Découvrez la présentation des Assises 2021 ci-dessous.

Cet article Assises 2021: fighting back aginst ransomware: comment le CAC40 s’organise ? est apparu en premier sur RiskInsight.

Encore trop peu d’entreprises ont structuré une démarche RH pour la filière cyber

En tant que consultant, je peux en témoigner : les demandes d’intervention se font très rares au sujet des politiques RH, parcours de formation, pratiques managériales…

 alors qu’évidemment le bon fonctionnement de la filière et le bien être des collaborateurs ont un impact certain sur le niveau de sécurité à moyen-terme. Les sportifs le savent très bien : l’état d’esprit dans le vestiaire a une influence majeure sur le résultat final !

Face à ce constat, quelques grands comptes ont passé un cap intéressant : ils ont intégré ces sujets de fonctionnement RH directement dans leur Framework de maturité (NIST, ISO…). C’est en effet une excellente idée permettant de traiter en quelques semaines des sujets essentiels via une organisation et des processus déjà établis (assurance, revue de preuves, programme cyber…). Autre avantage : le Framework est souvent un input essentiel à la construction de la stratégie, et cette dimension RH se retrouve ainsi par rebond directement intégrée au plan pluri-annuel de certaines entreprises. Des objectifs concrets et mesurables sont définis pour le turn-over, la motivation des employés ou encore l’équilibre vie-pro / vie-perso… et ces éléments sont présentés régulièrement au top management aux côtés du taux de patching, de la convergence zero-trust et des capacités de résilience !

Croyez-moi : lorsque le bien être physiologique des employés est intégré aux objectifs de la filière, et donc par la même occasion à ceux des RSSI… et bien tout fonctionne presque comme par magie  Mais encore faut-il adresser les bons sujets !

Les priorités : Valorisation de l’expertise, encouragement à la mobilité et alignement des salaires

Pentesters, analystes CERT, spécialistes DevSecOps… les filière sécurité sont composées d’une multitude d’experts, qui ne sont pas toujours reconnus, valorisés et animés avec pertinence. De trop nombreuses entreprises ont encore malheureusement une tendance naturelle à survaloriser le management au détriment de l’expertise. Il est donc indispensable de créer un écosystème favorable aux experts dans les filières SSI ! Le champs des possibles est vaste : mise en place de parcours de carrière spécifiques, accès encouragé à la certification, engagement des communautés d’expertise sur les décisions majeures, valorisation externe (conférences, médias)… n’attendons pas que les experts partent pour prendre conscience de leur valeur !

Le sujet des mobilités est également essentiel. Il existe en effet un sentiment d’étouffement au sein de la filière : la tension sur les ressources cybersécurité est tellement forte que de nombreux employés ont le sentiment d’être bloqués sur leur poste, sans la moindre possibilité d’évolution. Résultat : le moral baisse, les gens tournent en rond, se posent des questions, critiquent… un climat tout sauf sain. Pourtant, la solution est assez évidente : encourager, voire imposer les mobilités. Certains grands comptes ont par exemple mis en place récemment une gouvernance incitative permettant aux RSSI de proposer spontanément des mobilités et de s’échanger des ressources. 3 ans en tant que chef de projet, 2 ans dans le SOC, 3 ans de sensibilisation, 2 ans sur des sujets réglementations … le sujet de la cybersécurité est suffisamment vaste pour créer des carrières riches et passionnantes ! D’expérience, une filière en bonne santé est une filière avec un taux de mobilité d’au moins 10%.

Enfin, il faut parler des salaires ! Faites le test : prenez deux RSSI au sein d’une grande entreprise (ça marche aussi pour les Directeurs de Programme sécurité, les chefs de projet, les auditeurs…) et interrogez-les sur leur niveau de rémunération. Vous allez être surpris : les écarts sont majeurs d’une entité à l’autre, et la structure même du salaire peut différer. A titre d’exemple, j’ai rencontré récemment deux RSSI aux profils équivalents au sein d’une même entreprise : le premier était payé sur une base fixe uniquement, et le second possédait un bonus de 50% sur des objectifs personnels fixés par le DSI. Et évidemment… ils le savaient tous les deux ! Impossible de créer un esprit d’équipe et une solidarité dans de telles conditions. Alors évidemment ce chantier n’est pas simple, mais il mérite d’être instruit avec les RH, d’autant plus dans un contexte de fortes mobilités qui feront nécessairement apparaitre des situations compliquées.

Les collaborateurs ne comprennent plus leur organisation et en souffrent

Ces dernières années, la sécurité a pris une toute autre dimension : en France, on constate en moyenne 1 ETP sécurité pour 500 à 3 000 employés, avec une moyenne tournant aux alentours de 1 pour 1 000. Je vous laisse faire le calcul : cela représente rapidement plusieurs centaines, voire milliers d’employés ! L’époque de la petite équipe de 15 passionnés au sein des opérations de la DSI est révolue. Place aux 27 RSSI, 3 SOC, 2 CERT, 10 Directeurs de Programme et 4 centres d’expertise… qui passent leur temps à chercher leur périmètre et à se marcher dessus. Une simple décision peut prendre des semaines… et les employés n’en peuvent plus !

Il devient urgent de reconstruire un modèle opérationnel plus lisible. Plus question de laisser des employés seuls sur leur périmètre d’expertise, la tendance est à la mutualisation et à la suppression des redondances : 1. Regroupement des centres d’expertise (audit, Cloud…) 2. Création d’un unique centre de cyberdéfense (SOC, CERT…) 3. Structuration d’un unique Programme de Cybersécurité à portée Groupe 4. Mise en commun de la PMO dans une Reporting Factory.

Ce type de regroupement permettra de créer une émulation, d’embarquer et de donner du sens collectif. Sur les récentes réorganisations, on estime à environ 40% le nombre d’employés de la filière travaillant sur des activités à portée transverse.

Alignement des salaires, re/up-skilling, plans de formation/certification, processus de mobilité, réorganisation de la filière…les sujets à traiter sont nombreux pour booster le well-being et permettre aux employés de se construire une carrière pleine et enrichissante au sein de la filière. Mais attention : ce travail ne peut être porté uniquement par les fonctions RH. Il est essentiel que le RSSI et les managers d’équipe soient impliqués fortement pour établir les efforts dans la durée. D’autant plus que certains conseils cités ci-dessus s’appliquent également à eux… tellement de RSSI sont en place depuis plus de 10 ans sur le même poste ! 

Cet article Les filières sécurité au bord du burn-out – tentatives d’explication est apparu en premier sur RiskInsight.

Cet article Organiser ou réorganiser la filière sécurité d’une grande entreprise – retours d’expérience est apparu en premier sur RiskInsight.

L’identification et la cartographie des processus clés

Commençons par une définition du régulateur : la Banque Centrale Européenne définit la cyber-résilience comme la capacité à se protéger et à reprendre rapidement les activités en cas de succès d’une cyber-attaque. Cette définition a amené de nombreuses entreprises à adopter une vision à 360° sur le sujet (prévention, gestion de crise, reconstruction, continuité d’activité, etc.) à travers le prisme d’une cyberattaque concrète sur les processus clefs de l’entreprise. La nouveauté réside surtout dans le fait de centrer toute l’analyse sur les chaines métier critiques, encore faut-il les connaitre. L’identification et la cartographie des processus clés représentent souvent la partie la plus complexe d’un Programme de cyber-résilience. Et il n’y a malheureusement pas de méthode systématique : liste établie par la Direction des risques, décision du Directeur des opérations, recyclage des analyses d’impact sur l’activité, critères établis lors d’audits régulateurs, etc. Une chose est certaine, cette liste ne peut être établie par l’équipe cybersécurité dans son coin et nécessite d’impliquer les métiers au plus tôt dans la démarche.

Analyser la cyber-résilience d’une chaine métier : la méthode A.R.M.

La cyber-résilience d’une chaine métier peut être « améliorée » en agissant sur plusieurs paramètres : 1/ l’évitement de l’attaque, 2/ la reconstruction rapide, 3/ le maintien d’activité métier pendant l’attaque. Par conséquent de nombreuses entreprises ont structuré leur Programme de cyber-résilience autour des indicateurs A (AVOID), R (RECOVER) et M (MAINTAIN), permettant de cibler une menace à la fois. Bien évidemment, la plupart des initiatives actuelles travaillent sur des scénarios Ransomware (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID [Eviter la cyber-attaque]

Il s’agit tout d’abord d’évaluer le niveau de résistance des chaines métier face aux menaces cyber redoutées. Le Framework ATT&CK est de plus en plus souvent utilisé ici et cet indicateur peut tout simplement correspondre au pourcentage de techniques utilisées par l’attaquant contre lesquelles la chaine métier est protégée (par exemple : la chaine est protégée contre 60% des techniques d’attaque utilisées par les groupes ransomware du moment). Le niveau d’assurance exigé diffère d’une entreprise à l’autre : même si la plupart des entreprises travaillent encore via auto-déclaration, il est possible d’intégrer dans la démarche une revue de preuves ou des audits Redteam pour fiabiliser les résultats.

R – RECOVER [Savoir reconstruire vite]

Il s’agit ensuite d’évaluer le temps de reconstruction de la chaine métier en cas d’attaque (par exemple : la chaîne peut être remontée en 9h après une attaque de type ransomware). Ce temps peut évidemment être différent d’une attaque à l’autre : destruction souvent restreinte aux systèmes Microsoft, possibilité d’utiliser les sauvegardes ou non, vérifications d’intégrité nécessaires après reconstruction, etc. Cela nécessite une analyse fine des impacts de chaque attaque étudiée. Attention, lors de la cartographie, il faut considérer la reconstruction de TOUS les assets impactés par l’attaque. On constate souvent que quelques assets spécifiques peuvent doubler ou tripler le délai de reconstruction global. Ici aussi, le niveau d’assurance exigé diffère d’une entreprise à l’autre : il est possible de travailler sur papier, mais le test de reconstruction réel est clairement la meilleure option pour se rassurer.

R – MAINTAIN [Maintenir l’activité métier]

Il s’agit enfin d’évaluer les capacités du métier à travailler en dégradé avant le retour à la normale. C’est un indicateur purement métier, évidemment différent d’un secteur et d’une chaîne à l’autre : il peut s’agir de transactions, de réception de colis ou d’un nombre de passagers en fonction du secteur et de la chaine choisie. Pour le calculer, il est nécessaire de travailler avec le métier sur l’hypothèse d’une indisponibilité long-terme de la chaine critique et d’évaluer le pourcentage de l’activité pouvant être délivrée d’une autre manière. Pour comprendre l’approche de manière théorique, et volontairement provocatrice : un processus métier vulnérable à une attaque cyber, mais dont l’activité peut être maintenue sans SI pendant quelques jours, nécessite-t-il réellement d’augmenter les investissements en cybersécurité ? C’est le type de sujet qu’un Programme de cyber-résilience doit permettre d’arbitrer.

La plupart des stratégies et Programmes de cyber-résilience sur le marché embarquent évidemment cette phase récurrente d’évaluation, en ajoutant au fil des années des menaces cyber et des chaines métier à analyser. Elles pilotent en parallèle un ensemble de projets de cybersécurité, IT et métiers permettant d’augmenter le niveau de résilience. Les Programmes les plus matures maintiennent également des catalogues de solutions permettant d’accélérer la démarche et d’améliorer le scoring des différents métiers (coffres-forts de données, sauvegardes standardisées, partenariats de place, solutions de repli métier mutualisées, etc.).

Nous l’avons vu, une stratégie de cyber-résilience embarque de multiples compétences : la filière cybersécurité pour sélectionner les menaces et évaluer la robustesse des chaines, les métiers pour choisir les chaines critiques et travailler sur la continuité d’activité, l’IT et le Plan de Continuité d’Activité (PCA) pour la gestion de crise et l’évaluation des capacités de reconstruction. La meilleure solution est d’héberger ce type de Programme directement au niveau de la Direction des Opérations, afin d’influer sur toutes ces filières. Or, en réalité, ces Programmes se structurent plutôt actuellement au niveau au niveau du RSSI ou de la Direction des Risques. La clé dans ce cas est de déployer une gouvernance efficace qui permette à toutes les parties-prenantes de rester dans leur domaine d’expertise.

Cet article La Cyber-Résilience, une opportunité pour rapprocher la cybersécurité et les métiers est apparu en premier sur RiskInsight.

Il y a 10-15 ans, la vie était simple.

Un schéma directeur pouvait se construire en quelques entretiens avec le RSSI et son équipe, « à dire d’experts ». Pour apporter une logique, on se basait sur un modèle imagé type château fort ou aéroport qui servait de (bon) prétexte à la mise en place des fondamentaux et permettait d’expliquer les choix… Les attaques semblaient encore lointaines, la cyber était moins dispersée qu’aujourd’hui et tous les schémas directeurs se ressemblaient plus ou moins (une manière plus élégante de dire que tout le monde partait à peu près de zéro). Rappelez-vous, c’était la grande époque des PKI, des premiers SOC, du cloisonnement Datacenter, des débats IDS vs IPS, du BYOD… pour ne citer que ces sujets. Bien sûr, les chantiers étaient in fine justifiés par une couverture de risques (fraude, fuite d’information, propagation de malware…), mais soyons honnêtes : cette justification était souvent effectuée a posteriori, pour rassurer. Avec un peu de recul, ces stratégies cyber ont surtout eu un vrai rôle de sensibilisation / formation du top management, progressivement impliqué dans les choix et les discussions.

En 2020, le contexte a beaucoup changé. Le simple « dire d’expert » ne suffit plus : certains grands comptes investissent désormais des centaines de millions d’euros par an pour la cybersécurité, et les comités exécutifs exigent davantage de preuves quant à l’efficacité de la stratégie déployée. D’autant plus que les « fondamentaux » (patching, bastion…) sont désormais complétés par un arsenal de mesures toutes plus spécifiques les unes que les autres qui interrogent sur la pertinence d’une stratégie unique, pour une grande entreprise. Il est clair par exemple qu’entre une banque de détail focalisée sur la fuite de données client, et une banque d’investissement craignant surtout des indisponibilités sur certaines chaines de trading… les priorités sont différentes. La crise actuelle risque très certainement de renforcer cette tendance : les stratégies doivent désormais s’adapter beaucoup plus finement aux métiers.

Une stratégie pragmatique et agile, alignée sur les priorités business

Les premiers mois de travail sont toujours consacrés à la méthode qui amènera rigueur et crédibilité auprès du management et des régulateurs. Très concrètement, il s’agit de définir le Framework cyber de l’entreprise et une méthode permettant à chaque entité de définir son Target Profile (cible à atteindre sur le Framework). Terminée la stratégie trop monolithique, place à une stratégie différenciée par entité !

Les grandes entreprises ne se posent plus trop de questions sur le Framework : NIST et ses 110 contrôles s’impose définitivement comme le leader du marché. Les 5 fonctions (protect, detect…) sont très parlantes auprès du management, le rythme de mise à jour (3 ans) est acceptable… et surtout sa popularité favorise le Benchmark. Mais après tout, peu importe le Framework retenu : ISO ou CIS peuvent très bien faire l’affaire… l’essentiel est de se caler sur une référence du marché. Notons que la plupart des entreprises ne se privent pas de préciser les contrôles pour les rendre plus pragmatiques : EDR, SOAR, sécurité AD, anti-fraude… le Framework agit tout simplement comme une bibliothèque de contrôles potentiels sur laquelle l’entreprise va s’appuyer pour établir sa stratégie.

Il est maintenant temps de définir la cible à atteindre sur le Framework ! Dans les grandes entreprises, le Groupe impose souvent un premier niveau de sécurité pour tous, correspondant à la poursuite des fondamentaux : SOC, bastion, patching… La plupart des attaques systémiques exploitent encore ces faiblesses, et le risque de propagation inter-entités doit être géré de manière transverse. Cette cible commune est assez similaire d’une entreprise à l’autre, et est en général établie à partir de benchmarks fournis par le marché du conseil. Plus challenging, chaque entité est ensuite amenée à définir sa propre cible, selon ses enjeux propres. Attention, la mécanique de mapping et de pondération entre les contrôles du Framework et la cartographie des risques peut s’avérer complexe… ce n’est pas pour rien que certaines start-ups comme Citalid se positionnent sur ce marché. La clé est souvent de sortir de la filière cyber et travailler conjointement avec la Direction des Risques !

Ça y est… le plus dur est fait : le Framework est construit et les entités ont défini leur cible. Il s’agit maintenant de prendre du recul pour identifier les grands projets à lancer et rendre la stratégie compréhensible par tous !

Les incontournables du moment : sécurité de l’AD et IAM

Les chiffres issus des stratégies cyber des grandes entreprises françaises ont de quoi donner le tournis : 10-20M d’investissement en moyenne par an dans le secteur de l’industrie, et jusqu’à 100-150M par an pour les Services Financiers. Chaque stratégie est différente – c’est tout l’objet de l’approche par les risques – mais les retours d’expérience récents montrent que les budgets s’équilibrent plutôt équitablement entre 4 natures de chantiers : 1. Les fondations sécurité (patching, sensibilisation, sécurité des admins…) 2. La protection des environnements sensibles (LPM, sécurité AD, data protection…) 3. La convergence zero-trust (inventaires, IAM, risk-based authentification, conformité…) 4. La cyber-résilience (détection, gestion de crise, reconstruction, continuité métier…). Il y a quelques années, le SOC et la LPM ressortaient définitivement comme les sujets les plus prioritaires. Ils sont aujourd’hui très largement concurrencés par la sécurité de l’Active Directory et l’IAM… Il suffit de se pencher sur les modes opératoires des attaques récentes pour obtenir une explication à cette tendance.

Nous en sommes tous convaincus : une stratégie cyber est un outil essentiel pour donner le cap, fédérer les actions et impliquer le management. Mais pas seulement ! Établir un schéma directeur pluriannuel est une formidable opportunité pour embarquer les équipes autour d’un objectif commun. Certaines filières sécurité sont passées de quelques dizaines de personnes, à plusieurs centaines voire milliers en l’espace de quelques années, et de nombreux employés sont actuellement en quête de sens (cela fera probablement l’objet d’un prochain blogpost). Je ne peux que vous recommander de profiter de ce « moment » qu’est la création de la stratégie pour créer une aspiration, un enthousiasme, un vrai esprit d’équipe dans la filière… c’est le moment idéal : multipliez les groupes de travail, impliquez un maximum de collaborateurs, adoptez une démarche transparente, faites challenger les équipes par le top management… bref, transformez cette construction de stratégie un événement de filière ! Vous verrez, c’est encore plus sympa comme çà

Cet article Définir une stratégie cybersécurité dans une grande entreprise – Retours d’expérience est apparu en premier sur RiskInsight.

Pour ma part, je pense avoir participé à une bonne dizaine de simulations au cours de l’année dernière… mais attention : on ne parle pas toujours de la même chose ! Du simple test de processus sur table à l’entraînement du SOC/CERT jusqu’à l’exercice d’ampleur impliquant des dizaines de cellules de crise et des mois de préparation, les moyens alloués sont très disparates.

Cet article se focalise sur cette dernière catégorie : les exercices les plus ambitieux, les blockbusters du genre, l’Armageddon de la fausse attaque Cyber !  Regardons de plus près comment réussir un tel exercice… et le rendre fun et mémorable !

C’est quoi un exercice de crise type ?

S’il fallait donner quelques chiffres sur les plus grands exercices « type » organisés en France, je dirais : une journée d’exercice, 150 joueurs mobilisés, 10-12 cellules de crise sur plusieurs pays, 30 complices, 20 observateurs… et plus de 300 stimuli envoyés ! Clairement, réussir un tel événement nécessite à la fois un grand niveau de préparation et une équipe d’animation très solide le jour J pour la mise en scène finale.

Un enjeu clé : il n’y aura qu’une seule prise ! Il devient ainsi indispensable que TOUS les acteurs se prennent au jeu, que personne ne s’ennuie ou n’ait le sentiment d’être inutile, et enfin que le scénario embarque tous les participants. Imaginez la scène : personne n’a envie de mobiliser plusieurs heures des membres du COMEX pour entendre des « pas très crédible » ou « ça ne pourrait pas nous arriver dans la vraie vie » pendant le débriefing. Des mois de travail gâchés ! Préparation et animation sont donc les maîtres-mots d’un exercice.

Six mois pour se préparer

1/ Choisir le scénario d’attaque

Les premiers mois de travail sont toujours consacrés au scénario d’attaque. Ransomware, fraude ciblée, attaque de fournisseurs… le choix des armes est vaste ! Sur des exercices ambitieux, il n’est d’ailleurs pas rare de cumuler plusieurs attaques sur une seule et même crise : écran de fumée lancé par les attaquants, identification d’un second groupe pendant les investigations… on peut être créatif ! Quel que soit le scénario choisi, la clé est d’être le plus précis possible :

• Quelles sont les motivations des attaquants ?
• Quel chemin d’attaque ont-ils emprunté ?
• Quand a eu lieu la première intrusion ?

L’exercice sera long… et il vaut mieux être préparé lorsque 150 joueurs se mettent à investiguer sur une attaque pendant plusieurs heures ! Spear-phishing, waterholing, compromission de code, élévation de privilèges… bien sûr les vulnérabilités utilisées par l’attaquant fictif ne sont pas réelles, mais elles doivent être plausibles et « validées » par des complices techniques tout au long de la préparation. De même pour les impacts métier, ils convient de les revoir avec les spécialistes métier : montant de fraude à partir duquel la situation devient critique, activités critiques à cibler en priorité, clients les plus sensibles… Le choix et l’implication des complices sont essentiels, et je vous recommande vivement de les intégrer le jour J dans la cellule d’animation. Ils peuvent vous être d’une aide précieuse, et cela leur fera plaisir !

2/ Construire le script de l’exercice

Place ensuite à la construction du script, qui consiste à définir minute par minute les informations qui seront communiquées aux joueurs. Le calibrage du rythme de l’exercice est un point complexe : doit-on envoyer un nouveau stimuli toutes les 2 minutes ? Toutes les 10 minutes ? La tentation de vouloir imposer un rythme infernal est grande pour « maîtriser » le scénario mais attention à laisser suffisamment d’espace de réflexion aux cellules. Si le scénario est bien construit, il n’y aura pas de place pour l’ennui… il ne faut jamais sous-estimer la capacité des joueurs à se créer leurs propres problèmes pendant l’exercice !

Le démarrage de l’exercice est un autre point complexe : doit-on débuter directement sur une situation de crise (par exemple, activation d’un Ransomware) ou sur une simple alerte qui permettra de tester le processus de mobilisation générale ? Sur le terrain, c’est presque toujours cette deuxième option qui est choisie. Elle permet de mobiliser les équipes techniques (CERT, SOC, IT…) sur toute la durée de l’exercice, dès l’alerte, et d’inclure les cellules décisionnelles plutôt en seconde partie d’exercice. Essayez de réserver l’agenda des membres du COMEX une journée entière… vous comprendrez rapidement que c’est la meilleure solution !

3/ Préparer les stimuli

L’attaque est maintenant scénarisée, le script est prêt… il ne reste plus qu’à produire ces fameux stimuli qui seront envoyés aux joueurs tout au long de l’exercice. Rapports techniques, faux tweets, messages de clients inquiets… il s’agit d’anticiper et de produire tout ce qui peut être utile pour les joueurs.

Pour captiver, n’hésitez pas à recourir à la vidéo. En effet, rien de plus marquant qu’un faux reportage BFM relayant l’attaque en cours (logo, plateau… plus c’est réel et mieux ce sera). Et pour encore plus de réalisme, pensez à inclure dans les vidéos des personnes « connues » dans l’entreprise (message du PDG, interview d’un patron d’usine…). Idem côté technique : la durée des exercices ne permet souvent pas aux joueurs d’effectuer eux-mêmes les investigations techniques, mais ils vont en demander beaucoup aux animateurs. Rapport d’analyse de malware, extraits de journaux applicatifs, liste d’adresses IP… tout doit être prêt au maximum pour éviter la panique !

Comme indiqué en introduction, les exercices les plus ambitieux peuvent nécessiter la création de 300 stimuli pour tenir la journée et rester crédibles… cela représente beaucoup de travail !

Jour J : tout le monde en scène !

Le jour J : 5h du matin, RDV avec toute l’équipe d’animation et les observateurs pour les derniers réglages et le café. Quelques heures plus tard, les observateurs se dispatchent dans leurs cellules de crise et commencent le briefing des joueurs.

Démarrer sur de bonnes bases

Attention : pour beaucoup de joueurs, cela risque d’être leur premier exercice. Le briefing est essentiel pour éviter par exemple que…

1. Les joueurs appellent la police (la vraie…) en plein milieu de l’exercice
2. Les joueurs contactent une mailing list de 400 personnes sans préciser que c’est un exercice
3. De vrais clients soient appelés pour être rassurés
4. Un site de production soit neutralisé « par prévention »…

Oui, oui… ce sont des histoires vécues ! Pour éviter de telles situations, il est indispensable de marteler les règles du jeu lors du briefing : les joueurs doivent évidemment communiquer entre eux… mais pour contacter les parties prenantes extérieures, ils doivent passer par la cellule d’animation. Les animateurs et complices regroupés dans la cellule se retrouvent ainsi au fil de la journée dans la peau d’un client, d’un expert technique, d’un DG ou d’un régulateur… au gré des sollicitations des joueurs. Plutôt unique comme expérience !

S’appuyer sur une cellule d’animation efficace

La suite des événements dépend de l’efficacité de la cellule d’animation. Un exercice réussi comporte son lot d’improvisation le jour J. Il faut savoir réajuster les stimuli en fonction des réactions des joueurs, réagir en direct lorsqu’ils vous appellent, accélérer ou temporiser le rythme de l’exercice en fonction des informations transmises par les observateurs… bref, la partition n’est jamais figée et la cellule d’animation va être mise à rude épreuve le jour de l’exercice. Responsable des animateurs, PMO, responsable technique, responsable métier, gestion de la cellule appels… les plus grands exercices de crise disposent de cellules d’animation particulièrement professionnalisées. Imaginez : 150 joueurs qui envoient chacun un mail ou une question toutes les 5 minutes… cela représente tout de même une trentaine de réponses par minute…

Pour ma part, je préfère ne prendre aucun risque le jour J et recréer des équipes qui ont l’habitude de fonctionner ensemble et se connaissent par cœur… C’est la meilleure manière de gagner les précieuses secondes qui éviteront à la cellule d’animation de partir elle-même en crise !

Cet article Organiser un exercice de crise cyber dans une grande entreprise est apparu en premier sur RiskInsight.

Mais depuis quelques temps, certains comités exécutifs ne sont plus aussi généreux et exigent davantage d’efforts de la part de la filière SSI. On le sait : prouver l’efficacité des moyens engagés n’est pas aisé, et certains RSSI se retrouvent à batailler pour ne serait-ce que maintenir leur budget annuel. La situation post-COVID risque de ne rien arranger, et mon petit doigt me dit qu’il n’y a aucune raison pour que la cyber échappe aux impératifs d’économies à venir.

Sur le terrain, les trois leviers suivants peuvent présenter des opportunités pour optimiser les coûts d’une filière SSI : 1. La revue de l’Operating Model, 2. la massification des contrats, 3. l’automatisation et le recours à l’offshore.

1/ La revue de l’Operating Model

Pour optimiser un Operating Model SSI, il faut rapidement se poser la question des redondances. Le constat est souvent le même d’une entreprise à l’autre : la filière SSI a grandi très rapidement, et différentes équipes ont des missions très proches voire redondantes. Beaucoup de prestataires peuvent en témoigner : il est assez classique d’être sollicité plusieurs fois pour la même étude au sein d’un Grand Compte, dans plusieurs entités différentes. Même si quelques entreprises envisagent de traiter ce sujet par une centralisation complète de l’équipe sécurité (quelques exemples récents dans l’industrie), la clé est plutôt de regrouper a minima l’expertise cyber en central et de structurer des offres de service consommables par tous : pentests, SOC, redteam, rédaction de politiques, awareness…

Attention, cela peut représenter un changement de posture fort pour de nombreuses équipes RSSI, qui passent ainsi d’un rôle de prescripteur à un rôle d’offreur de service avec toutes ses facettes (SLA, mesure de la qualité, voire pénalités). Mais c’est une excellente manière de supprimer les redondances, optimiser les coûts et clarifier au passage les responsabilités !

2/ La massification des contrats

Les contrats d’achat représentent souvent plus de la moitié des dépenses de la filière SSI et peuvent évidemment présenter d’excellentes pistes d’optimisation. De nombreuses entreprises ont multiplié le déploiement tactique de solutions de sécurité et il n’est pas rare de se retrouver en production avec 4 types d’IPS, 3 EDR et 3 SIEM… Une solution simple pour reprendre le contrôle et optimiser les coûts est de revenir au bon vieux catalogue de solutions avec prix négociés en central : maximum 2 produits référencés par techno et obligation pour toutes les entités de taper dans le catalogue ! Les résultats peuvent être spectaculaires en jouant sur les effets de volume.

Même approche pour les prestations : il s’agit d’éviter l’éparpillement des contrats et de faire jouer la concurrence. Sur le terrain, on constate typiquement une tendance à la massification des contrats ne nécessitant pas d’expertise cyber pointue : gestion de projets, PMO, conduite du changement… D’expérience il est assez simple d’aller chercher 10%-15% sur les taux journaliers, le panel des sociétés étant beaucoup plus important pour ce type de tâche ! Mais attention à ne pas perdre en valeur : il ne s’agit pas de baisser la garde sur l’expertise ou la stratégie cyber.

3/ L’automatisation et le recours à l’offshore

L’automatisation peut également être une piste d’optimisation à explorer à moyen terme. D’autant plus que le mouvement est déjà en marche : solutions SOAR pour le traitement des incidents, apprentissage automatique pour la détection d’anomalies, déploiement de mesures dans le Cloud… de nombreuses activités de la cybersécurité cherchent actuellement à gagner en rapidité en tirant partie de l’automatisation des tâches répétitives. Les résultats ne sont évidemment pas immédiats, mais la conjoncture actuelle risque clairement de booster les projets de ce type !

Une stratégie d’offshore peut en revanche présenter des résultats beaucoup plus immédiats, mais attention aux projets menés dans la précipitation. L’offshore d’activités sécurité est tout sauf tactique et nécessite un gros travail de cadrage pour comprendre les spécificités de chaque pays, établir une proximité avec le management local, et surtout intégrer sans couture l’offshore dans l’operating model SSI… Les opérations d’offshore réussies embarquent jusqu’à 20% des effectifs de la filière en offshore. La clé pour atteindre de tels volumes est de privilégier la fourniture de services standardisés en offshore (opérations, scans de vulnérabilités, traduction…), et de limiter les équipes étendues qui peuvent s’avérer séduisantes sur le papier mais souvent contre-productives car complexes à piloter.

Cet article La cyber n’échappera pas à la réduction des coûts est apparu en premier sur RiskInsight.

Malgré tout, de plus en plus d’attaques sur des environnements Blockchain sont constatées, avec des fraudes s’élevant souvent à plusieurs dizaines de millions d’euros.

Mais alors, quel niveau de confiance peut-on vraiment accorder à cette technologie ? Décryptage des attaques visant la Blockchain et retour sur les mesures à prendre pour améliorer ce niveau de confiance.

Protéger les services et applications accédant à la Blockchain

Un membre d’un réseau Blockchain est identifié grâce à une paire de clés cryptographiques : une clé privée, qui lui permet de signer ses transactions et de bénéficier des transactions reçues ; et une clé publique, qui permet aux autres membres du réseau d’identifier les transactions émises de sa part et de lui en transmettre. S’assurer de bien conserver et protéger sa clé privée est donc vital. Or, celle-ci est souvent stockée par son propriétaire sur son ordinateur ou téléphone, périphériques connus pour être aisément attaquable.

Aussi, de plus en plus d’utilisateurs choisissent de confier leur clé privée à des intermédiaires. Force est de constater que la plupart des attaques impactant Bitcoin ont en réalité directement ciblé ces plateformes intermédiaires. Il est donc primordial de protéger la manipulation des clés privées et plus globalement l’ensemble des services accédant au réseau Blockchain.

Dans le cas d’une Blockchain s’appuyant sur des smart-contracts, le niveau d’interaction avec l’extérieur du réseau peut être important, puisque ces derniers s’appuient sur la vérification de paramètres d’entrée, potentiellement externes au réseau. Il n’est alors plus question de sécuriser seulement les plateformes accédant à la Blockchain, mais également celles accédées par la Blockchain pour valider les conditions d’une transaction.

Exemples de services accédant à la Blockchain Bitcoin

Surveiller la puissance de calcul des mineurs pour éviter une attaque 51%

L’attaque 51% consiste à avoir plus de 51% de la puissance de calcul du réseau dans le but d’annuler, ajouter ou modifier des transactions présentes dans un bloc. L’idée est de créer une chaine alternative et plus longue que la Blockchain existante afin de la remplacer. Cela est rendu possible en exploitant un paramètre essentiel de la Blockchain : lorsque deux chaînes sont concurrentes, la chaine la plus longue est considérée comme la chaine légitime.

Explication de l’attaque 51%

Ce risque est plus important dans le cadre de Blockchains privées ou hybrides, composées d’un nombre restreint d’utilisateurs, et pouvant donc plus facilement représenter plus de la moitié de la puissance de calcul. Aussi, des mesures de sécurité doivent être mises en place pour prévenir et détecter ce type d’attaque : engagements contractuels, mécanismes de surveillance et de contrôle, etc.

Sécuriser le code des smart-contracts

Un smart-contract est un programme informatique inscrit dans une Blockchain et qui s’exécute de manière automatique une fois les conditions du contrat réunies.

Les conséquences d’une erreur de codage peuvent être catastrophiques et difficilement réversibles, comme en témoigne l’affaire TheDAO (application basée sur la Blockchain Ethereum et se présentant comme un fond d’investissement participatif et mutualisé). À partir d’une vulnérabilité découverte dans le code source du smart-contract TheDAO, un membre du réseau a pu drainer le compte principal de l’application à hauteur de 50 millions de dollars. Ces fonds furent en partie récupérés suite à une opération appelée « hard fork », s’apparentant à une attaque 51% concertée.

En soi, ceci n’était pas une attaque car le contrat a été respecté, seule sa conception était défaillante. La création de cas d’usage basés sur des smart-contracts doit impérativement être associée à des mesures de sécurité applicative et un développement sécurisé.

Un système Blockchain est souvent considéré comme sécurisé par nature, mais les attaques présentées témoignent du contraire. La nature des plateformes accédant ou accédées par la Blockchain, la complexité des éventuels smart-contracts ou le nombre de mineurs du réseau sont autant d’éléments pouvant influer sur la sécurité du service fourni.

Affaire TheDAO

Cet article Peut-on avoir une confiance sans limite dans la Blockchain ? est apparu en premier sur RiskInsight.

Pourtant, ce concept n’est pas nouveau : la Blockchain est la technologie sur laquelle s’appuie la crypto-monnaie Bitcoin, apparue en 2009. Mais alors, pourquoi ce regain d’intérêt ? Quelles sont les caractéristiques de cette technologie et quels usages peut-elle favoriser ? Quels sont les obstacles à surmonter pour qu’elle puisse se démocratiser ?

Des algorithmes remplacent le tiers de confiance

La Blockchain est une technologie qui permet aux membres d’un même réseau d’effectuer en toute confiance des opérations de stockage et de transmission d’informations, appelées « transactions », et ce en toute confiance, sans aucune autorité centrale de contrôle.

Cette technologie se présente sous la forme d’un registre contenant l’ensemble des transactions enregistrées depuis sa création (dans le cas de la Blockchain Bitcoin, il s’agit par exemple de l’intégralité des transactions financières effectuées depuis la création de cette crypto-monnaie). Ce registre dispose de 2 caractéristiques essentielles :

• Il est distribué: tous les membres du réseau disposent d’une copie du registre, rendant quasiment impossible la modification de ce registre par un individu sans l’aval du reste du réseau ;
• Il est fiabilisé par les acteurs du réseau – : la confiance établie au sein du système est assurée par les membres du réseau eux-mêmes ; aucune autorité centrale ne joue le rôle de tiers de confiance.

Au sein du registre, les transactions sont regroupées dans des « blocs » enchainés par ordre chronologique (dans le cas de la Blockchain Bitcoin, un bloc correspond à environ 10 minutes de transactions). Le schéma ci-dessous permet de comprendre la cinématique de création d’un nouveau bloc, et donc l’enregistrement d’une nouvelle transaction dans la Blockchain.

Cinématique de rajout d’un Bloc à la Blockchain – Vision globale

Ainsi, le tiers de confiance est remplacé par des algorithmes permettant à tous les membres du réseau de vérifier facilement que les mineurs n’ont pas ajouté, supprimé ou modifié une transaction lors de la création des nouveaux blocs.

Du simple stockage sécurisé à l’exécution de « contrats » intelligents

Toute situation faisant intervenir un tiers de confiance coûteux ou faillible est une opportunité pour créer un cas d’usage Blockchain. Banque, immobilier, santé, transport… tous les secteurs se sentent concernés et réfléchissent actuellement aux opportunités offertes par la Blockchain pour améliorer ou remplacer les modèles actuels.

Trois catégories de cas d’usage se distinguent aujourd’hui :

• Record keeping – Blockchain utilisée comme registre de stockage pour déposer des données dont on souhaite garantir la preuve de par leur existence, leur date de création et le droit de propriété, comme par exemple : des brevets, des données médicales, etc.
• Digital transactions – Blockchain utilisée pour du transfert de valeur : transaction immobilière, crowdfunding, crypto-monnaies, etc.
• Smart-contracts – Blockchain utilisée pour développer et stocker des smart-contracts, à savoir des contrats entre plusieurs parties, rédigés sous forme de code informatique, et qui s’exécutent sans intervention humaine selon les conditions et termes qu’ils contiennent.

Les acteurs du monde de la finance s’intéressent tout particulièrement à la Blockchain. Que ce soit en France ou à l’international, de nombreuses initiatives sont menées, parfois sous forme de consortium, dans le but d’évaluer le potentiel des usages de cette technologie dans le secteur et de définir des protocoles standardisés.

Bien que la Blockchain ait été initialement pensée comme un système public, la plupart des réflexions actuelles concernent des Blockchains privées (propre à une organisation) ou hybrides (propre à un ensemble de partenaires).

Performance, écologie et réglementation : les obstacles à surmonter

À titre d’exemple, le réseau Bitcoin permet d’enregistrer environ 7 transactions par seconde, à comparer aux 2 000 transactions par seconde de VISA. Pour s’imposer à large échelle et développer de nouveaux cas d’usage, la Blockchain doit donc pouvoir améliorer ses performances.

Le défi de la performance repose sur une définition et un calibrage des paramètres intrinsèques à la Blockchain en fonction de l’usage que l’on souhaite faire de celle-ci (taille des blocs, processus de création des blocs…).

De plus, elle s’avère très consommatrice en énergie. La consommation électrique actuelle du réseau Bitcoin est notamment équivalente à celle de 280 000 foyers américains.

La réglementation s’avère aussi être un obstacle, l’évolution rapide de la technologie et des cas d’usage amenant de nouvelles interrogations : application du processus KYC (Know Your Customer) ? Poids juridique d’un smart-contract ? Etc. Certains ministères et parlementaires français commencent à s’y intéresser sérieusement (cf. encadré).

Timeline – Réglementation Blockchain en France

Cet article La blockchain : un nouveau modèle pour la confiance ? est apparu en premier sur RiskInsight.