ce que les experts imaginaient précédemment. Ils ne constituent pas une surprise en soi, mais ont cependant eu un impact médiatique très important outre-manche où l’on parle même du « national spy gate ». Certaines informations ont été démenties, en particulier par les acteurs majeurs du web, qui réfutent le caractère automatique et simplifié de l’accès aux données. L’accès aux données par les forces de l’ordre est très encadré –  Encadré mais certainement pas impossible ! La réaction de Google est en ce sens  est particulièrement claire.

Quels impacts ont ces révélations en France et en Europe ?

Ces évènements ont eu des effets jusqu’en France et en Europe. Les débats idéologiques séparent les partisans d’une défense de la vie privée à tout prix et ceux qui jugent que ces écoutes sont nécessaires pour assurer la sécurité publique. Françoise Castex, eurodéputée et vice-présidente de la commission des affaires juridiques du Parlement européen, a adressé une question écrite à la Commission européenne. En réponse, le Commissaire en charge de la politique des consommateurs, Tonio Borg, se déclare inquiet et demande des éclaircissements aux Etats-Unis.  Le gouvernement français a également réagi par l’intermédiaire de Fleur Pellerin, Ministre en charge de l’innovation et de l’économie numérique. Ces différents éléments mettent aussi en lumière les limites et les difficultés relatives au futur règlement européen sur la protection des données à caractère personnel. Un lobby très fort des acteurs américains est en cours pour réduire la portée du texte et par conséquence la protection qu’il conférerait aux européens.

Comment les entreprises doivent réagir vis-à-vis de ces révélations ? Est-ce un levier pour le RSSI ?

Ces révélations ne sont pas une surprise pour la majorité des acteurs de la sécurité. Les risques d’écoute étatiques sont intégrés depuis longtemps dans les analyses de risques relatives au projet de Cloud Computing.

Ces évènements sont surtout une opportunité pour le RSSI ! Ils mettent sur le devant de la scène une situation souvent inconnue des métiers et de la direction.

Il s’agit d’un bon levier de sensibilisation pour faire réagir sur deux thèmes : l’utilisation des outils de communication « personnels » et le rôle des administrateurs.

Les révélations sur PRISM montrent qu’il est simple et facile pour les États-Unis d’accéder aux données de personnes résidant en dehors du territoire américain. Nombre de cadres dirigeants ont souvent le réflexe de transférer sur des adresses emails personnelles ou dans des services cloud (de type Dropbox, iCloud…) des documents. Ces pratiques paraissent souvent insignifiantes, mais nous avons maintenant des éléments concrets pour montrer qu’elles peuvent mener à une fuite de données.

D’autre part, il est intéressant d’étudier l’origine de la fuite : Edward Snowden était un prestataire de service, intervenant comme administrateur système pour le compte de la NSA, embauché depuis moins de 3 mois par sa société de service. Et pourtant, il avait un accès à des documents TOP SECRET qu’il a pu faire sortir sans être inquiété. Il s’agit ici d’un rappel évident du risque attaché à la fonction d’administrateur et l’importance de prévoir un encadrement et des contremesures pour éviter ce type de situation.

Le RSSI peut donc utiliser ces révélations très médiatisées pour rebondir vers les métiers et la direction générale dès maintenant. Il faut battre le fer quand il est chaud !

Cet article Révélations sur les capacités d’écoute et d’action de la NSA aux Etats-Unis (PRISM) : une chance pour le RSSI ? est apparu en premier sur RiskInsight.

Au-delà d’un nouveau design, coloré et animé (fond d’écran, icônes…), il faut aller chercher en profondeur des évolutions qui vont certainement susciter des interrogations dans les entreprises.

De nouveaux risques à évaluer

iOS 7 propose des nouvelles fonctionnalités dont il faudra évaluer les risques. Il s’agit en particulier d’AirDrop. Ce système de transfert de contenus (photos, contacts…) permet d’échanger très simplement avec les périphériques en proximité. Il sera également accessible aux développeurs via des API de Peer To Peer Connectivity. Même si l’utilisateur peut décider de son niveau de visibilité, il sera important de le sensibiliser et d’évaluer la solidité du mécanisme.

Une autre évolution concerne l’écran de verrouillage qui permettra d’accéder aux notifications. Très pratique au quotidien, il peut cependant représenter un risque de fuite d’information à évaluer.

Nous pouvons également citer la mise à jour automatique des applications. Très utile pour disposer des dernières versions, corrigeant souvent des soucis de sécurité, cela pourrait entraîner quelques casse-têtes pour la gestion du cycle de vie des applications, ou la conduite du changement avec les utilisateurs.

Activation lock, SSO multi-applications et autres évolutions bienvenues

Apple, avec iOS 7, promet plusieurs avancées utiles en entreprise mais aussi pour les particuliers.

Par exemple la fonctionnalité Activation Lock permettra de verrouiller « définitivement » un téléphone. L’objectif premier est de limiter les vols, le terminal ne pouvant plus être remis à zéro sans utiliser le compte iTunes de la personne concernée.

Des fonctionnalités dédiées à l’entreprise ont été annoncées. On peut citer le VPN par application, qui limitera la consommation en bande passante et épargnera la batterie, ou encore le SSO multi-application qui pourra simplifier la vie des utilisateurs. Des nouveautés sur la gestion de la configuration des applications sont également attendues. Elles permettront certainement de pré-configurer les applications avant leur déploiement, voire de les installer et les supprimer de manière transparente pour l’utilisateur.

Diverses autres avancées sont attendues : une simplification de l’ajout d’un périphérique dans un système MDM, une refonte du système de partage de connexion et également une fonctionnalité de « Data Protection By Default » pour les développeurs. Lors de premiers tests, nous avons également constaté de nouveaux contrôles sur le matériel, en particulier une demande d’autorisation du micro par les applications et également une capacité à faire confiance ou pas à un ordinateur auquel l’iPhone est connecté.

Voici une évolution majeure qui ne se résume pas à un changement cosmétique ! Apple a bien compris l’intérêt qu’il a à faciliter l’utilisation de ses terminaux en entreprise. Et les jours prochains nous révèleront certainement quelques nouveautés !

Cet article iOS 7 et l’entreprise, quelles nouveautés ? est apparu en premier sur RiskInsight.

Le chiffrement « classique » : une réponse partielle aux inquiétudes

Dans ce cadre, l’envie de conserver une mainmise sur les données de l’entreprise émerge rapidement, et les technologies de chiffrement font leur retour sur le devant de la scène. L’idée serait de traiter au niveau du cloud des données chiffrées afin de limiter les risques d’écoute. Ceci est possible par exemple pour un service de stockage en ligne. Les données sont chiffrées dans l’entreprise puis envoyées sur le serveur, lors de l’accès elles sont déchiffrées localement par l’utilisateur. Cependant se pose rapidement la question de la capacité à traiter les données, en effet les attentes métiers vis-à-vis du cloud vont bien au-delà d’un simple espace de stockage !

Il est alors possible d’envisager un chiffrement uniquement au moment du stockage chez le fournisseur. Lors d’un traitement interne au service cloud (recherche de données, édition de bulletin de paye, calcul scientifique…) le fournisseur pourrait déchiffrer les données, réaliser le traitement puis chiffrer à nouveau. Cette méthode fonctionne techniquement mais elle ne répond pas aux multiples interrogations. En effet, pour que ce mécanisme fonctionne, le fournisseur doit disposer des clés de chiffrement. Mais qui nous assure alors qu’elles ne sont pas utilisées à mauvais escient ? Et ceci aussi bien par des employés du fournisseur, que des tiers (autorités ou pirates par exemple) qui auraient accès aux systèmes de gestion de clés.

Une solution à suivre : le chiffrement homomorphique

Depuis des années, une solution à ce problème mûrit dans la tête des chercheurs : le chiffrement homomorphique. Derrière ce terme complexe se cache une idée simple : pouvoir réaliser des traitements directement sur des données chiffrées, sans avoir besoin de les déchiffrer ! Depuis 2009, de nombreuses avancées ont été réalisées dans ce domaine en particulier au MIT. Récemment, une équipe d’IBM a même mis à disposition une implémentation concrète (code source à l’appui) de cette méthode. Aujourd’hui, il existe encore un grand nombre de limitations, en particulier par rapport à la vitesse de traitement ou les opérations réalisables. Il faudra également que cette méthode et son implémentation soient analysées par des experts en chiffrement pour en garantir la robustesse.  D’autre part, il faudra toujours que l’entreprise fasse l’effort de gérer correctement ses clés de chiffrement. Le quotidien nous montre qu’aujourd’hui c’est encore rarement le cas !

Une avancée à suivre de près !

Le chiffrement homomorphique représente une avancée importante dans l’industrialisation de l’informatique. Les annonces récentes ont été largement saluées dans les différentes communautés sécurité. Sa mise en œuvre pourrait lever les nombreux freins qui existent encore aujourd’hui par rapport à la localisation des données ou encore aux fournisseurs. Même s’il faudra encore attendre quelques années avant une possible démocratisation, il s’agit clairement d’un sujet à garder dans le radar de la veille !

Cet article Chiffrement : la clé d’un cloud computing sécurisé ? est apparu en premier sur RiskInsight.

 De trop nombreux cas de détournement des réseaux sociaux

Mais ces réseaux n’ont pas été conçus initialement comme des outils de communication officielle, maîtrisée et contrôlée. Il est très simple de publier et ­de commenter. L’information est également très rapidement relayée. C’est ce qui fait leur force – mais aussi leur faiblesse quand  leur usage est détourné…

C’est ce qui est arrivé récemment au compte Twitter de l’Associated Press. Agence de presse réputée aux Etats-Unis, l’AP a subi une attaque qui a entraîné la publication sur son fil d’un message annonçant un attentat à la Maison Blanche ! Cette fausse information a été rapidement démentie mais les effets en ont été réels et sérieux : Wall Street a décroché pendant plusieurs heures !

Ce cas n’est qu’un exemple parmi d’autres, nombreux. Nous pouvons citer récemment Burger King  ou encore Jeep  dont les comptes ont été détournés – certes  de manière humoristique – pour faire de la publicité à leur concurrent !

Une sécurité désuète basée sur de simples mots de passe

Mais pourquoi assiste-t-on à cette multiplication de cas ? En partie car il est très simple de prendre le contrôle d’un compte sur un réseau social. Bien souvent celui-ci n’est protégé que par un mot de passe, à la complexité toute relative et qui, surtout, est souvent largement partagé au sein des sociétés  !

En effet, les comptes Twitter et Facebook sont associés à un seul email et à un seul mot de passe. Ces informations doivent donc être partagées si plusieurs personnes sont amenées à faire vivre le compte d’une entreprise. Sans parler des départs ou des mobilités qui laissent des situations souvent désastreuses, il est facile aujourd’hui de piéger le poste de travail d’un employé d’un service communication pour s’emparer de ces identifiants !

 Quelles bonnes pratiques suivre ?

Afin de réduire ces risques, il est possible pour l’entreprise d’utiliser des plates-formes professionnelles d’interaction avec les réseaux sociaux. Ces outils, par exemple SproutSocial ou Hootsuit, permette de masquer le compte Twitter principal et de créer des comptes pour chacune des personnes pouvant intervenir sur les réseaux sociaux. Ces outils ajoutent également une notion de traçabilité et de suivi des actions qui peuvent être intéressantes. Assortis d’une charte de « community manager », ils réduisent les risques d’usages malencontreux ou malicieux.  Mais cela ne réduit pas le risque lié au vol des identifiants.

Pour répondre à cette menace, les fournisseurs de réseaux sociaux réfléchissent actuellement à augmenter le niveau de sécurité de leur service, en particulier en requérant une authentification à deux facteurs à la place du mot de passe. Il s’agira alors pour utiliser le service d’utiliser un mot de passe unique, par exemple délivré par SMS ou via une application dédiée, en complément du mot de passe habituel. Google et Dropbox ont déjà mis en  place ce système avec succès. Les entreprises devront donc faire évoluer leurs pratiques pour inclure ces nouveaux mécanismes.

Cet article Protéger son image sur les réseaux sociaux ou l’hérésie du mot de passe partagé… est apparu en premier sur RiskInsight.