Cyberrisk Management & Strategy - RiskInsight

Sécuriser les agents IA : pourquoi l’IAM devient central

Mathis SIGIER — Thu, 09 Apr 2026 08:53:32 +0000

L’essor des agents IA redéfinit les enjeux de sécurité du système d’information

L’intelligence artificielle s’impose désormais comme un levier structurant pour les entreprises : 70%¹ l’ont déjà placée au cœur de leur stratégie. Jusqu’ici, la majorité des déploiements reposaient sur des assistants conversationnels capables de restituer de l’information, parfois enrichie par des données internes, mais dont les interactions avec le système d’information restaient limitées.

Une rupture est désormais en cours : l’essor de l’IA agentique. Contrairement aux simples chatbots, les agents IA ne se contentent plus de répondre ; ils raisonnent, décident d’appeler des outils et déclenchent des actions. Ils peuvent envoyer un courriel, planifier un déplacement, mettre à jour un dossier, initier une transaction ou, demain, exécuter des opérations plus sensibles encore. Leur promesse en matière d’automatisation est considérable. Leur impact potentiel sur la surface d’attaque du système d’information l’est tout autant.

Car dès lors qu’un système d’IA agit, une question devient centrale : au nom de qui agit-il, avec quels droits, dans quel périmètre, et sous quel contrôle ?

Cette question est d’autant plus critique que les usages progressent rapidement : 51 %² des organisations ont déjà déployé un agent IA à destination de leurs collaborateurs, tandis que 59 %³ des salariés reconnaissent utiliser des agents IA non officiellement autorisés. Au-delà des usages individuels, chaque direction métier peut être tentée de déployer ses propres agents pour répondre à des besoins locaux. Ce phénomène alimente un Shadow IT agentique, dans lequel les agents se multiplient de manière fragmentée, avec des architectures hétérogènes, des contrôles variables et une gouvernance souvent lacunaire.

Dans ce contexte, l’Identity and Access Management (IAM) doit redevenir le centre de gravité de la stratégie de sécurité. Toute donnée qu’un agent peut consulter, toute ressource qu’il peut modifier, toute action qu’il peut exécuter doivent relever d’un dispositif de contrôle d’accès, de traçabilité et de gouvernance centralisé.

Cet article propose d’analyser la sécurisation des agents IA à travers le prisme de l’IAM, non comme une brique parmi d’autres, mais comme l’un des garde-fous structurants pour encadrer leurs usages et protéger durablement le système d’information.

Des assistants conversationnels aux agents IA : comment ils interagissent avec le SI

Par quels mécanismes un agent IA peut-il agir sur une application ?

La capacité d’un agent IA à interagir avec les applications du système d’information repose sur l’émergence de nouveaux protocoles, parmi lesquels le Model Context Protocol (MCP) occupe aujourd’hui une place croissante. Ce type de protocole permet à un agent IA de dialoguer avec des applications tierces via une couche intermédiaire, souvent matérialisée par une brique IT appelé serveur MCP.

Ce serveur MCP agit comme un composant d’exposition et d’orchestration. Il reçoit des requêtes émises par un modèle d’IA, les traduit en appels exploitables, puis les relaie vers les API de l’application cible. Pour cela, le serveur MCP met à disposition du modèle des outils (“tools”) décrivant les actions qu’il est autorisé à invoquer. Une fois le serveur déclaré dans l’interface conversationnelle ou dans l’environnement de l’agent, le modèle peut décider, en fonction de la demande utilisateur et de son raisonnement, d’appeler un ou plusieurs de ces outils.

D’un point de vue sécurité, cela introduit une question d’identité : comment l’utilisateur final est-il authentifié, et comment cette identité est-elle propagée — ou non — jusqu’aux services cibles ? Dans les architectures modernes, l’authentification utilisateur repose généralement sur OpenID Connect (OIDC), tandis que l’autorisation d’accès aux API repose sur OAuth 2.x via des jetons d’accès. L’enjeu, pour un agent, est de garantir que les appels aux outils et aux API soient réalisés dans un modèle contrôlé de délégation : l’agent agit-il avec ses propres droits, avec les droits de l’utilisateur, ou selon un mécanisme hybride ?

Illustrons ce fonctionnement à travers un cas d’usage : la planification d’une réunion par un agent IA. L’utilisateur formule sa demande dans l’interface conversationnelle : « Planifie une réunion avec l’équipe demain à 10h ». L’agent IA analyse la requête et décide d’utiliser l’outil « Calendrier » mis à disposition par le serveur MCP. Il envoie alors une requête structurée à ce serveur, contenant uniquement les informations nécessaires à la création de l’événement (participants, date, heure, sujet). Le serveur MCP relaie cette demande à l’API du calendrier d’entreprise, qui permet de créer la réunion.

En apparence, le mécanisme est simple. En pratique, il introduit un changement majeur : le modèle ne se contente plus d’assister l’utilisateur ; il devient un intermédiaire actif entre l’intention humaine et l’exécution technique dans le SI.

Un mode de fonctionnement opaque

Cette architecture soulève immédiatement une difficulté de sécurité : dans de nombreux cas, le composant d’intégration ne dispose que d’une visibilité partielle sur le contexte d’origine. Il reçoit une requête structurée, mais pas nécessairement l’intégralité de la requête initiale, des arbitrages du modèle ou des éléments qui ont conduit au choix de l’outil invoqué. Le système d’information voit alors arriver une action, sans toujours pouvoir reconstituer de manière fiable la chaîne complète qui relie la demande utilisateur, le raisonnement du modèle, l’appel d’outil et l’effet final produit. Cette perte de contexte est d’autant plus critique lorsque l’appel à l’API est porté par un jeton OAuth : selon l’architecture, le service cible peut ne voir qu’une identité applicative (compte de service / application) et non l’utilisateur réel à l’origine de la demande. Cela fragilise l’attribution, la détection d’abus et la capacité à appliquer des politiques conditionnelles différenciées entre action humaine et action agentique.

Autrement dit, l’agent interagit avec le SI selon une logique partiellement opaque, qui rompt avec les schémas plus traditionnels d’interaction applicative. Cette opacité complique le contrôle en temps réel, la traçabilité ex post, ainsi que l’attribution claire de responsabilité.

Une technologie émergente qui pose des défis de sécurité

L’IA agentique introduit des cas d’usage nouveaux, mais aussi des risques nouveaux, qui doivent être analysés et traités au niveau de l’IAM. Quatre défis apparaissent comme particulièrement structurants.

Défi 1 : Recenser les agents IA

Le premier défi est celui de la visibilité. Dans de nombreuses organisations, il n’existe aujourd’hui ni cartographie exhaustive des agents IA déployés, ni inventaire consolidé des outils auxquels ils sont connectés.

Cette situation résulte de deux dynamiques :

D’une part, les usages se développent souvent en dehors des circuits de gouvernance historiques : certaines équipes déploient des agents pour leurs besoins propres, sans associer en amont les équipes sécurité, IAM ou architecture et dans parfois dans des solutions plateformes qui permettent à chacun de construire ses propres usages.
D’autre part, les modalités techniques d’intégration sont diverses. Le MCP constitue une approche montante, mais il coexiste avec des intégrations propriétaires, des connecteurs natifs à certains écosystèmes, des mécanismes d’exécution locale de code, ou encore des capacités embarquées directement dans les plateformes des éditeurs.

Le sujet n’est donc pas seulement celui du recensement des agents eux-mêmes, mais celui de l’identification de l’ensemble de la chaîne d’exécution : agent, interface, outils exposés, applications cibles, comptes utilisés, données manipulées et flux générés. Sans cette visibilité, aucune gouvernance sérieuse n’est possible.

Défi 2 : Attribuer et gouverner les droits des agents IA

Le deuxième défi concerne l’autorisation. Les modèles IAM traditionnels ne disposent pas encore, dans la plupart des environnements, d’un objet natif et généralisé permettant de représenter proprement un agent IA comme une identité gouvernable à part entière.

En pratique, les composants intermédiaires sont fréquemment enregistrés comme des applications techniques ou opèrent à l’aide de comptes de service. Il en résulte plusieurs dérives connues : droits trop larges, absence de séparation fine entre les capacités d’un agent et celles du composant qui l’héberge, difficulté à appliquer le moindre privilège, et impossibilité de différencier clairement une action humaine directe d’une action exécutée par un agent.

Le risque est majeur : l’agent n’exécute plus seulement une intention métier ; il devient un vecteur d’accès indirect au SI, parfois avec un niveau de privilège supérieur à ce qui serait acceptable pour un utilisateur ou une application classique.

Défi 3 : Authentifier un agent IA

L’authentification constitue le troisième défi, à deux niveaux distincts. Il faut d’abord authentifier correctement l’utilisateur final, afin de garantir que l’agent n’agit pas dans un vide identitaire. Mais il faut également authentifier l’agent lui-même, ou à tout le moins le composant qui agit pour son compte, afin de pouvoir lui appliquer des politiques spécifiques, des restrictions adaptées et des exigences de supervision proportionnées.

Cette double exigence est nouvelle par son intensité : avec les agents IA, le système doit simultanément gérer l’identité du demandeur, l’identité du système exécutant, et la relation précise entre les deux.

Défi 4 : Tracer les actions réalisées par les agents IA

Le dernier défi est celui de la traçabilité. Dans de nombreuses architectures actuelles, les journaux permettent surtout d’observer l’appel technique émis vers le service cible. En revanche, il reste difficile de reconstituer de manière fiable :

quel utilisateur est à l’origine de la demande ;
quel agent a décidé ou exécuté l’action ;
dans quel contexte métier l’appel a été réalisé ;
quelles étapes intermédiaires ont conduit à l’exécution finale.

Ce déficit d’auditabilité fragilise à la fois la détection, l’investigation et la responsabilité. Lorsqu’une action sensible est déclenchée, il doit être possible de déterminer si elle résulte d’une instruction légitime, d’une mauvaise interprétation, d’une dérive autonome, d’un abus de privilège ou d’une compromission du contexte d’entrée, par exemple via une attaque de type prompt injection.

L’IAM comme cadre de référence pour sécuriser les agents IA

Les grands principes IAM restent inchangés

Face à cette transformation, un point doit être clairement affirmé : les fondamentaux de l’IAM ne disparaissent pas avec l’IA agentique. Au contraire, ils redeviennent essentiels.

Un système d’information maîtrisé repose sur quelques principes simples et robustes :

centraliser l’authentification autant que possible autour d’un fournisseur d’identité de référence ;
éviter les comptes génériques lorsqu’un usage nominatif est possible ;
limiter les privilèges au strict nécessaire ;
gouverner les habilitations dans la durée ;
tracer les accès et les actions ;
distinguer clairement les rôles, les responsabilités et les périmètres d’exécution.

L’arrivée des agents IA ne remet pas en cause ces principes. En revanche, elle révèle leurs angles morts actuels et impose de faire évoluer la gouvernance comme les mécanismes techniques. Ce n’est pas l’IAM qu’il faut réinventer ; c’est son modèle d’application qu’il faut adapter à une nouvelle catégorie d’acteurs numériques, capables de prendre des initiatives et de déclencher des effets dans le SI.

Une trajectoire de sécurisation en quatre étapes

1. Recenser les cas d’usage et les agents

La première étape consiste à obtenir une visibilité exhaustive. Cela suppose d’identifier :

les agents déployés ;
les environnements dans lesquels ils opèrent ;
les outils et connecteurs qu’ils utilisent ;
les applications qu’ils peuvent atteindre ;
les comptes, identités techniques ou jetons qu’ils mobilisent ;
les données qu’ils peuvent lire, modifier ou transmettre.

Cette cartographie n’est pas un exercice documentaire accessoire : elle constitue la condition préalable à toute politique de contrôle d’accès cohérente. Pour la réaliser, des outils du marché émerge, comme la solution Agent 365 de Microsoft.

2. Introduire un type d’identité spécifique pour les agents IA

La deuxième étape consiste à reconnaître les agents IA comme une catégorie spécifique d’identités non humaines. Ce marquage est essentiel, car il permet d’appliquer des politiques différenciées : interdiction de certaines actions, limitation à certains périmètres, exigences de validation préalable, surveillance renforcée ou restrictions conditionnelles.

Cette distinction est structurante. Une application classique n’a pas le même niveau d’autonomie, ni le même profil de risque, qu’un agent IA capable de sélectionner lui-même un outil, d’enchaîner plusieurs actions ou de réagir à un contexte ambigu. L’IAM doit donc être en mesure de dire non seulement qui agit, mais aussi de quelle manière le système agit.

À titre d’exemple, un utilisateur peut disposer du droit d’envoyer un courriel ou de créer un ordre de modification. Cela ne signifie pas qu’un agent puisse exécuter cette action sans garde-fou. Selon la sensibilité du processus, une politique dédiée peut imposer une validation humaine, un périmètre restreint ou une interdiction pure et simple.

3. Rattacher l’authentification et la gestion des droits à un fournisseur d’identité unique et à l’utilisateur final

La troisième étape consiste à ramener l’authentification dans le giron d’un fournisseur d’identité central, afin que les droits soient gouvernés de manière homogène. L’objectif est double : éviter le recours incontrôlé à des comptes techniques sur-privilegiés, et faire en sorte que l’agent opère, autant que possible, dans la limite des habilitations de l’utilisateur à l’origine de la demande.

Cela ne signifie pas que l’agent doit être transparent du point de vue de la sécurité. Au contraire, l’enjeu est de pouvoir appliquer une logique du type : « même si l’utilisateur a le droit, l’agent n’a pas nécessairement le droit de le faire seul, dans n’importe quel contexte, et sans contrôle complémentaire ».

4. Mettre en place une approbation humaine avant certaines actions initiées par les agents

La sécurisation des agents IA ne peut pas reposer exclusivement sur l’authentification et l’autorisation. Elle suppose aussi de définir le niveau d’autonomie acceptable selon la criticité des actions concernées.

Trois modèles sont classiquement distingués.

Human-in-the-loop

C’est le mode le plus protecteur. L’agent prépare l’action, mais son exécution reste conditionnée à une validation explicite. Ce schéma doit être privilégié pour les opérations sensibles : mouvement financier, modification de droits, envoi externe engageant l’entreprise, accès à des données sensibles, action à effet irréversible, etc.

Son intérêt est majeur : la validation finale est portée par une interface de contrôle indépendante du raisonnement de l’agent. Même si le modèle a été influencé, manipulé ou simplement trompé, l’utilisateur ou l’opérateur conserve la maîtrise de la décision.

Human-over-the-loop

Dans ce modèle, l’humain ne valide pas chaque action individuellement, mais supervise l’exécution et conserve une capacité d’interruption immédiate. Ce schéma peut convenir à des processus fréquents, encadrés et faiblement risqués, à condition que la surveillance soit réelle et que le mécanisme d’arrêt soit effectivement opérationnel.

Human-out-of-the-loop

Ici, l’agent exécute de manière autonome, sans intervention humaine immédiate. Ce niveau d’autonomie ne devrait être envisagé que pour des usages à très faible criticité, dans des environnements strictement bornés, avec des périmètres d’action réduits, des mécanismes de contrôle compensatoires solides et une tolérance explicite au risque résiduel.

Pour un RSSI, la logique est simple : plus l’impact métier, réglementaire ou sécurité est élevé, plus la boucle humaine doit être proche de l’exécution.

Une cible claire, mais encore freinée par plusieurs limites

Obstacles fonctionnels

La cible de sécurisation peut être formulée de manière claire. Sa mise en œuvre se heurte toutefois à plusieurs obstacles majeurs d’un point de vue fonctionnel.

Le premier concerne le manque de granularité des autorisations. Aujourd’hui, un utilisateur peut vouloir demander à un agent d’effectuer une action précise sur une ressource précise. Pourtant, les mécanismes disponibles imposent souvent des permissions bien plus larges que nécessaire. Traiter un courriel peut conduire à ouvrir l’accès à toute une boîte de messagerie ; planifier une réunion peut impliquer un accès étendu à l’agenda ; interagir avec un référentiel peut nécessiter des droits de lecture ou d’écriture bien au-delà du besoin exprimé. Ce décalage est particulièrement problématique dans un contexte agentique. Une IA étant par nature non déterministe dans sa manière de sélectionner et d’enchaîner ses actions, un accès trop large devient mécaniquement un risque disproportionné. Une adoption sécurisée suppose donc d’évoluer vers des mécanismes d’autorisation plus fins, contextualisés, temporaires et proportionnés à la requête réellement formulée.

Le second obstacle porte sur l’authentification et la propagation de l’identité. Dans beaucoup de cas, les architectures actuelles reposent encore sur des comptes techniques, des secrets partagés ou des mécanismes d’authentification peu satisfaisants au regard d’une gouvernance IAM mature. La cible consiste au contraire à faire en sorte que chaque action soit reliée de manière explicite à (i) l’utilisateur à l’origine de la demande, et (ii) au fait qu’elle a été exécutée par un agent — ce qui implique de distinguer l’identité du demandeur et l’identité du système exécutant, tout en documentant la relation de délégation entre les deux. En pratique, cela renvoie à des mécanismes de délégation contrôlée tels que les flux OAuth “On‑Behalf‑Of (OBO)” : l’agent (ou sa couche d’orchestration) appelle une API en portant une autorisation dérivée de l’utilisateur, mais avec des contraintes supplémentaires (portée limitée, durée réduite, contexte, politiques conditionnelles). L’objectif est de réduire la dépendance aux comptes techniques sur‑privilégiés tout en conservant une chaîne de responsabilité exploitable. À ce stade, le marché ne propose toutefois pas encore un modèle totalement homogène et interopérable couvrant à la fois l’authentification, l’autorisation fine, la traçabilité et la gouvernance des agents à grande échelle.

Dernier obstacle fondamental, la traçabilité : chaque action doit être liée de façon explicite à une chaîne de responsabilité intelligible. Sans cette capacité, il n’y a ni auditabilité robuste, ni contrôle effectif, ni gouvernance défendable devant les métiers, les auditeurs ou le régulateur. Et cela a un coût pour les SIEM…

Un marché encore fragmenté, qui complique la sécurisation

Du point de vue des entreprises, la difficulté n’est pas seulement technique : elle est aussi liée à la maturité du marché. Les capacités agentiques se diffusent plus vite que les standards de sécurité et de gouvernance capables de les encadrer de manière homogène. Résultat : les organisations doivent composer avec des solutions hétérogènes, dont le modèle d’identité, d’audit et de contrôle varie fortement d’un éditeur à l’autre.

Le MCP peut-il s’imposer comme standard de marché ?

Certains éditeurs exposent leurs applications via des serveurs MCP ou des mécanismes comparables, tandis que d’autres privilégient des intégrations natives, plus fermées, au sein de leur propre écosystème. Dans les faits, il n’existe pas encore de cadre pleinement homogène couvrant de manière satisfaisante les enjeux d’authentification, d’autorisation, de traçabilité, de gouvernance et de nomenclature des capacités exposées.

Deux trajectoires peuvent être envisagées :

La première serait celle d’une convergence vers un socle standardisé, permettant l’interopérabilité des agents, des outils et des plateformes. Une telle évolution faciliterait le déploiement à grande échelle, améliorerait l’expérience utilisateur et rendrait possible une gouvernance plus cohérente à l’échelle de l’entreprise.
La seconde serait celle d’une fragmentation durable du marché. Dans ce scénario, chaque éditeur continuerait à privilégier ses propres mécanismes, ses propres objets de sécurité et ses propres modèles d’intégration. Les conséquences seraient lourdes pour les entreprises : multiplication des angles morts, hétérogénéité des contrôles, difficulté à centraliser la supervision et impossibilité pratique d’appliquer une politique IAM homogène sur l’ensemble du périmètre agentique.

À court terme, les signaux du marché suggèrent une co‑existence : des initiatives d’interopérabilité émergent, mais les grands éditeurs conservent des logiques d’écosystèmes intégrés. Pour un RSSI, cela impose de raisonner non seulement “outil par outil”, mais aussi en termes de capacité à gouverner un portefeuille d’agents sur un périmètre multi‑éditeurs.

Vers des registres d’agents IA

La montée en puissance des agents IA justifie l’émergence d’un nouvel objet de gouvernance : le registre d’agents. Parce qu’un agent est un système autonome capable de déclencher des actions, il ne peut plus être traité comme un simple composant applicatif invisible. Il doit être identifié, qualifié, rattaché à un propriétaire, inscrit dans un cycle de vie, évalué en fonction de son périmètre d’action et soumis à des règles spécifiques.

Ce registre doit, à terme, permettre de répondre à des questions simples mais décisives :

quels agents existent dans l’organisation ;
qui en est responsable ;
dans quel environnement opèrent-ils ;
à quels outils et à quelles données ont-ils accès ;
quels mécanismes d’authentification utilisent-ils ;
quelles validations humaines sont exigées ;
quels journaux produisent-ils ;
quand doivent-ils être revus, requalifiés, suspendus ou retirés.

Certains fournisseurs d’identité commencent à introduire des capacités dédiées à cette nouvelle catégorie d’identités non humaines. C’est un signal important. Mais la maturité du marché reste naissante, et la gouvernance ne pourra pas être déléguée aux seuls éditeurs. Le vrai sujet est avant tout d’entreprise : définir un modèle de responsabilité, de contrôle et de sécurité adapté à l’autonomie croissante des systèmes d’IA.

Quand s’attaquer à l’IAM des agents IA ? Maintenant !

L’essor des agents IA marque une évolution majeure dans la transformation des systèmes d’information. En passant d’une logique d’assistance à une logique d’action, ces systèmes déplacent profondément les enjeux de sécurité : il ne s’agit plus seulement de maîtriser les données qu’une IA peut consulter, mais bien les actions qu’elle est en mesure d’exécuter, les droits qu’elle mobilise et les responsabilités qu’elle engage.

Dans ce contexte, l’IAM s’impose comme un levier structurant. Il constitue le socle permettant de rendre visibles les agents, de maîtriser leurs habilitations, de tracer leurs actions et de définir les conditions dans lesquelles leur autonomie peut être acceptée. Autrement dit, la sécurisation des agents IA ne pourra pas reposer sur des mesures périphériques : elle suppose une approche de gouvernance intégrée, articulant identité, contrôle d’accès, supervision et validation humaine.

Pour les organisations, l’enjeu n’est pas de freiner l’adoption de l’IA agentique, mais de l’encadrer dans un modèle de confiance soutenable. Cela implique dès aujourd’hui de poser des choix structurants : cartographier les usages, intégrer les agents dans les dispositifs IAM, distinguer les identités humaines et non humaines, adapter les politiques d’autorisation, et définir des garde-fous proportionnés à la criticité des actions confiées.

À mesure que les architectures se standardiseront et que les offres du marché gagneront en maturité, les entreprises les mieux préparées seront celles qui auront traité les agents IA non comme de simples assistants innovants, mais comme de nouveaux acteurs du SI, soumis aux mêmes exigences de sécurité, de traçabilité et de gouvernance que tout composant critique.

La question n’est donc plus de savoir si les agents IA trouveront leur place dans l’entreprise, mais dans quelles conditions de maîtrise. Pour les RSSI, le sujet est clair : la capacité à industrialiser l’IA agentique dépendra moins de la performance des modèles que de la robustesse du cadre IAM et de gouvernance mis en place pour l’encadrer.

Si, vous aussi, vous vous interrogez sur la gestion des accès des agents IA ou souhaitez approfondir la sécurisation de ces nouveaux usages, nous serions ravis d’échanger avec vous. N’hésitez pas à nous solliciter pour partager vos enjeux ou explorer ensemble des pistes adaptées à votre contexte.

Wavestone – Global AI Survey 2025 – AI Adoption and Its Paradoxes: Global AI survey 2025 | Wavestone)
PagerDuty (2025) More than Half of Companies (51%) Already Deployed AI Agents. Pager Duty, March 2025. Available at: 2025 Agentic AI ROI Survey Results (Accessed: 2 January 2026)
Cybernews (2025) Unapproved AI Tools in the Workplace. September 2025. Available at: https://cybernews.com/ai-news/ai-shadow-use-workplace-survey/ (Accessed: 2 January 2026).

Cet article Sécuriser les agents IA : pourquoi l’IAM devient central est apparu en premier sur RiskInsight.

Résilience par design : Les impératifs stratégiques pour les assureurs généraux et de réassurance au Royaume-Uni (2025 – 2030)

Suman Dogra Gaur — Wed, 03 Sep 2025 06:16:20 +0000

Le secteur britannique de l’assurance et de la réassurance traverse une période de transformation rapide, marquée par des réformes réglementaires, une intensification des menaces cyber et des conditions macroéconomiques en évolution. Avec une valorisation du marché combiné à 74,6 milliards de livres sterling et une croissance prévisionnelle des bénéfices de 18 % par an, le secteur reste résilient malgré la volatilité mondiale ; reflétant un fort sentiment des investisseurs et une confiance durable dans la croissance à long terme. Dans ce contexte, les régulateurs britanniques continuent de renforcer leur attention sur la résilience opérationnelle, pressant les institutions financières à se prémunir contre les disruptions cyber et les vulnérabilités systémiques.

Ces dernières années, les régulateurs ont régulièrement incité les assureurs à adopter des stratégies holistiques allant bien au-delà des approches traditionnelles de relance après un sinistre — en intégrant la résilience au cœur des opérations commerciales et tout au long du cycle de vie du développement des logiciels.

Ce document vise à offrir une perspective globale sur la résilience, en réunissant la continuité opérationnelle, la cybersécurité et la gestion des risques liés aux tiers. Il peut servir de guide stratégique pour les dirigeants (CxO), en expliquant comment identifier le Minimum Viable de l’Entreprise (EMV), en fournissant des analyses de marché sur la tolérance aux perturbations à l’échelle du secteur, et en anticipant l’évolution du cadre réglementaire et de la résilience cyber jusqu’en 2030.

Cadre du Minimum Viable de l’Entreprise (EMV)

La politique sur la résilience opérationnelle de la FCA (PS21/3) oblige les assureurs à identifier leurs Services d’Activité Importants (SAI) et à développer des stratégies pour les maintenir lors de perturbations sévères.
Bien que le concept d’EMV ne soit pas explicitement mentionné dans la PS21/3 (politique de la FCA sur le renforcement de la résilience opérationnelle, publiée en mars 2021), les organisations sont invitées à définir leur « empreinte opérationnelle minimale », ce qui s’aligne étroitement avec les principes de l’EMV.

Pensez l’EMV comme la bouée de sauvetage de votre organisation : ces services, processus, technologies et équipes indispensables qui maintiennent la confiance et la stabilité financière, même lorsque tout le reste doit être mis en pause.

La plupart des organisations maintiennent une légère EMV — elle représente seulement 15 à 17 % de l’activité totale — soutenue par des listes solides d’applications critiques, d’infrastructures essentielles, de données clés et de relations tierces vitales.
Ce n’est pas qu’une simple question de conformité : il s’agit d’identifier une base modulaire et évolutive permettant à l’entreprise d’isoler les problèmes, de se rétablir rapidement et de continuer à opérer en période de risques systémiques.

Sur la base de notre vaste expérience auprès des principaux acteurs de l’assurance au Royaume-Uni et à l’international, voici une liste indicative des services essentiels généralement identifiés :

Catégorie	Services clés
Protection des assurés	Traitement des sinistres, émission des polices, renouvellements, annulations
Continuité financière	Encaissement des primes, surveillance de la solvabilité, exécution des paiements
Conformité	Contrôle de lutte contre le blanchiment d’argent (LBA), vérifications des sanctions, rapports sur la conduite et les transactions
Engagement client	Gestion des réclamations, opérations du centre de contact, portails numériques
Souscription & risques	Devis, analyse des risques, placement et gestion de la réassurance
Contrôle des tiers	Relations avec les courtiers, gestion externalisée des sinistres, contrats avec les fournisseurs

Analyse approfondie des tendances en matière de tolérance à l’impact, avec un examen détaillé des standards observés et des justifications stratégiques pour les services essentiels identifiés dans le cadre de l’EMV.

Remarque : Les plages de tolérance présentées ci-dessous sont fournies à titre indicatif, sur la base de notre étude de marché et de notre expérience en conseil réglementaire. Les tolérances réelles peuvent varier en fonction de plusieurs facteurs, tels que les juridictions concernées, le profil de risque de l’organisation et sa capacité financière.

Service	Niveau de tolérance*	Stratégie
Traitement des sinistres	4–6 heures	Grande sensibilité clients
Contrôle LBA/Sanctions	En temps réel ≤1 h	Tolérance zéro réglementaire
Encaissement des primes	1–2 jours ouvrés	Risque de viabilité financière
Opérations du centre de contact	2–4 heures	Réputation et satisfaction client
Emission de contrats	24–48 heures	Classement par niveaux de complexité du produit
Placement en réassurance	3–5 jours ouvrés	Impact indirect sur les assurés de première ligne
Connexion avec les courtiers	1 jour ouvré	Continuité des ventes et de la distribution

Tendances réglementaires : perspectives 2025–2030

Alors que le secteur de l’assurance doit faire face à des exigences opérationnelles en constante évolution, il est tout aussi essentiel d’anticiper les mutations du paysage réglementaire qui marqueront les années à venir.
Les perspectives suivantes mettent en lumière les principales tendances réglementaires prévues pour la période 2025 à 2030, en exposant les exigences clés en matière de conformité ainsi que les évolutions attendues qui façonneront les cadres de gestion des risques et de reporting du secteur de l’assurance au Royaume-Uni.

Echéance	Sujet	Evolution prévue	Principaux Régulateurs
Q4 2025	Analyses des incidents auprès de la Financial Conduct Authority (FCA) et de la Prudential Regulation Authority (PRA)	Divulgation obligatoire en temps réel et par niveaux	FCA, PRA
2025-26	Projet de loi britannique sur la cybersécurité et la résilience	Modernisation du cadre de cybersécurité du Royaume-Uni et renforcement la réglementation	Information Commissioner’s Office (ICO)
2025–2027	Supervision critique des tiers	Gouvernance prescriptive pour le cloud, les données et les fournisseurs de services	FCA, PRA
2026	Tests de résilience sous contrainte DyGIST de la PRA	Tests de résistance à l’échelle du secteur sur la liquidité et les fonds propres	PRA
Q2 2025	Risque climatique (mise à jour SS3/19)	Mandats étendus pour les tests de résistance et de gouvernance	PRA
2025–2030	Réforme de la régulation des captives	Modernisation des captives basées au Royaume-Uni en cours d’examen	PRA, FCA

Il est important de reconnaître qu’à mesure que la réglementation dans ce domaine continue d’évoluer, les régulateurs britanniques tels que la FCA et la PRA tendent à s’aligner davantage sur les grands cadres européens, notamment le Règlement européen sur la résilience opérationnelle numérique (DORA) et la directive sur la sécurité des réseaux et de l’information (NIS).

Cet alignement traduit une prise de conscience de l’interconnexion des marchés financiers et des services critiques au-delà des frontières, ainsi que de la nécessité d’appliquer des normes cohérentes et renforcées en matière de résilience opérationnelle et cyber.

La FCA et la PRA ont publié des consultations et des orientations indiquant leur intention d’intégrer les principes fondamentaux de DORA et de NIS — tels que la gestion renforcée des risques liés aux tiers, des obligations harmonisées de déclaration d’incidents, et des tests de résilience à l’échelle du secteur — dans le régime réglementaire britannique.
Cette convergence garantit que les institutions financières, les assureurs et les prestataires de services du Royaume-Uni soient préparés non seulement aux exigences réglementaires nationales, mais également aux impératifs d’un marché global et numériquement intégré.

Liste de vérification de la résilience pour les conseils d’administration

À la lumière de ces évolutions réglementaires à venir et des réformes stratégiques en cours, il est essentiel que les conseils d’administration évaluent et renforcent leurs cadres de résilience organisationnelle.
La liste suivante est conçue pour aider les équipes dirigeantes à évaluer de manière proactive leur niveau de préparation, à garantir une gouvernance solide et à intégrer la résilience au cœur des processus décisionnels.

Couverture EMV : Votre Entreprise Minimum Viable (EMV) est-elle clairement définie, cartographiée et testée sous contrainte pour garantir la continuité des services essentiels ?
Étalonnage de la tolérance à l’impact : Avez-vous validé des tolérances réalistes à travers des analyses de scénarios, et les avez-vous comparées à celles d’institutions similaires et aux exigences réglementaires ?
Visibilité des risques liés aux tiers : Disposez-vous d’une visibilité en temps réel sur vos dépendances critiques externes, avec des plans de secours et des clauses de résilience dans les contrats ?
Fonctions de résilience intégrées : Vos équipes en résilience opérationnelle, cybersécurité, gestion des tiers, gestion des risques et de communication au conseil d’administration sont-elles alignées sur le plan stratégique et cohérentes ?
Préparation à la gestion des incidents : Disposez-vous de mécanismes robustes pour la déclaration multicanal des incidents (interne et externe), ainsi que d’un dialogue actif avec les régulateurs, soutenu par des plans d’action éprouvés ?
Alignement de l’assurance cyber : Votre couverture d’assurance cyber est-elle adaptée à votre profil de risque spécifique, et testée face à des scénarios de menaces en évolution portant sur des actifs critiques ?
Responsabilisation du conseil : Les membres du conseil d’administration ont-ils été formés à la surveillance de la résilience et de la cybersécurité, et reçoivent-ils des rapports réguliers des fonctions de gestion des risques intégrées pour garantir une gouvernance éclairée ?
Culture de la résilience : Une culture de la résilience est-elle ancrée dans toute l’organisation — du comité exécutif aux équipes opérationnelles — pour encourager la prise de responsabilité proactive et l’amélioration continue face aux risques ?
Veille réglementaire et anticipation : Suivons-nous de manière proactive les évolutions réglementaires locales et internationales (par ex. DORA de l’UE, FCA SS1/21, règles cyber de la SEC), tout en assurant la sensibilisation et la préparation au niveau du conseil d’administration ?

Le secteur britannique de l’assurance et de la réassurance est bien capitalisé, en pleine transformation numérique, et stratégiquement positionné pour la croissance.
Mais la résilience — qu’elle soit opérationnelle, cyber, ou liée aux tiers — reste le facteur déterminant du succès à long terme.

En harmonisant soigneusement leurs stratégies de résilience avec les normes internationales les plus avancées, les organisations peuvent non seulement renforcer leur position sur le marché, mais aussi gagner la confiance durable des parties prenantes.
Cette approche proactive permet de rester conforme dans un environnement réglementaire en constante évolution, tout en consolidant la capacité à atténuer les risques transfrontaliers et à réagir de manière décisive face à des perturbations imprévues.

Dans un monde où les menaces numériques et les vulnérabilités des chaînes d’approvisionnement dépassent les frontières géographiques, développer une résilience reconnue à l’échelle internationale n’est pas seulement une obligation réglementaire, mais un pilier fondamental d’une stratégie d’entreprise durable et tournée vers l’avenir.

En conclusion, les dirigeants doivent intégrer des cadres de résilience robustes et intégrés pour garantir une croissance et une stabilité à long terme. En cultivant une culture de gestion proactive des risques et de veille réglementaire, les institutions peuvent se positionner à l’avant-garde de l’excellence opérationnelle — prêtes non seulement à faire face aux défis, mais à les transformer en opportunités de succès durable.

Cet article Résilience par design : Les impératifs stratégiques pour les assureurs généraux et de réassurance au Royaume-Uni (2025 – 2030) est apparu en premier sur RiskInsight.

Radar des solutions de sensibilisation à la cybersécurité 2025 : comment trouver la solution adaptée à mes besoins ?

Laetitia Reverseau — Wed, 05 Feb 2025 10:12:53 +0000

D’après le rapport Verizon 2024, le facteur humain est à l’origine de 68% des compromissions de données. Conscients de cette vulnérabilité, 90% des cyberattaques exploitent l’erreur humaine, avec le phishing comme vecteur d’attaque majeur. Dans ce contexte, il devient essentiel de sensibiliser ses équipes à la cybersécurité tout en répondant précisément aux besoins de votre organisation.

Cependant, bien que les entreprises reconnaissent l’importance des contenus de sensibilisation, très peu réussissent à déployer efficacement des solutions adaptées à leurs spécificités. En effet, si la sensibilisation constitue une priorité, choisir l’outil le mieux adapté reste un défi. Les entreprises font face à une offre variée, allant de formations en ligne standardisées à des outils interactifs et personnalisés.

Un radar de +100 solutions de sensibilisation à la cybersécurité

Dans un environnement où la sensibilisation à la cybersécurité devient une priorité, le radar des solutions de sensibilisation se révèle être un allié stratégique pour les entreprises. Cet outil offre une vision claire et structurée des solutions disponibles, aidant les organisations à identifier les solutions les plus adaptées à leurs besoins.

Un outil d’aide à la décision

Le radar permet de prendre du recul sur l’ensemble des options disponibles et de mesurer l’ampleur du choix. Grâce au radar, les entreprises peuvent repérer rapidement certaines solutions performantes et innovantes, tout en distinguant des incontournables. Pour cela, les solutions ont été regroupées en 7 catégories :

Evaluation de la maturité : Solutions proposant un véritable outil d’évaluation de la maturité cybersécurité, des risques humains allant au-delà de rapports ou questionnaires
E-learning : Solutions offrant des modules d’apprentissage structurés variés
Sensibilisations techniques : Solutions proposant des contenus spécifiquement conçus pour les populations techniques (équipes cyber, IT, développeurs, etc.)
IA : Solutions se reposant sur un outil basé sur l’intelligence artificielle
Chatbot : Solutions intégrant un agent conversationnel interactif
Phishing : Solutions spécialisées dans la simulation d’attaques de phishing, à distinguer des modules e-learning abordant le sujet
Jeux : Solutions spécialisées dans la gamification et proposant des activités ludiques de sensibilisation à la cybersécurité

Ce radar a pour vocation de proposer une vision condensée de notre benchmark et ne constitue aucunement un classement. Il s’agit d’une sélection réfléchie, fondée sur plusieurs critères, entre autres : la taille de l’entreprise, sa présence sur le marché (français principalement), et notre évaluation experte. Nous avons souhaité limiter le nombre de solutions représentées pour garantir une lecture claire et stratégique.

La sélection privilégie les solutions françaises, toujours en cohérence avec notre base client, tout en intégrant quelques acteurs internationaux pertinents. Par ailleurs, seules les solutions dont l’activité de conseil ne représente pas le cœur de leur offre ont été retenues, afin de garantir une approche orientée produit.

Un benchmark pour une solution adaptée

Ce radar repose sur un benchmark de plus de +100 solutions disponibles sur le marché. Il offre ainsi un panorama complet de l’écosystème des solutions de sensibilisation.

Le benchmark est conçu pour guider votre choix vers la solution la plus adéquate. Les entreprises peuvent y rentrer leurs critères pour obtenir une liste réduite d’options : types de contenus (phishing, mots de passe, ingénierie sociale, etc.), types de formats (vidéos, quizz, chatbot, e-learning, etc.), disponibilité et modularité de la solution, publics visés, prix, langues, etc. Cela permet d’éviter un choix arbitraire et d’opter pour une solution véritablement alignée avec les enjeux et les objectifs de sensibilisation.

Ainsi, sans chercher à être exhaustif, le radar propose ainsi un large éventail d’options pour répondre au mieux aux besoins de votre organisation.

Les critères d’intégration au benchmark

Le processus d’intégration au benchmark d’une solution a pour volonté d’être simple. Une fois une solution identifiée, celle-ci est analysée et triée selon des critères précis auxquels s’ajoutent les retours de nos consultants Wavestone. En complément de cela, des rencontres avec les équipes des éditeurs de solution nous permettent d’affiner notre analyse avec des démonstrations et collecte d’informations complémentaires.

Ainsi, une solution avec une interface claire et intuitive, proposant des transcriptions en plusieurs langues, couvrant une large gamme de sujets (phishing, cloud, chatbot, etc.) de manière innovante, sera particulièrement intéressante. Si elle reçoit en plus de cela des retours positifs de nos consultants, elle aura de fortes chances d’être intégrée au radar.

Le benchmark et son radar s’accompagnent également de fiches détaillées pour certaines solutions. Grâce à notre expertise et nos convictions en sensibilisation, les solutions jugées comme plus pertinentes ont des fiches détaillées qui incluent un aperçu plus précis de l’interface, un avis de nos experts sur la solution, et sont alimentées par des rencontres avec les éditeurs. Ces fiches permettent non seulement de choisir l’outil le plus adapté, mais aussi de découvrir des alternatives souvent plus performantes, bien que moins connues.

Processus d’intégration d’une solution au benchmark et radar

Notes

Veuillez noter que le radar est une vision réduite du benchmark associé. Si vous remarquez qu’un acteur de la sensibilisation cyber que vous connaissez est absent de ce radar, contactez-nous pour que nous puissions l’évaluer et l’ajouter.

Nous remercions Guillaume MASSEBOEUF pour son aide dans la création de ce radar.

Cet article Radar des solutions de sensibilisation à la cybersécurité 2025 : comment trouver la solution adaptée à mes besoins ? est apparu en premier sur RiskInsight.

La cryptographie post-quantique est là : quelles conséquences et actions pour les grandes organisations ?

Gérôme Billois — Mon, 23 Sep 2024 06:50:31 +0000

Les nouvelles post-quantiques de l’été : ce qu’il faut retenir

Cet été marque une avancée majeure dans le domaine de la cybersécurité avec la publication des standards NIST de cryptographie post-quantique. Cette publication marque l’aboutissement de nombreuses années de travail, le processus de standardisation ayant été commencé en 2016, la recherche mathématique, elle, a duré des décennies.

Cette nouvelle était attendue avec impatience par la communauté cyber tant la menace est réelle : un ordinateur quantique suffisamment performant rendrait toute la cryptographie asymétrique actuelle obsolète. Cela implique l’impossibilité d’échanger des clés de chiffrement de même que la possibilité de signer numériquement des documents. En bref, cela signifierait la fin des garanties de confidentialité et d’intégrité pour les communications.
Il est difficile de décrire l’étendue des conséquences tant elles sont nombreuses que représenterait l’impossibilité de communications sécurisées sur internet.

Pour parer à cela, 3 nouveaux standards cryptographiques ont été identifiés :

ML-KEM (nommé CRYSTAL-KYBER pendant le processus), le nouveau standard principal pour le chiffrement et donc l’échange de clés
ML-DSA (CRYSTAL-Dilithium), le nouveau standard principal de signature numérique
SLH-DSA (Sphincs+), la solution de secours pour la signature si ML-DSA se révélait vulnérable.

A noter qu’une solution de « secours » pour le chiffrement, FN-DSA (FALCON), sera publiée dans un futur proche.

Les standards sont publiés, mais les efforts post-quantiques ne sont pas finis, bien au contraire !

Les intégrations commencent : les éditeurs et développeurs en action

La publication des standards permet de passer à l’étape suivante du processus de sécurité post quantique : l’intégration des algorithmes par les grands éditeurs et développeurs de solutions technologiques.

Ces travaux ont évidemment commencé préalablement mais on peut citer l’intégration des algorithmes post-quantiques à la roadmap de développement de Tink[1], la librairie de cryptographie bien connue de Google. On peut également saluer le partenariat entre IBM et Thales [2]pour une sécurité post-quantique complète, du VPN à TLS en passant par la signature numérique de documents. Microsoft[3] a également indiqué que des efforts étaient en cours pour une transition post-quantique de leurs services, de leur offre cloud au on-premise. Même Apple[4] dans la sphère grand public a lancé la migration de iMessage vers des algorithmes post-quantiques.

Mais attention, la sécurité post-quantique n’est pas soudainement une réalité. Ceci est et sera un long processus, qui repose notamment sur les efforts de tous les fournisseurs de services IT. Il est encourageant de constater que ce sujet est pris au sérieux par les leaders du marché.

Aux grandes organisations d’agir !

La sécurité post-quantique ne concerne pas seulement les GAFAM, toutes les grandes organisations doivent entamer leur transition vers ce nouveau paradigme. Nous recommandons de réfléchir et d’adopter dès maintenant une stratégie en la matière, à noter que les agences américaines ont l’obligation de la faire depuis le Quantum Computing Cybersecurity Preparedness Act (2022).

Les étapes majeures de cette stratégie de migration sont nombreuses et elle doit couvrir évidemment les systèmes informatiques classiques. Mais il ne faut pas oublier les systèmes industriels, les systèmes embarqués (véhicules, trains, objets connectés, systèmes déportés…). Pour chacun de ces périmètres les éléments suivants doivent être consolidés :

Un inventaire des données et de leur durée de vie sécuritaire (« security shelf-life »), en particulier pour les données à longue durée de vie afin de prioriser les efforts.
Un inventaire des solutions cryptographiques utilisées en interne, afin d’identifier leurs origines et les responsabilités (internes, open-source, fournisseurs…).
Chaque utilisation de cryptographie asymétrique doit faire l’objet d’un plan de transition qui inclura un POC. A noter que la cryptographie symétrique AES ne nécessite pas de transition, à l’exception du passage à AES256 pour les données ultra-critiques (sensibles sur plusieurs décennies). Pour les anciens systèmes, au-delà de la migration des systèmes de chiffrement, il sera peut-être nécessaire de rechiffrer une partie des données stockées.
L’ensemble de la chaîne cryptographique devra évidemment évoluer, de la PKI aux certificats en passant par les différents systèmes de chiffrement et de signature. Il faudra également être attentif aux problématiques de performance, en particulier sur les environnements embarqués.
Les nouveaux projets doivent prendre en compte la sécurité post-quantique dès la conception :
- Avec l’inclusion de critères de sécurité post-quantique dans l’évaluation des fournisseurs de services
- Tous les projets internes doivent prévoir l’utilisation de cryptographie asymétriques post-quantique, des exigences équivalentes à AES256 pour la cryptographie symétrique, et des garanties équivalentes à SHA512 pour le hachage.

Face à l’ampleur de la tâche, un écosystème complet de fournisseur se développe pour accompagner la réalisation d’inventaires, l’évaluation du risque (via le scan de librairies ou de code source) et le suivi des plans d’action. C’est le cas chez Thalès, IBM ou encore Sandbox AQ.

Mais au-delà de l’outillage, il sera nécessaire d’entamer un vrai programme de transformation, mobilisant largement les équipes de la DSI, les métiers concernés mais aussi les achats si l’enjeu fournisseur est important.

Cette migration est aussi l’occasion de réfléchir plus en profondeur à la gestion de la « crypto agilité » car il faut être réaliste, ces algorithmes sont assez « neufs » et il n’est pas impossible que des failles soient découvertes et nécessitent des évolutions. Le programme de transformation devra aboutir non pas à une migration « one off » mais bien à la maitrise d’une cryptographie agile dans l’organisation.

L’histoire montre qu’il faut trois à quatre ans pour entamer et compléter ce type de migration. Et ce sujet ne sera pas facile à faire avancer, tant il est invisible vis-à-vis des métiers. Espérons que des réglementations, en particulier en Europe, mettent le sujet en lumière !

Risques et timeline : à partir de quand agir ?

Les estimations varient quant à la date à laquelle un ordinateur quantique sera en mesure de « casser » un chiffrement RSA à l’état de l’art. La plupart la situe entre 2030 et 2040, avec une concentration d’estimations aux alentours de 2033-2035. La NSA exige une cryptographie exclusivement post-quantique de ses fournisseurs de logiciels, firmware et équipements réseau dès 2030, dès 2033 pour certains autres (e.g. O.S.) et 2035 pour l’ensemble de ses fournisseurs[5]. A noter que la cryptographie post-quantique doit être proposée dès 2025 dans certains cas de figure.

Même si personne ne peut savoir quand exactement les ordinateurs quantiques seront suffisamment sophistiqués, ne pas être prêt à l’horizon 2033 implique d’accepter des risques aux lourds impacts pour les données les plus sensibles.

Cependant une autre menace existe dès aujourd’hui. En effet, nous sommes tous exposés dès maintenant au risque de « Harvest Now, Decrypt Later » qui consiste au stockage à grande échelle de communications internet pour leur déchiffrement futur avec un ordinateur quantique (ou lorsque des clés de chiffrement fuitent). Ce risque concerne évidemment des entités aux capacités très spécifiques, à savoir les agences étatiques ou groupes d’attaquants soutenus par ces dernières. Seules les organisations dont les données représentent un intérêt stratégique pour ces agences sont les plus à risques. Cette particularité a fait démarrer les migrations chez certains acteurs particuliers.

Mais pour tous, vu les efforts requis et la zone de risque à l’horizon 2030, c’est dans le plan d’action 2025 qu’il faut prévoir les premières phases de bilan et de construction du plan projet !

[1] https://developers.google.com/tink/roadmap?hl=fr

[2]https://cpl.thalesgroup.com/blog/data-security/thales-joins-ibm-consulting-to-accelerate-pqc-readiness

[3]https://arstechnica.com/security/2024/09/microsoft-adds-quantum-resistant-algorithms-to-its-core-crypto-library/

[4] https://security.apple.com/blog/imessage-pq3/

[5] https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF

Cet article La cryptographie post-quantique est là : quelles conséquences et actions pour les grandes organisations ? est apparu en premier sur RiskInsight.

Naviguer dans le labyrinthe de la gestion des talents en cybersécurité : un guide pour les passionnés de la gestion des talents

Noëmie Honoré — Mon, 02 Sep 2024 08:00:00 +0000

Êtes-vous un CISO, un Talent Manager ou un spécialiste de la cybersécurité ayant pour défi de recruter et de retenir des talents qualifiés en cybersécurité ? Vous n’êtes pas seul.

Le recrutement en cybersécurité devient de plus en plus difficile, avec 4 millions de postes actuellement vacants, soit une augmentation de 13 % par rapport à 2022 (ISC2 2023). Comme l’ont confirmé des études au cours des trois dernières années, ce défi ne fait que s’aggraver, laissant les CISO en difficulté pour recruter, manager et retenir des professionnels qualifiés. Diversifier le vivier de talents est également une priorité, les femmes ne représentant que 25 % du personnel cyber.

Chez Wavestone, nous suivons activement ce sujet et avons développé un benchmark pour évaluer le niveau de maturité des entreprises sur ce sujet. Avec des données provenant de plus de 20 organisations, nous sommes prêts à partager nos idées et observations.

Dans cet article, nous allons plonger dans les résultats et nous concentrer sur des sujets clés tels que le « career path », le recrutement, les formations et les plans de rétention. Et pour ceux qui resteront jusqu’à la fin, une petite surprise vous attend.

Si vous êtes un CISO à la recherche de solutions pratiques ou simplement intéressé par la gestion des talents en cybersécurité, cet article est pour vous. Relevons ensemble ce défi !

Un Score Global de Maturité de 45% en Gestion des Talents en Cybersécurité

Le niveau actuel de maturité en gestion des talents en cybersécurité est de 45 %, ce qui indique une marge d’amélioration significative dans ce domaine émergent. L’écart entre les scores les plus bas et les plus élevés varie de 27 % à 62 %.

Sur une note positive, il existe des performances solides dans chaque domaine, ce qui suggère que les entreprises peuvent tirer parti du partage des meilleures pratiques. L’objectif ultime est de constituer des équipes de cybersécurité compétentes et résilientes.

Le secteur de l’énergie a le niveau de maturité le plus élevé, tandis que le secteur public et les institutions ont le niveau le plus bas. Le graphique ci-dessus compare les niveaux de maturité de divers secteurs sur une échelle de 0 à 100 %. Les secteurs incluent l’énergie (58,2), le luxe et la vente au détail (52,4), les services (50), les finances (45,9), l’industrie (47,2) et le secteur public et les institutions (36,1).

Développer un Career Path pour Offrir des Perspectives de Croissance aux Talents

Le domaine de la cybersécurité fait face à une pénurie évidente de talents. En 2023, 4 millions de postes en cybersécurité étaient vacants, et ce chiffre continue d’augmenter. Les organisations ont un véritable défi à relever pour retenir leurs talents en cybersécurité et en attirer de nouveaux. Pourtant, un « career path » bien défini pourrait les y aider. Du point de vue des ressources humaines, il permet aux individus de prendre en charge leur propre développement, sert de cadre pour l’auto-évaluation des compétences et des axes de développement, et soutient l’épanouissement personnel. Cependant, la mise en place d’un « career path » efficace nécessite une planification minutieuse et peut prendre plus d’un an à être implémenté.

Lors de nos entretiens avec des CISO et des Talent Managers en cybersécurité, nous avons observé que bien que 66 % des organisations aient lancé des initiatives pour construire leur premier « career path » en cybersécurité, ces efforts ne sont pas encore pleinement matérialisés.

Voici des conseils d’organisations leaders sur le marché…

Référentiel métiers : développez une liste détaillée de tous les rôles en cybersécurité, incluant les responsabilités et les exigences.
Cartographie des compétences : identifiez les compétences essentielles pour chaque rôle et créez une matrice des compétences pour repérer les lacunes et les besoins futurs.
Catalogue et cartographie des formations : alignez les programmes de formation avec les rôles ou les compétences spécifiques pour s’assurer que les employés soient bien préparés à exceller dans leurs rôles.

Exemple concret basé sur une mission client…

Dans un projet client, après plusieurs phases de revues et d’ateliers sur les référentiels métiers et compétences en cybersécurité, nous avons identifié 11 nouvelles compétences en cybersécurité et 6 nouveaux métiers en cybersécurité, et les avons intégrés dans les référentiels. Cela a ensuite conduit à la création d’un premier « career path » dédié à la division cybersécurité.

Un « career path » bien défini est la pierre angulaire de la gestion des talents et représente un avantage stratégique pour les organisations en matière de rétention et d’attraction des talents, incitant de nombreuses entreprises à passer à l’action.

Conseils pour Diversifier Votre Pool de Recrutement

Le pool de talents en cybersécurité est à la fois limité et peu diversifié, ce qui rend le recrutement un défi crucial pour les organisations. Bien que les femmes représentent 50 % de la population mondiale, elles ne constituent que 25 % des professionnels de la cybersécurité (ISC2 2023). Cela souligne le besoin urgent de stratégies de recrutement plus inclusives.

De nos jours, les descriptions de poste traditionnelles exigent souvent trop, dissuadant ainsi les candidates potentielles. Seules 27 % des organisations les ont adaptées. Les études montrent que les hommes postulent s’ils remplissent 60 % des critères, tandis que les femmes attendent souvent de répondre à 100 % des exigences. Réécrire les descriptions pour les rendre plus inclusives, avec l’apport de relectrices, peut élargir leur attrait.

De plus, peu d’entreprises se concentrent sur l’image de marque interne (5 %) ou externe (22 %), alors que ces stratégies fonctionnent. Une image de marque transparente et une communication claire peuvent contribuer à démystifier les rôles en cybersécurité, attirer un pool de talents plus diversifié et renforcer la mobilité interne, faisant d’elles des outils de recrutement précieux.

Voici des conseils d’organisations leaders sur le marché…

Descriptions de poste : créez ou révisez les descriptions de poste pour qu’elles soient accessibles et inclusives. Et n’oubliez pas de vérifier que vous ne demandez pas 10 certifications .
- Relecture par une femme : faites relire les descriptions de poste par une employée pour garantir leur inclusivité.
Stratégie de marque interne et externe : développez une marque qui met l’accent sur la diversité et l’inclusivité, collaborez avec des universités, des associations, et utilisez des modèles féminins pour promouvoir la cybersécurité.
Formation au recrutement : formez votre équipe aux méthodes de recrutement inclusives pour améliorer la diversité.

Offrir des formations pour réduire les écarts de compétences au sein de votre organisation

Les écarts de compétences en cybersécurité sont un problème majeur, 92 % des professionnels signalant des lacunes et 75 % trouvant le paysage cyber actuel plus menaçant que jamais (ISC2, 2023).

Notre benchmark montre que seulement 33 % des entreprises disposent d’un catalogue de formations cartographié selon les compétences, et 94 % abordent la formation de manière réactive, en fonction de la demande. Cette approche réactive peut entraîner des loupés pour un développement proactif des compétences. Une formation efficace est essentielle pour doter les employés des compétences nécessaires pour faire face aux menaces et aux tendances en constante évolution de la cybersécurité.

Voici des conseils d’organisations leaders sur le marché…

Catalogue de formations : créez un catalogue de formations détaillé qui s’aligne sur les compétences et les rôles en cybersécurité, en utilisant diverses plateformes d’apprentissage (par exemple, Pluralsight, LinkedIn Learning, MOOC gratuits sur le site du centre national de compétences, etc.).
Allocation de temps et de budget : consacrez du temps et un budget spécifique à la formation des employés pour montrer l’engagement de l’organisation envers l’apprentissage continu et le développement des compétences.

Exemples concrets basés sur une mission client…

Parcours de formation automatisés : mise en place d’un outil automatisé capable de générer des parcours de formation personnalisés en fonction des besoins et du niveau de compétences des employés.
Catalogue de formation consolidé : un catalogue de formation unifié, cartographié selon les 17 nouvelles compétences en cybersécurité et 16 nouveaux rôles en cybersécurité, offrant une feuille de route claire pour le développement des employés.

Améliorer la Rétention Grâce à une Collaboration Efficace avec les Ressources Humaines

Collaborer étroitement avec l’équipe des ressources humaines pour créer un plan de rétention solide est essentiel pour le succès de l’organisation. Bien que de nombreuses entreprises disposent de processus pour soutenir le développement des talents, ceux-ci ne sont souvent pas formalisés, ce qui provoque des difficultés dans la gestion quotidienne.

Les organisations doivent commencer par évaluer les compétences et les forces uniques de chaque membre de l’équipe et déterminer comment les utiliser au mieux pour atteindre les objectifs de l’organisation. La réalisation d’entretiens individuels est précieuse à cet égard. Les managers peuvent ainsi obtenir des informations sur le stade de carrière actuel de chaque employé et ses aspirations futures. Ces informations permettent de concevoir des plans de développement personnalisés alignés sur leurs objectifs.

Cependant, il est important de se rappeler qu’un plan de rétention n’est pas une solution unique. Il doit être flexible et adaptable, capable d’évoluer en fonction des besoins changeants de votre équipe et du paysage de la cybersécurité. En travaillant avec les ressources humaines pour mettre en œuvre un plan sur mesure et adaptable, vous vous assurez que vos talents en cybersécurité se sentent valorisés, motivés et engagés. N’oubliez pas qu’une rétention efficace est tout aussi cruciale que l’attraction des meilleurs talents, alors faites de la collaboration stratégique avec les ressources humaines un élément clé de votre stratégie de gestion des talents.

Voici des conseils d’organisations leaders sur le marché…

Pilotage de la rétention des employés : consacrez du temps à définir vos objectifs de rétention, vos KPI et des actions concrètes. Une seule organisation a mis en place un moment de leadership trimestriel (1 jour par trimestre) pour se concentrer sur les individus et discuter de l’évolution de l’équipe.
Évaluations des talents : consacrez du temps (entretien annuel) pour créer une relation de confiance et évaluer les compétences, la performance et le potentiel des professionnels de la cybersécurité. Seules 5 % des entreprises ont intégré ce processus dans leur stratégie de gestion des talents en cybersécurité.

Framework A²BCⁿ : Un Framework pour Prendre Soin de vos Talents et Sécuriser votre Organisation

En conclusion, prendre soin des talents est essentiel pour sécuriser votre organisation. Le framework A²BCⁿ offre une approche structurée pour y parvenir. En se concentrant sur l’évaluation et l’attraction des talents, la construction de la confiance avec vos talents, et le soin et le développement de votre équipe, cette approche mixte, combinant des stratégies de cybersécurité et de ressources humaines, garantit une équipe efficace et résiliente, prête à relever les défis de demain.

Cet article Naviguer dans le labyrinthe de la gestion des talents en cybersécurité : un guide pour les passionnés de la gestion des talents est apparu en premier sur RiskInsight.

Mise à jour : Chronologie de la Réglementation CMMC 2.0 et le Phénomène du « Midnight Rulemaking »

Baptistin Buchet — Wed, 17 Jul 2024 10:10:51 +0000

Vous ne connaissez pas le CMMC 2.0 ? Pour plus d’informations sur le CMMC 2.0, veuillez consulter cet article.

Le Cybersecurity Maturity Model Certification (CMMC) est un framework conçu pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) telles que définies par l’Ordre Exécutif 13556, partagées avec les sous-traitants (ou fournisseurs) du Département de la Défense (DoD) dans le cadre de programmes d’acquisition.

La règle proposée pour le CMMC 2.0, publiée le 26 décembre 2023, représente la dernière évolution du modèle de cybersécurité CMMC.

Le 27 juin 2024, après avoir traité près de 2 000 commentaires suite à une période de consultation publique de 60 jours, le DoD a soumis un projet de la Règle Finale CMMC 2.0 (32 CFR) au Bureau de la gestion et du budget (OMB) à la Maison Blanche, suggérant qu’elle devrait entrer en vigueur à la fin du T3 ou début du T4.

Comme cela représente la dernière étape avant que la règle ne soit publiée dans le Federal Register, les regards se tournent vers la chronologie de l’entrée en vigueur de la réglementation.

Avant d’aborder cette question, il est essentiel de comprendre que les exigences de sécurité sur lesquelles le niveau 2 du CMMC 2.0 est fondé (NIST SP 800-171) sont obligatoires pour les sous-traitants du DoD manipulant des informations sensibles depuis décembre 2017, date à laquelle la clause DFARS 252.204-7012 a été incluse dans les contrats du DoD. Cependant, pendant cette période, la conformité reposait principalement sur l’auto-attestation sans mécanisme de contrôle robuste, empêchant ainsi le DoD de vérifier la conformité. En conséquence, de nombreux sous-traitants du DoD ont négligé de mettre en œuvre pleinement les contrôles requis.

Pour remédier à ce problème, le DoD a lancé le programme CMMC, qui sert essentiellement de mécanisme par lequel le DoD vérifiera la conformité avec les exigences énoncées dans la clause DFARS 252.204-7012 (NIST SP 800-171), mandatées dans les contrats depuis 2017.

Comme le dit le DoD : « Une différence clé entre les exigences de la clause DFARS 252.204-7012 et celles du niveau 2 du CMMC est que la conformité avec le NIST SP 800-171 sous DFARS 252.204-7012 n’a pas été systématiquement vérifiée. Avec le CMMC, la conformité sera vérifiée par des évaluateurs tiers indépendants certifiés par le DoD. »

Le changement significatif introduit par le CMMC est que les sous-traitants du DoD devront obtenir une certification par le biais d’évaluations menées par une Organisation d’Évaluation Tiers CMMC (C3PAO) pour démontrer leur conformité afin de conserver et de sécuriser les contrats du DoD.

Chronologie du processus réglementaire CMMC

La chronologie réglementaire CMMC est résumé ci-dessous à partir des informations publiquement disponibles en date du 17 juillet 2024.

Comme pour toutes les réglementations fédérales, le CMMC nécessite une base légale pour sa mise en œuvre. Par conséquent, pour déterminer quand la réglementation CMMC 2.0 entrera en vigueur, nous devons comprendre le processus de réglementation derrière le CMMC 2.0, qui implique deux règles du Code des règlements fédéraux : 32 CFR et 48 CFR.

Pour que le CMMC 2.0 entre en vigueur, deux conditions doivent être remplies :

La règle finale du 32 CFR CMMC doit entrer en vigueur. Cela formalisera le programme CMMC et permettra le début des évaluations tierces du CMMC, connu sous le nom de « market rollout ».

La règle finale CMMC du 32 CFR devrait être publiée au plus tard le 26 octobre 2024, après un examen par l’OIRA pouvant durer jusqu’à 120 jours, et entrera en vigueur environ 60 jours plus tard, soit fin T3 ou début T4 2024.

La règle finale du 48 CFR CMMC doit entrer en vigueur. Cela révisera la clause DFARS 252.204-7021 pour pointer vers le programme CMMC (32 CFR), introduisant ainsi progressivement la conformité au CMMC comme clause contractuelle sur 3 ans, connu sous le nom de « phased rollout ».

La règle du 48 CFR a été soumise à l’OIRA (Office of Information and Regulatory Affairs) en mai 2024. Après une revue réglementaire de 90 à 120 jours et une période initiale de consultation de 60 jours, la règle proposée fera l’objet d’une autre période de consultation de 60 jours, suivie d’un processus de révision et d’adjudication de la règle finale, estimé entre 150 et 280 jours ouvrables. La règle finale devrait entrer en vigueur vers le T3 ou le T4 de 2025, mais elle pourrait être adoptée plus tôt, car elle révise une clause existante (la clause DFARS 252.204-7021).

Le 32 CFR est le coup de départ pour la course au CMMC

Alors que la date d’entrée en vigueur de la Règle Finale du 48 CFR (prévue au T3 ou T4 2025) déterminera quand la réglementation CMMC 2.0 sera obligatoirement intégrée dans les contrats, connue sous le nom « phased rollout », il est erroné de considérer que l’étape cruciale marquant le début de la course au CMMC est la date d’entrée en vigueur du 48 CFR.

En réalité, le coup d’envoi de la course au CMMC sera déterminé par la date d’entrée en vigueur de la Règle Finale du 32 CFR (prévue fin T3 ou début T4 2024), et non par la Règle Finale du 48 CFR.

En effet, la Règle Finale du 32 CFR déclenchera le « market rollout », ce qui permettra le début des évaluations CMMC. Une fois ces évaluations disponibles, les « prime contractors » (ex : Lockheed Martin, Boeing, Raytheon) exigeront probablement que les sous-traitants obtiennent la certification CMMC dès que possible, bien avant que le DoD ne le fasse par le biais du « phased rollout », pour maintenir leur avantage concurrentiel et réduire le risque que des fournisseurs non certifiés compromettent leur statut de certification.

Le phénomène de « Midnight Rulemaking » et CMMC 2.0

Au cours des 6 derniers mois, il y a eu une accélération notable dans le processus réglementaire CMMC. Cela est évident à travers plusieurs jalons importants, notamment la proposition d’un CFR CMMC en décembre 2023, la soumission d’une proposition de règle 48 CFR à l’OIRA en mai 2024, et plus récemment, la soumission de la règle finale 32 CFR à l’OIRA en juin 2024. Ce phénomène est souvent désigné sous le nom de « Midnight Rulemaking », qui décrit la précipitation pour finaliser les réglementations dans les derniers mois avant la fin d’une administration présidentielle.

Ainsi, si nous anticipons que la règle finale 32 CFR sera finalisée et entrera en vigueur à la fin du T3 ou au début du T4 2024, étant donné la forte motivation du Département de la Défense à achever les réglementations CMMC avant les élections américaines de 2024, il y a une très forte possibilité qu’elle entre en vigueur avant le 5 novembre 2024.

Pourquoi ne faut-il pas attendre le coup d’envoi pour commencer votre parcours de conformité CMMC ?

Le DoD anticipe qu’il faudra deux ans pour que les entreprises ayant des contrats existants deviennent certifiées CMMC, en supposant qu’elles aient déjà mis en œuvre les exigences du NIST SP 800-171 Rev. 2, comme mandaté par la clause DFARS 252.204-7012. Cette chronologie prolongée est due à plusieurs facteurs :

Une fois le 32 CFR en vigueur, les évaluations tierces du CMMC pour le niveau 2 du CMMC commenceront. Les organisations devront atteindre un résultat de 100% à l’auto-attestation avant de subir une évaluation. Cette phase préparatoire demandera un temps et des efforts significatifs.
En moyenne, les organisations nécessitent entre 12 et 18 mois à se préparer pour une évaluation de niveau 2 du CMMC.
En raison d’une pénurie d’évaluateurs CMMC, les organisations peuvent s’attendre à devoir patienter environ 9 à 15 mois (3 à 5 trimestres) pour une évaluation du CMMC.

Par conséquent, pour être prêtes aux futures opportunités de contrat du DoD et maintenir un avantage concurrentiel, il est recommandé aux organisations de commencer dès aujourd’hui leur processus de conformité au CMMC.

N’hésitez pas à nous contacter pour discuter de votre parcours CMMC avec nous et découvrir comment #Wavestone peut vous aider à naviguer dans le paysage complexe de la conformité au CMMC 2.0, soutenant votre chemin vers la certification et transformant votre posture cybersécurité en un avantage stratégique.

Nous proposons les services d’accompagnement à la conformité CMMC 2.0 suivants :

Identification des CUI :
- Nous vous aidons à identifier les Informations Non Classifiées Contrôlées (CUI) au sein de votre organisation pour garantir la conformité aux exigences du CMMC.
Identification du périmètre CMMC :
- Nous vous aidons à définir et à minimiser votre périmètre CMMC pour rester rentable et pragmatique. En identifiant clairement le périmètre, nous nous assurons que tous les systèmes et processus nécessaires sont inclus tout en évitant la complexité et les coûts inutiles.
Analyse des écarts CMMC Niveau 1 et Niveau 2 :
- Nos experts réalisent des analyses des écarts pour les niveaux CMMC 1 et 2, évaluant votre état actuel par rapport aux objectifs d’évaluation respectifs (NIST SP 800-171A) afin de vous fournir des recommandations pragmatiques.
Définition de la feuille de route de conformité CMMC :
- Nous travaillons avec vous pour définir une feuille de route claire pour atteindre la conformité CMMC, adaptée à vos besoins, que ce soit pour les scénarios de « clusters CMMC » ou « full-in ».
Support à la mise en œuvre CMMC :
- Nous vous fournissons des conseils et un soutien tout au long de la phase de mise en œuvre, vous aidant à intégrer efficacement les contrôles requis pour atteindre la conformité CMMC.

Cet article Mise à jour : Chronologie de la Réglementation CMMC 2.0 et le Phénomène du « Midnight Rulemaking » est apparu en premier sur RiskInsight.

Le DoD Contre-attaque : Comment Renforcer la Cybersécurité de la Chaîne d’Approvisionnement avec le CMMC 2.0

Baptistin Buchet — Wed, 24 Apr 2024 08:25:42 +0000

À la fin d’octobre 2023, une violation de données par un tiers a envoyé des ondes de choc à travers le monde des affaires, affectant plus de 57 000 entités engagées dans des activités avec la Bank of America. Cette violation a exposé des informations personnelles et financières sensibles, soulignant le rôle crucial que jouent les fournisseurs tiers dans l’infrastructure de cybersécurité d’une organisation.

Ces incidents, communément appelés « attaques de la chaîne d’approvisionnement« , impliquent de cibler les tiers en aval d’une organisation (par exemple, les partenaires, les fournisseurs) pour accéder à des systèmes précieux. Dans le cas de la Bank of America, le tiers compromis responsable de cette violation était Infosys McCamish Systems (IMS), un fournisseur de services de gestion des processus d’assurance.

Cette violation de données fait écho à la tristement célèbre cyberattaque SolarWinds, où les pirates informatiques de Nobelium ont inséré un code malveillant dans la plateforme SolarWinds Orion. Cela leur avait ainsi permis de s’infiltrer dans de nombreux systèmes gouvernementaux, y compris ceux du Département de la sécurité intérieure des États-Unis, du Département d’État, du Commerce et du Trésor, ainsi que des systèmes privés dans le monde entier.

Les architectures informatiques des entreprises n’étant que le reflet de leur réseau complexe de relations commerciales, ces événements nous rappellent brutalement que les organisations ne sont pas des entités isolées, mais plutôt des nœuds de partenaires et de tiers interconnectés et interdépendants. L’atteinte d’une posture de cybersécurité robuste nécessite plus que des efforts individuels ; elle nécessite de cultiver un écosystème sécurisé de partenaires de confiance soigneusement vérifiés pour protéger efficacement toute la chaîne d’approvisionnement nécessaire à la livraison des produits #TPRM.

Cependant, la construction d’un tel écosystème pose des défis. De nombreuses entreprises manquent de ressources pour choisir exclusivement des tiers de premier plan, à la pointe et de confiance ou peuvent manquer de levier pour exiger la transparence de la part des partenaires existants.

Tirant des leçons de la cyberattaque SolarWinds, et dans un contexte de tensions géopolitiques accrues (voir les cyberattaques chinoises sur l’infrastructure américaine à une échelle sans précédent), le Département Américain de la Défense (DoD) a reconnu ce défi et a répondu en développant une solution pour sécuriser l’écosystème de la chaîne d’approvisionnement de la Base Industrielle de Défense (DIB), appelée CMMC.

Le modèle de certification de maturité en cybersécurité (#CMMC) est un cadre exhaustif conçu pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI), partagées avec les entrepreneurs et sous-traitants du Département de la Défense (DoD) via des programmes d’acquisition.

La publication de la proposition de règlement CMMC 2.0, le 26 décembre 2023, représente la dernière évolution du modèle de cybersécurité CMMC, destiné à remplacer le précédent CMMC 1.0 par une approche plus pragmatique. Suite à sa publication, la réglementation proposée a fait l’objet d’une période de consultation de 60 jours, qui s’est achevée le 26 février 2024. La nouvelle réglementation devrait être finalisée d’ici fin 2024 ou début 2025.

Le CMMC 2.0 vise à protéger les informations sensibles de sécurité nationale en protégeant les informations non classifiées sensibles de la base industrielle de défense (DIB) contre des cyberattaques fréquentes et de plus en plus complexes. Il rationalise les exigences en trois niveaux de conformité et aligne les exigences à chaque niveau sur les normes de cybersécurité du NIST bien connues et largement acceptées. Les exigences de sécurité spécifiques et les types d’évaluation (auto-évaluation, évaluation par un tiers ou évaluation par le DoD) varient en fonction du niveau.

Fondamental (Niveau 1) : cible les organisations manipulant des FCI (par exemple, des rapports de performance de contrat, des organigrammes). La conformité exige le respect strict des 15 exigences de sécurité énoncées dans la clause FAR 52.204-21, via une auto-évaluation annuelle.
Avancé (Niveau 2) : cible les organisations manipulant des CUI, y compris des informations techniques contrôlées, des informations de sécurité d’infrastructure critique du DoD, des informations sur la propulsion nucléaire navale, et des informations personnellement identifiables (PII). La conformité exige le respect de 110 exigences de sécurité basées sur le NIST SP 800-171 Rev. 2. Les évaluations sont effectuées par des organisations tierces connues sous le nom d’Organisations d’Évaluation Tierce Partie CMMC (C3PAO) tri-annuellement ou via une auto-évaluation annuelle, en fonction de la sensibilité des CUI sous-jacentes.
Expert (Niveau 3) : cible les organisations manipulant des CUI pour les programmes du DoD avec la plus haute priorité. La conformité implique le respect des 110 exigences de sécurité basées sur le NIST SP 800-171 Rev 2 et 24 exigences de sécurité supplémentaires basées sur le NIST SP 800-172. Ces organisations subissent des évaluations tri-annuelles menées par le Centre d’Évaluation de la Cybersécurité de la Base Industrielle de la Défense du DoD (DIBCAC).

Les organisations doivent obtenir une certification finale de niveau 2 du CMMC avant de planifier une évaluation de niveau 3 par le DIBCAC.

Les résultats de toutes les évaluations menées sur les organisations de la DIB sont consolidés au sein du Système de Risque de Performance des Fournisseurs (SPRS). Le SPRS (prononcé « Spurs ») est la plateforme web du Département de la Défense qui collecte, traite et récupère les données sur la performance des fournisseurs au sein de la Base Industrielle de Défense, permettant au DoD de cartographier la maturité cyber du réseau d’affaires de la DIB, d’évaluer la performance des fournisseurs et d’évaluer les risques liés aux obligations contractuelles.

En déployant ce modèle de certification obligatoire, le DoD est à l’avant-garde de l’établissement d’un cadre de chaîne d’approvisionnement complet et sécurisé de bout en bout au sein de la DIB, espérant ainsi renforcer la sécurité nationale à long terme des États-Unis. Simultanément, le DoD souligne que la sécurité n’est plus optionnelle ; c’est un aspect intégral des opérations commerciales. Les évaluations CMMC 2.0 devraient être disponibles pour Q4 2024 (une fois que le 32 CFR sera finalisé). Les « prime contractors » attendront des sous-traitants qu’ils soient conformes au CMMC avant Q3 2025, date à laquelle le CMMC 2.0 entrera en vigueur. À partir du 1er octobre 2025, la certification CMMC sera obligatoire au moment de l’attribution du contrat.

Si vous avez besoin d’aide pour naviguer dans le paysage complexe de la conformité au CMMC 2.0 ou si vous avez besoin de soutien dans votre parcours vers la certification, Wavestone est prêt à vous accompagner dans votre parcours. Contactez-nous dès aujourd’hui et transformez votre préparation à la cybersécurité en un avantage stratégique.

Cet article Le DoD Contre-attaque : Comment Renforcer la Cybersécurité de la Chaîne d’Approvisionnement avec le CMMC 2.0 est apparu en premier sur RiskInsight.

Bug Bounty: Observations et benchmark sur les secteurs bancaire et public 2024

Jérôme de Lisle — Fri, 23 Feb 2024 09:34:21 +0000

À propos de l’étude : Cette étude est basée sur des données publiques disponibles jusqu’au troisième trimestre 2023 et vise à décrire les différentes initiatives actives de Divulgation des Vulnérabilités au sein des 100 plus grandes banques et des pays de l’UE.

Bug Bounty ? Un programme de Bug Bounty est une initiative de crowdsourcing dans laquelle des pirates informatiques éthiques sont récompensés par des entreprises pour avoir trouvé et signalé des vulnérabilités.

Dans le paysage en constante évolution de la cybersécurité, les secteurs bancaire et public ont de plus en plus adhéré à diverses initiatives de Divulgation des Vulnérabilités. En se penchant sur le rapport 2021 de Wavestone, il est essentiel de comprendre les trois approches clés qui ont façonné la recherche précédente :

Canaux de Signalement des Vulnérabilités (CSVs) : Il s’agit de la première étape d’un programme de bug bounty, d’une page web fournissant des instructions de base aux pirates informatiques et d’un canal de signalement.
Politiques de Divulgation des Vulnérabilités (PDVs) : Ces politiques décrivent la manière dont une organisation reçoit les vulnérabilités divulguées par des parties externes et y répond. L’existence d’un PDV implique la présence d’un CSV dans son cadre.
Programmes de Bug Bounty (PBBs) : Forme avancée des PDVs, et parallèlement à la politique, les PBBs offrent des récompenses financières pour le signalement des failles de sécurité, incitant ainsi à la découverte et à la divulgation des problèmes de sécurité. Il peut être accessible à tout le monde (public) ou à un petit nombre de pirates informatiques (privé).

Ces initiatives ne se limitent pas à des procédures, elles apportent des avantages significatifs. Elles permettent de détecter plus rapidement les vulnérabilités, favorisent une culture de la transparence et de l’amélioration continue, et tirent parti de l’expertise de la communauté mondiale de la cybersécurité pour renforcer les mesures de sécurité. En encourageant le piratage informatique éthique, les organisations peuvent garder une longueur d’avance sur les menaces potentielles et protéger plus efficacement leurs données et leurs systèmes.

Présentation de la Recherche

Cette étude, qui s’appuie sur des données allant jusqu’au troisième trimestre 2023, examine l’adoption et l’impact de ces mesures de cybersécurité dans les secteurs bancaire et public. La méthodologie de recherche implique une analyse approfondie des tendances actuelles, des paysages réglementaires et de l’efficacité des PBBs dans le renforcement de la sécurité numérique.

Aperçu du secteur bancaire

Le secteur bancaire, qui constitue l’épine dorsale du système financier mondial, a fait preuve d’une transformation remarquable dans son approche de la cybersécurité. L’analyse des 100 premières banques mondiales entre 2020 et 2023 révèle des évolutions significatives dans l’adoption de mesures de cybersécurité. Voici quelques éléments clés :

Augmentation des CSVs et PDVs: En 2023, 34% des 100 plus grandes banques mondiales avaient au moins un CSV actif et 26% avaient mis en place un PDV.
Tendances géographiques

- Dominance en Europe et en Amérique du Nord : Les banques situées aux Etats-Unis et dans les pays Européens ont affiché un taux d’adoption plus élevés des CSVs et PDVs. En approfondissant l’analyse par continent, la Figure 1 montre que l’Amérique du Nord, avec 72% de banques mettant en œuvre des CSVs contre 49% en Europe, reste en tête pour l’adoption d’initiatives de cybersécurité.

- L’Asie et l’Amérique du Sud : Bien qu’elles gèrent 46% des actifs de 43 banques mondiales, seulement une a implémenté un PDV, ce qui indique un rythme d’adoption plus lent pour ces programmes.

Stagnation du nombre de PBBs publics : Les données ont mis en lumière une stagnation du nombre de PBBs publics, avec seulement 5% des banques opérant un PBB public en 2023. Cela suggère une approche prudente concernant l’invitation publique à divulguer les vulnérabilités.
Pays remarquables : Les Pays-Bas se distinguent avec un taux d’adoption de 100% des programmes de divulgation des vulnérabilités parmi leurs principales banques. Cela témoigne d’un engagement national fort en faveur de la cybersécurité.
Utilisation des plateformes : La plupart des banques ont préféré développer des programmes de divulgation des vulnérabilités internes, quelques-unes ayant opté pour des plateformes externes telles que BugCrowd, Snack et HackerOne.

Luxembourg : Etude de cas

L’étude de cas du secteur bancaire luxembourgeois, qui porte sur 5 banques de détail et 17 banques privées, donne un aperçu des pratiques actuelles en matière de cybersécurité :

Un taux d’adoption globalement faible : Seule une minorité des 22 banques a adopté des programmes structurés de cybersécurité. Plus précisément, seules 7 banques sur 22 ont mis en place des CSVs, dont seulement 5 banques qui ont adopté des PDVs et seulement 1 banque qui a mis en œuvre un PBB public.
Intérêt des pirates informatiques externes : Certaines banques ont reçu des rapports externes par l’intermédiaire d’Opensugsountv.org, démontrant l’intérêt des pirates informatiques à montrer les vulnérabilités, malgré l’absence d’un programme actif formel.
Tendance générale : Le secteur montre qu’il est nécessaire d’adopter de manière plus cohérente des stratégies structurées en matière de cybersécurité, surtout si l’on considère les enjeux élevés de la banque privée.

Analyse et réglementation du secteur public

L’approche du secteur public en matière de cybersécurité, en particulier au sein de l’UE27, présente un paysage complexe et évolutif. Les principaux aspects de cette analyse sont les suivants :

Croissance de la divulgation coordonnée des vulnérabilités (DCV) : Par rapport à l’étude 2021 de l’ENISA, il y a eu une augmentation significative de l’adoption de politiques actives de divulgation des vulnérabilités. Le nombre d’États membres de l’UE27 ayant adopté une telle politique est passé de 4 à 11, ce qui témoigne de l’importance croissante accordée aux stratégies structurées en matière de cybersécurité.
La position proactive du Royaume-Uni : Bien qu’il ne fasse pas partie de l’UE27, le Royaume-Uni a déployé des efforts remarquables pour mettre en œuvre des mesures de prévention actives. Cela souligne l’engagement du Royaume-Uni à maintenir des normes de cybersécurité solides.

Conclusion et perspectives

À mesure que le monde numérique progresse, l’importance des programmes de divulgation des vulnérabilités devient de plus en plus évidente. Ils ne représentent pas seulement une tendance, mais un changement fondamental dans la manière dont les organisations abordent la cybersécurité :

L’essor de la divulgation des vulnérabilités : Domaine dynamique et en pleine expansion, ces programmes deviennent essentiels dans les secteurs bancaire et public.
L’élan réglementaire européen : Avec la directive NIS2 de l’UE et les législations à venir comme la loi sur la cyberrésilience (CRA), il y a une forte pression pour les politiques nationales de DCV et les PDVs/PBBs des organisations.

Chez Wavestone, nous comprenons l’importance de prendre de l’avance dans ce scénario en évolution. Nous sommes là pour vous aider à naviguer efficacement dans ces changements. N’hésitez pas à nous contacter pour obtenir des conseils d’experts, afin de renforcer votre position en matière de cybersécurité.

Cet article Bug Bounty: Observations et benchmark sur les secteurs bancaire et public 2024 est apparu en premier sur RiskInsight.

La Quête des Ecureuils Violets de la Cybersécurité : Comment les Trouver et les Garder

Noëmie Honoré — Fri, 22 Dec 2023 13:34:45 +0000

« Pénurie de talents », « déficit de compétences », « épuisement des employés en cybersécurité », « taux de turnover élevé » : en tant que professionnel de la cybersécurité, ces expressions vous sont certainement familières, pour le meilleur ou pour le pire.

Vous avez peut-être vu les grands titres soulignant les problèmes de pénurie de talents dans les dernières nouvelles – il ne s’agit malheureusement pas d’une « fake news ». La guerre des talents existe réellement sur le marché de la cybersécurité. Au cours des derniers mois, nous avons lu de nombreux articles, documents académiques, rapports sur ce sujet émergent ; nous avons discuté avec des RSSI et des Talent Managers (un vrai travail à plein temps !) et les 3 principaux défis restent les mêmes : comment recruter, manager et cultiver nos talents ?

Dans cet article, nous avons rassemblé les différentes situations, nos observations et les premières leçons que nous pouvons tirer des actions mises en place pour relever ces défis.

Prenez le temps d’analyser les forces et les faiblesses de votre équipe afin d’identifier les compétences complémentaires que vous devez rechercher…

Au-delà de combler les rôles, il est essentiel d’avoir une vision stratégique des compétences pour mettre en place une division cyber pérenne. À ce stade, votre mantra doit être le suivant : « Recruter les bonnes personnes pour aujourd’hui… et pour demain ».

Lorsque les compétences des personnes correspondent à leur rôle, les tâches sont exécutées efficacement et chacun contribue à une organisation plus cyber sécurisée. Je doute que quelqu’un me contredise sur ce point, mais c’est souvent plus facile à dire qu’à faire.

Voici les premières questions que vous pouvez vous poser pour avancer dans la bonne direction…

Savez-vous ce dont vous avez besoin ? Avez-vous défini toutes les activités cyber que vous devez couvrir ? Avez-vous défini votre stratégie « faire ou acheter » (internalisation ou externalisation) ? Avez-vous identifié les compétences et les personnes nécessaires pour mener à bien ces activités ?

Il s’agit d’une liste non exhaustive de questions que vous devriez vous poser en tant qu’organisation pour mieux cerner vos besoins et connaître vos collaborateurs avant de lancer une feuille de route d’actions.

Il est important de connaître ses besoins et son équipe pour plusieurs raisons : (1) aider à la répartition des tâches : auparavant, les équipes cyber étaient plus petites, et la polyvalence était donc cruciale. Aujourd’hui, les équipes sont plus grandes rendant possible la spécialisation et facilitent l’optimisation des compétences complémentaires (2) aider à identifier les formations et les axes de développement : avoir une vision claire de votre équipe et de ses activités vous aide à identifier les lacunes en matière de compétences et à fournir les opportunités de formation et de développement appropriées aux personnes qui en ont le plus besoin. Avec les compétences manquantes identifiées d’une part, et les besoins identifiés d’autre part, vous pouvez commencer à rechercher vos candidats idéaux grâce à une offre d’emploi qui en dit long (mais ne cherchez pas d’écureuils violets, ils n’existent pas) !

Gardez un œil sur les prochains « insights et focus » sur le sujet des descriptions des emplois cyber !

Cultiver l’équipe aujourd’hui, attirer demain : La recette pour des équipes cyber durables

Il s’agit d’expliquer concrètement ce qu’est la cybersécurité et quelles sont ses activités. #transparence

D’après les discussions avec les RSSI et les talent Managers, la transparence sur la description du poste fonctionne et donne aux gens un sentiment d’appartenance et d’utilité, ce qui favorise un meilleur travail d’équipe.

Permettez-nous de vous présenter quelques actions concrètes et faciles à mettre en œuvre pour faire avancer les choses :

Promouvoir en interne les métiers de la cybersécurité et les personnes qui les exercent : en expliquant concrètement ce que ça signifie de travailler dans la cybersécurité, quels sont les postes disponibles et ce que font réellement les personnes concernées, vous pouvez inciter les gens à rejoindre votre équipe, accroître la mobilité interne, renforcer le sentiment d’appartenance à la division cyber et donner une perspective à votre équipe.
Promouvoir vos activités de cybersécurité à l’extérieur : faites-vous connaître en participant à des communautés cyber et à des conférences importantes (événements scolaires, collaborations avec des universités, des instituts de recherche ou des organisations, etc.)
- Organiser/participer à des ateliers de upskilling/reskilling (compétences transférables).
- Incluez des personnes inspirantes dans votre processus de recrutement et votre image de marque (comme le CISO, le chef d’équipe, etc.).

La cybersécurité reste un sujet obscur pour les personnes extérieures à l’écosystème. Pour y remédier, chacun/chacune doit commencer par expliquer ce qu’il/elle fait.

Maîtriser l’art de prendre soin de son équipe

Vous devez maintenant savoir que c’est un réel atout de savoir qui est votre équipe, qui sont vos collaborateurs, de qui vous avez réellement besoin pour mener les activités, pour avoir une bonne image de marque afin d’attirer les gens. Mais ce qui fera la différence sur le long-terme, c’est de prendre soin de vos collaborateurs en leur offrant un environnement de travail bienveillant et des perspectives d’évolution. Quand ce qui va suivre est clair, il est plus facile pour les collaborateurs de se projeter dans l’entreprise dans les années à venir.

Et avant de s’occuper de leur équipe, les RSSI doivent également prendre soin d’eux-mêmes. 40 % des RSSI déclarent subir un « stress élevé » au quotidien et 28 % d’entre eux sont proches du burn-out (Cyber Workforce Study, ISC²). Il est difficile de s’occuper des autres si l’on ne s’occupe pas d’abord de soi…

Pour éviter cela, les RSSI doivent établir une relation de confiance avec leur direction générale afin de pouvoir définir les objectifs stratégiques, prioriser les activités, obtenir les ressources, etc. Et il est essentiel de savoir s’entourer de personnes de confiance pour déléguer les tâches et créer une stratégie opérationnelle efficace.

Le recrutement n’est que le début du voyage ; le développement est l’objectif ultime. Néanmoins, les organisations ont tendance à oublier (négliger) ce dernier point, qui est peut-être le plus important. C’est comme obtenir une certification ISO 27001, assez facile (bien sûr, cela demande du travail !), mais la maintenir, c’est la vraie affaire.

Pour donner des perspectives aux membres de l’équipe, il faut établir des parcours de carrière avec leurs « passerelles » et les moyens disponibles pour évoluer dans ces parcours : compétences requises par poste et étapes clés, catalogue de formation, mobilités internes, processus d’évaluation personnalisé, etc.

Cultiver vos talents, c’est les aider à se développer et renforcer leurs compétences/capacités par des formations, du travail en équipe ou avec des communautés cyber, leur donner des perspectives d’évolution/croissance au sein de votre entreprise. En tant qu’être humain, nous avons besoin de savoir où nous en sommes et où nous allons, nous avons besoin d’une vision qui soit un élan motivateur (dans notre vie #existentialcrises).

Si nous prenons l’exemple de la pyramide des besoins de Maslow, les gens ont besoin d’avoir un sentiment d’appartenance et de se sentir utiles. Cultiver les talents, c’est donc aussi créer un « esprit d’équipe » par le biais de rituels. Ce n’est un secret pour personne qu’un environnement/une atmosphère de travail convivial(e) est un critère crucial dans le choix d’un emploi et peut augmenter la productivité des gens de 12 % (Université de Warwick, Royaume-Uni), en particulier pour les jeunes d’aujourd’hui.

Donner une perspective de croissance/évolution est essentiel, surtout pour les experts. De nombreuses organisations considèrent encore le management comme la seule voie de réussite, mais dans certains secteurs comme l’industrie, nous pouvons observer un changement. L’expertise est de plus en plus appréciée et valorisée comme une voie de réussite alternative au management ; certains peuvent combiner les deux, mais ce n’est pas une nécessité. C’est pourquoi les cercles d’expertise sont essentiels pour reconnaître les experts à l’intérieur et à l’extérieur de leur organisation – en leur donnant la possibilité d’assister à des événements cyber spécifiques qui peuvent également leur permettre de développer leur réseau et d’acquérir davantage de compétences.

En résumé, attirer et cultiver les talents prend du temps, et le recrutement des talents devient un élément central dans les stratégies d’entreprise. En embrassant la diversité et en promouvant l’égalité des sexes, nous nous aventurons dans de nouvelles dimensions pour construire des équipes solides, avisées et résilientes.

Nous aimerions ouvrir le secteur de la cybersécurité à ceux/celles qui ne le connaissent pas, à favoriser la diversité et à créer des vocations. Tendons la main aux gens et n’attendons pas qu’ils/elles viennent à nous.

Nous avons créé un outil de benchmark pour explorer ce sujet aux multiples facettes (avec des recherches encore en cours) et évaluer la maturité des organisations. N’hésitez pas à nous contacter si vous souhaitez y participer ! Nous serions ravis de partager avec vous les bonnes idées que nous avons recueillies sur le marché… et les pièges à éviter.

Les licornes (ne vous méprenez pas, je ne parle pas des start-ups), les écureuils violets, les Ninja, les Rockstars, n’existent pas mais si nous combinons des profils divers, nous pouvons obtenir cette équipe hautement qualifiée !

Cet article La Quête des Ecureuils Violets de la Cybersécurité : Comment les Trouver et les Garder est apparu en premier sur RiskInsight.

La cybersécurité : un volet essentiel de la Due Diligence

Florian Chabre — Mon, 27 Nov 2023 13:58:40 +0000

Confidentielle et stratégique, la phase de Due Diligence qui précède une acquisition se fait régulièrement en cercle clos. Cette phase vise à analyser l’entreprise ciblée pour une acquisition, afin de connaître son niveau de maturité et de conformité sur différents aspects (stratégique, juridique, financière, comptable, etc.) et confirmer la pertinence de l’opération.

Les acquisitions constituent un moment privilégié pour les attaquants. Avec des niveaux de sécurité hétérogènes ou des interconnexions non maîtrisées, il devient possible d’attaquer la société acquérante par rebond, en utilisant l’entreprise acquise comme une porte d’entrée.

Pour maîtriser ces risques, la cybersécurité doit s’imposer sur le banc des décideurs comme un acteur incontournable de la réussite des opérations d’acquisition et de fusion, et ce, dès la phase de Due Diligence.

Des besoins cyber à géométrie variable

La Due Diligence cyber peut apporter une forte valeur aux équipes cyber, IT et métiers. Son résultat permet d’accompagner la prise de décision et ce, à plusieurs niveaux.

Connaître le niveau de maturité de la société cible: analyser les pratiques sécurité et identifier les écarts vis-à-vis des standards de l’acquéreur pour appréhender les risques cyber encourus lors de l’intégration du nouvel SI.
Eprouver le niveau de sécurité d’une solution (principalement IT ou Cyber) : s’assurer de la sécurité et de la résilience pour confirmer une valorisation (respect des pratiques de développement sécurisé, absence de vulnérabilités critiques, mesures de sécurité préventives, etc.).
Estimer le coût de l’intégration : évaluer le coût de mise à niveau à partir de la dette sécurité et des abaques pour vérifier la pertinence de l’opération envisagée et négocier le prix d’acquisition qui absorbe au maximum les coûts d’intégration.
Evaluer les risques réputationnels : s’assurer de la conformité aux règlementations, notamment sur les données personnelles et de l’absence d’intrusion pouvant nuire à la réputation de l’acquéreur après le transfert de propriété.

Lla Due Diligence cyber reste néanmoins un exercice particulier à conduire. En effet, la société à l’étude (cible) n’appartient pas encore à la société acquérante et les contraintes imposées par les équipes en charge de l’opération, ou les équipes métier peuvent être rudes.

Un contexte métier à prendre en compte dans le choix de la méthode Due Diligence cyber

Côté acquéreur

Le budget : le choix de la méthode est corrélé à la disponibilité des équipes cybersécurité ou d’un budget dédié pour faire appel à une prestation externe. Il est préférable de sécuriser une contingence avec les équipes M&A en amont de toute opération pour se laisser une marge de choix.
Le temps: des contraintes métiers ou concurrentielles peuvent impacter la période de Due Diligence. Le choix de la méthode dépend foncièrement du temps laissé aux équipes cyber pour conduire leur investigation.

Côté société identifiée

La taille : la méthode de Due Diligence doit être cohérente avec la dimension du système d’information de l’entreprise cible, à la nature de ses actifs et aux types de technologies utilisées.
Le « rapport de force » : la différence de poids entre l’acquéreur et la cible influe fortement sur la possibilité de conduire une analyse cyber poussée et transparente (capacité à avoir des informations, des preuves, des entretiens, tests…).
Le cœur d’activité : l’évaluation doit se concentrer sur ce qui fonde la valeur de la société identifiée, notamment lorsqu’il est question d’un produit IT ou d’un savoir-faire.

En fonction de ces critères, mais aussi des processus existants, les équipes cyber et M&A choisissent ensemble la méthode la plus adaptée à leur besoin et à la situation.

A chaque opération, sa Due Diligence cyber

Les méthodes non-intrusives

L’équipe cybersécurité pourra s’orienter vers des méthodes de Due Diligence non-intrusives lorsqu’elles disposent de moyens limités ou que l’entreprise cible est convoitée par d’autres acquéreurs potentiels.

Le questionnaire sur les essentiels de la sécurité permet de mesurer la maturité de l’entreprise pré-identifiée sur les axes fondateurs. Il a l’avantage d’être facilement déployable, sans engendrer une charge importante tant pour l’entreprise cible que pour l’acquéreur.
- Notre conviction : il est particulièrement adapté pour évaluer la maturité cyber des sociétés de petites tailles (moins de 50 employés). Ce questionnaire est à définir par les équipes Cybersécurité en collaboration avec les équipes IT et M&A.
Les outils de cyber-scoring « automatique » permettent de mesurer le niveau de sécurité des actifs exposés sur Internet. Ils ont l’avantage de proposer une vue immédiate aux équipes sécurité. Attention, leurs résultats peuvent être simplificateurs car ces outils ne se concentrent que sur la partie émergée de l’iceberg (quid de la gestion des partenaires, de la sécurité du Cloud, etc.).
- Notre conviction : nous ne conseillons pas de prioriser leur utilisation dans un contexte de Due Diligence cyber mais ont l’avantage d’apporter un faisceau d’information complémentaire rapidement si votre société a déjà souscrit à une offre.

Les méthodes plus approfondies

L’équipe cybersécurité pourra s’orienter vers des méthodes de Due Diligence plus approfondies lorsqu’elles disposent de moyens humains ou financiers et d’un « rapport de force favorable » dans la négociation de l’opération envisagée.

Le questionnaire de Due Diligence basé sur les standards cyber internes de l’acquéreur permet de mesurer le niveau de maturité de la société cible et d’identifier les écarts vis-à-vis de ses propres politiques & standards, un prérequis essentiel pour chiffrer les coûts éventuels d’intégration sur le volet cyber.
- Notre conviction : méthode la plus répandue sur le marché et qui permet aussi de se placer dans une logique de préparation de l’intégration (scénario d’intégration, scénario de coût, planning, etc.). Ce questionnaire est à définir par les équipes Cybersécurité en collaboration avec les équipes IT et M&A.
Les plateformes d’évaluation cyber (telles que Cybervadis, Risk Ledger, CyberGRX…) permettent d’évaluer le niveau de maturité de la société cible par rapport aux standards de sécurité de référence, et parfois même d’obtenir des plans d’action de mise à niveau.
- Notre conviction : le recours aux plateformes est intéressant si l’entreprise cible y est déjà inscrite/évaluée. Cela permet aussi de mutualiser les moyens avec votre démarche « Third Party » (voir cet article RiskInsight sur la gestion des tiers ici). Dans le cas contraire cela prend souvent trop de temps.
L’audit technique permet de mesurer en profondeur le niveau d’exposition d’une société ou d’un actif. Bien que le test d’intrusion (pentest) reste l’audit le plus complet, il existe d’autres types de test plus faciles à mettre en œuvre dans un contexte de Due Diligence (scan de configuration AD, audit d’architecture, rapport EDR, rapport de tests d’intrusion déjà réalisés, etc.).
- Notre conviction : il est généralement impossible de réaliser des tests avant le closing (les assets ne sont pas encore achetés). A défaut de tests complets, la version gratuite de PingCastle permet d’obtenir une vision (simple, précise et rapide) sur le niveau de sécurité des Active Directories.

Si la Due Diligence Cyber est un prérequis nécessaire à toutes opérations de M&A, elle doit servir de leitmotiv au rapprochement des équipes cybersécurité, M&A et IT pour guider au mieux les entreprises dans leur transformation.

Enfin, il existe des situations dans lesquelles la Due Diligence Cyber n’a pas pu être conduite (confidentialité, calendrier serré, pression concurrentielle lors de l’opération…). Il arrive fréquemment que la Due Diligence Cyber soit transformée en un audit 360° réalisé post-signing/closing. Cet audit comporte donc un nouvel objectif : contribuer à la définition de la stratégie d’intégration.

–

Nous remercions Arielle ATTIAS pour sa contribution à la rédaction de cet article.

Cet article La cybersécurité : un volet essentiel de la Due Diligence est apparu en premier sur RiskInsight.

IA : Découvrez les 5 questions les plus fréquemment posées par nos clients !

Florian Pouchet — Wed, 08 Nov 2023 11:00:00 +0000

L’arrivée de l’intelligence artificielle générative (GenAI) dans le monde des entreprises marque un tournant dans l’histoire du numérique. Cela se manifeste par des outils novateurs comme ChatGPT d’OpenAI (qui a su s’implanter dans Bing sous le nom de « Bing Chat », exploitant le modèle de langage GPT-4) et Copilot de Microsoft 365. Ces technologies, qui étaient auparavant de simples sujets d’expérimentation et faisaient l’actualité dans les médias, sont désormais au cœur des entreprises, redéfinissant les workflows et dessinant la trajectoire future de secteurs entiers.

Bien qu’il y ait eu des avancées significatives en la matière, il existe également des défis. Par exemple, des données sensibles de Samsung ont été exposées sur ChatGPT par des employés (l’intégralité du code source d’un programme de téléchargement d’une base de données)[1]. Pour ne rien arranger, ChatGPT [OpenAI], a subi une faille de sécurité qui a touché plus de 100 000 utilisateurs entre juin 2022 et mai 2023, et les informations d’identification compromises sont désormais échangées sur le Dark Web[2].

Ainsi, il n’est par surprenant qu’il y ait à la fois de l’enthousiasme et de la prudence à l’égard du potentiel de l’IA générative. Compte tenu de ces complexités, il est compréhensible que de nombreuses personnes soient confrontées à la difficulté de déterminer l’approche optimale de l’IA. Dans cette optique, cet article cherche à répondre aux questions les plus posées par nos clients.

Question 1 : L’IA générative n’est-elle qu’un effet de mode ?

L’IA est un ensemble de théories et de techniques mises en œuvre afin de créer des machines capables de simuler les fonctions cognitives de l’intelligence humaine (vision, écriture, mouvement…). Un sous-domaine de l’IA, particulièrement intéressant, est « l’IA générative ». Elle peut être définie comme une discipline utilisant des algorithmes avancés, notamment les réseaux de neurones artificiels, pour générer de manière autonome du contenu, qu’il s’agisse de textes, d’images ou de musique. Au-delà du chatbot bancaire qui répondant à vos interrogations, l’IA générative ne se limite pas à reproduire nos capacités de manière impressionnante, elle les améliore dans certains cas.

Notre observation du marché indique que : la portée de l’IA générative est large et profonde. Elle contribue à divers domaines tels que la création de contenu, l’analyse de données, la prise de décision, le support client et même la cybersécurité (par exemple, en identifiant des structures de données anormales pour contrer les menaces). Nous avons identifié trois domaines dans lesquels l’IA générative est particulièrement utile.

Personnalisation du marketing et de l’expérience client

L’IA générative permet de mieux comprendre les comportements et les préférences des clients. En analysant les modèles de données, elle permet aux entreprises d’élaborer des messages et des visuels sur mesure, améliorant ainsi l’engagement et garantissant des interactions personnalisées.

Solutions no-code et amélioration du support client

Dans un monde numérique en constante évolution, les concepts de solutions no-code et d’amélioration du service client sont de plus en plus mis en avant. Bouygues Telecom est un bon exemple d’entreprise exploitant des outils avancés. Ils analysent activement les interactions vocales enregistrées lors de conversations entre les conseillers et les clients, dans le but d’améliorer la relation client[3]. Dans le même registre, Tesla utilise l’outil d’IA « Air AI » pour une interaction fluide avec les clients, qui permet de gérer les appels commerciaux avec des clients potentiels, allant même jusqu’à programmer des essais de conduite.

En ce qui concerne la programmation, une expérience intéressante menée par l’un de nos clients se démarque. Impliquant 50 développeurs, le test a révélé que 25% des suggestions de code générées par l’IA ont été acceptées, entraînant une augmentation de 10% de la productivité. Cependant, il est encore tôt pour conclure sur l’efficacité réelle de l’IA générative en matière de programmation, mais les premiers résultats sont prometteurs et devraient s’améliorer. De plus, le problème lié aux droits de propriété intellectuel concernant le code généré par l’IA demeure un sujet de discussion.

Veille documentaire et outil de recherche

L’utilisation de l’IA en tant qu’outil de recherche peut permettre de gagner des heures de travail, notamment dans les domaines où les corpus réglementaires et documentaires sont vastes (ex : secteur financier). Chez Wavestone, nous avons développé en interne, deux outils d’IA. Le premier, CISO GPT, permet aux utilisateurs de poser des questions spécifiques sur la sécurité dans leur langue maternelle. Une fois la question posée, l’outil parcourt la documentation afin d’extraire et de présenter les informations pertinentes. Le second outil, la bibliothèque de références GPT, fournit des CV d’employés de Wavestone ainsi que des références relatives à des missions antérieures pour la rédaction de propositions commerciales.

Cependant, bien que des outils comme ChatGPT (qui utilise des données provenant de bases de données publiques) soient indéniablement bénéfiques, c’est lorsque les entreprises exploitent leurs propres données qu’elles peuvent changer la donne. Pour cela, les entreprises doivent intégrer des capacités d’IA générative en interne ou mettre en place des systèmes assurant la protection de leurs données (comme des solutions cloud telles qu’Azure OpenAI ou des modèles propriétaires). Selon nous, l’IA générative vaut plus que le simple buzz qui l’entoure et est destinée à s’installer durablement. Il existe de réelles applications commerciales et une véritable valeur ajoutée, mais également des risques de sécurité. Votre entreprise doit initier cette dynamique pour pouvoir mettre en œuvre des projets d’IA générative de manière sécurisée.

Question 2 : Quelle est la réaction du marché à l’utilisation de ChatGPT ?

Pour approfondir le point de vue de ceux qui sont en première ligne en matière de cybersécurité, nous avons demandé aux CISO de nos clients leur avis sur les implications et les opportunités de l’IA générative. Par conséquent, le graphique ci-dessous illustre les opinions des CISO sur le sujet.

Selon notre enquête, les retours des CISO peuvent être regroupés en trois catégories distinctes :

Les pragmatiques (65%)

La plupart de nos répondants reconnaissent les risques potentiels de fuite de données avec ChatGPT, mais les assimilent aux risques rencontrés sur les forums ou lors d’échanges sur des plateformes telles que Stack Overflow (pour les développeurs). Ils estiment que le risque de fuites de données n’a pas changé de manière significative avec ChatGPT. Cependant, le buzz actuel justifie des campagnes de sensibilisation dédiées pour souligner l’importance de ne pas utiliser des données spécifiques à l’entreprise ou des données sensibles.

Les visionnaires (25%)

Un quart des personnes interrogées considère ChatGPT comme un outil révolutionnaire. Ils ont constaté son adoption dans des départements tels que la communication et les services juridiques. Ils ont pris des mesures proactives pour comprendre son utilisation (quelles données, quel cas d’usage) et ont ensuite établi un ensemble de lignes directrices. Il s’agit d’une approche plus collaborative pour définir un cadre d’utilisation.

Les sceptiques (10%)

Une partie du marché émet des réserves concernant ChatGPT. Pour eux, il s’agit d’un outil trop facile à utiliser à mauvais escient, qui fait l’objet d’une attention médiatique excessive et qui comporte des risques inhérents selon divers secteurs d’activité. Ainsi, en fonction de votre activité, cela peut être pertinent lorsque vous jugez que le risque de fuite de données et de perte de propriété intellectuelle est trop élevé par rapport aux bénéfices potentiels.

Question 3 : Quels sont les risques liés à l’IA générative ?

En évaluant les différents points de vue sur l’IA générative au sein des organisations, nous avons classé les préoccupations en quatre catégories distinctes de risques, du moins grave au plus critique :

Altération et dénaturation du contenu

Les organisations utilisant l’IA générative doivent protéger l’intégrité de leurs systèmes intégrés. Lorsque l’IA est manipulée de manière malveillante, cela peut conduire à la déformation de contenu authentique, conduisant à la désinformation. Cela peut produire des résultats biaisés, ce qui nuit à la fiabilité et à l’efficacité des solutions basées sur l’IA. Plus spécifiquement, pour les grands modèles de langage (Large Language Models – LLM) comme l’IA générative, il existe une préoccupation notable concernant l’injection d’invite (prompt injection). Pour atténuer cela, les organisations devraient :

Développer un système de classification des entrées (inputs) malveillantes qui évalue la légitimité de l’entrée d’un utilisateur, en veillant à ce que seuls les prompts légitimes soient traités.
Limiter la taille et modifier le format des entrées utilisateur. En ajustant ces paramètres, les chances de réussite de l’injection d’invite sont considérablement réduites.

Menaces de tromperie et de manipulation

Même si une organisation décide d’interdire l’utilisation de l’IA générative, elle doit rester vigilante face à l’augmentation potentielle de l’hameçonnage, des escroqueries et des attaques de type « deepfake ». Bien que ces menaces existent depuis un certain temps dans le domaine de la cybersécurité, l’introduction de l’IA générative intensifie leur fréquence et leur sophistication.

Ce potentiel est clairement illustré par une série d’exemples frappants. Ainsi, Deutsche Telekom a publié une vidéo de sensibilisation montrant la capacité de l’IA générative à vieillir l’image d’une jeune fille à partir de photos/vidéos disponibles sur les réseaux sociaux.

De plus, HeyGen est un logiciel d’IA générative capable de doubler des vidéos dans plusieurs langues tout en conservant la voix originale. Il est désormais possible d’entendre Donald Trump s’exprimer en français ou Charles de Gaulle converser en portugais.

Ces exemples illustrent clairement comment les attaquants peuvent exploiter ces outils pour imiter la voix d’un PDG, élaborer des emails d’hameçonnage convaincants ou créer des vidéos « deepfake » d’un réalisme saisissant, ce qui intensifie les défis en matière de détection et de défense.

Pour plus d’informations sur l’utilisation de l’IA générative par les cybercriminels, consultez l’article dédié sur RiskInsight.

Confidentialité des données et protection de la vie privée

Si les organisations décident d’autoriser l’utilisation de l’IA générative, elles doivent être conscientes que les immenses capacités de traitement de données offertes par cette technologie peuvent engendrer des risques non négligeables en matière de confidentialité et de protection de la vie privée. Ces modèles, bien qu’excellents dans la génération de contenu, sont susceptibles de divulguer des données d’entraînement sensibles ou de reproduire des contenus soumis au droit d’auteur.

De plus, en ce qui concerne la protection des données personnelles, si l’on se réfère à la politique de confidentialité de ChatGPT, le chatbot est susceptible de collecter des informations comme les détails du compte, les données d’identification provenant de votre appareil ou navigateur, ainsi que les informations saisies dans le chatbot (qui pourraient être utilisées pour entraîner l’IA générative)[4]. Selon l’article 3(a) des conditions générales d’Open AI, les entrées et sorties (inputs/outputs), appartiennent à l’utilisateur. Cependant, étant donné que ces données sont stockées et enregistrées par OpenAI, des préoccupations émergent quant à la propriété intellectuelle et aux éventuelles fuites de données (comme mentionné supra dans le cas de Samsung). Ces risques peuvent nuire considérablement à la réputation et à l’activité d’une organisation.

C’est pour ces raisons qu’OpenAI a mis en place l’abonnement ChatGPT Business, proposant un contrôle accru sur les données de l’organisation (avec, par exemple, le chiffrement AES-256 pour les données au repos, TLS 1.2+ pour les données en transit, l’authentification SSO SAML et une console d’administration dédiée)[5]. Mais en réalité, tout dépend de la confiance que vous accordez à votre fournisseur et du respect des engagements contractuels. De plus, il existe aussi la possibilité de développer ou de former des modèles d’IA internes en utilisant les données de l’organisation pour une solution adaptée aux besoins spécifiques.

Vulnérabilités des modèles et attaques

Alors que de plus en plus d’organisations utilisent des modèles d’apprentissage automatique, il est essentiel de comprendre que ces modèles ne sont pas infaillibles. Ils peuvent être confrontés à des menaces qui affectent leur fiabilité, leur précision ou leur confidentialité, comme cela sera expliqué dans la section suivante.

Question 4 : Comment un modèle d’IA peut-il être attaqué ?

L’IA introduit des complexités supplémentaires qui s’ajoutent aux vulnérabilités existantes du réseau et de l’infrastructure. Il est crucial de noter que ces complexités ne sont pas spécifiques à l’IA générative, mais qu’elles sont présentes dans divers modèles d’IA. Comprendre ces modèles d’attaque est essentiel pour renforcer les défenses et garantir le déploiement sécurisé de l’IA. Il existe trois principaux modèles d’attaque (liste non exhaustive) :

Pour des informations détaillées sur les vulnérabilités des grands modèles de langage et de l’IA générative, référez-vous au “OWASP Top 10 for LLM” de l’Open Web Application Security Project (OWASP).

Attaques par évasion

Ces attaques ciblent l’IA en manipulant les entrées des algorithmes d’apprentissage automatique afin d’introduire des perturbations mineures qui entraînent des modifications significatives des sorties. De telles manipulations peuvent amener le modèle d’IA à classer de manière inexacte ou à ignorer certaines entrées. Un exemple classique serait de modifier des panneaux de signalisation pour tromper les voitures autonomes (identifier un panneau « stop » comme un panneau « priorité »). Cependant, les attaques par évasion peuvent également s’appliquer à la reconnaissance faciale. Une personne pourrait utiliser des motifs de maquillage subtils, des autocollants placés de manière stratégique, des lunettes spéciales ou des conditions d’éclairage spécifiques pour tromper le système, entraînant une mauvaise identification.

En outre, les attaques par évasion ne se limitent pas à la manipulation visuelle. Dans les systèmes de commande vocale, les attaquants peuvent intégrer des commandes malveillantes dans du contenu audio ordinaire, de manière à ce qu’elles soient imperceptibles pour les humains mais reconnaissables par les assistants vocaux. Par exemple, des chercheurs ont démontré l’existence de techniques audio contradictoires ciblant des systèmes de reconnaissance vocale utilisés dans des enceintes intelligentes, telles qu’Alexa d’Amazon. Ainsi, une chanson ou une publicité apparemment ordinaire pourrait contenir une commande dissimulée ordonnant à l’assistant vocal d’effectuer un achat non autorisé ou de divulguer des informations personnelles, le tout à l’insu de l’utilisateur[6].

Empoisonnement

L’empoisonnement est un type d’attaque dans lequel l’attaquant modifie les données ou le modèle pour influencer le comportement de l’algorithme d’apprentissage automatique (par exemple, pour saboter ses résultats ou insérer une porte dérobée). C’est comme si l’attaquant conditionnait l’algorithme en fonction de ses motivations. Ces attaques sont également appelées : attaques causatives.

Conformément à cette définition, les attaquants utilisent des attaques par empoisonnement pour orienter un algorithme d’apprentissage automatique vers un résultat souhaité. Ils introduisent des échantillons malveillants dans l’ensemble des données d’apprentissage, ce qui conduit l’algorithme à se comporter de manière imprévisible. Un exemple connu est celui du chatbot de Microsoft, TAY, qui a été dévoilé sur Twitter en 2016. Conçu pour imiter les adolescents américains et converser avec eux, il s’est rapidement mis à agir comme un activiste d’extrême droite[7]. Cela souligne le fait que, dans leurs premières phases d’apprentissage, les systèmes d’IA sont sensibles aux données qu’ils rencontrent. Les utilisateurs de 4Chan ont intentionnellement empoisonné les données de TAY avec leur humour et leurs conversations controversées.

Toutefois, l’empoisonnement des données peut également être involontaire et résulter de préjugés inhérents aux sources de données ou de préjugés inconscients de ceux qui organisent les ensembles de données. Cela s’est manifesté lorsque les premières technologies de reconnaissance faciale ont eu des difficultés à identifier les teints de peau plus foncés. Il est donc nécessaire de disposer de données d’entraînement diversifiées et non-biaisées pour se prémunir contre les distorsions délibérées ou involontaires des données.

Enfin, la prolifération en ligne d’algorithmes d’IA en open source, tels que ceux présents sur des plateformes comme Hugging Face, présente un autre risque. Les acteurs malveillants pourraient modifier et empoisonner ces algorithmes pour favoriser des biais spécifiques, conduisant des développeurs peu méfiants à intégrer par inadvertance des algorithmes corrompus dans leurs projets, perpétuant ainsi les biais ou les intentions malveillantes.

Attaque oracle

Ce type d’attaque consiste à tester/sonder un modèle avec une série d’entrées soigneusement conçues, tout en analysant les sorties. Grâce à l’application de diverses stratégies d’optimisation et à des requêtes répétées, les attaquants peuvent déduire des informations confidentielles, mettant ainsi en péril la vie privée des utilisateurs, la sécurité globale du système où les règles de fonctionnement internes.

Un exemple pertinent est celui du chatbot Bing de Microsoft, alimenté par l’IA. Peu après son lancement, un étudiant de Stanford, Kevin Liu, a exploité le chatbot à l’aide d’une attaque par injection d’invite, l’amenant à révéler ses directives internes et son nom de code « Sidney », alors que l’une des règles fondamentales du système était de ne jamais révéler ce type d’informations[8].

Un précédent article de RiskInsight présentait un exemple d’attaque oracle et par évasion, ainsi que d’autres types d’attaques qui, bien que non spécifiques à l’IA, représentent néanmoins un risque important pour ces technologies.

Question 5 : Quel est l’état de la réglementation ? Comment l’IA générative est-elle réglementée ?

Depuis notre article de 2022, il y a eu des développements significatifs dans la réglementation de l’IA à travers le monde.

L’Union Européenne (UE)

L’objectif de la stratégie numérique de l’UE est de réguler l’IA, en garantissant son développement innovant et son utilisation, tout en assurant la sécurité et les droits fondamentaux des individus et des entreprises vis-à-vis de l’IA. Le 14 juin 2023, le Parlement européen a adopté et amendé la proposition de règlement sur l’Intelligence Artificielle, qui catégorise les risques liés à l’IA en quatre niveaux distincts : inacceptable, élevé, limité et minimal[9].

États-Unis

Le Bureau de la politique scientifique et technologique de la Maison Blanche, guidé par les perspectives de diverses parties prenantes, a présenté le « Blueprint for an AI Bill of Rights »[10]. Bien que non contraignant, ce document souligne l’engagement en faveur des droits civiques et des valeurs démocratiques dans la gouvernance et le déploiement de l’IA.

Chine

Compte tenu des préoccupations croissantes en matière d’IA, l’administration chinoise du cyberespace a proposé des mesures administratives pour les services d’intelligence artificielle générative. Visant à protéger les intérêts nationaux et à préserver les droits des utilisateurs, ces mesures offrent une approche holistique de la gouvernance de l’IA. Elles ont pour but d’atténuer les risques potentiels associés aux services d’intelligence artificielle générative, tels que la diffusion de fausses informations, les violations de la vie privée, les atteintes à la propriété intellectuelle et la discrimination. Toutefois, la portée territoriale de ces mesures pourrait poser problème aux fournisseurs étrangers de services d’IA en Chine[11].

Royaume-Uni

Le Royaume-Uni emprunte une voie distincte, en mettant l’accent sur une approche pro-innovation dans sa stratégie nationale en matière d’IA. Le Département pour la Science, l’Innovation et la Technologie a publié un livre blanc intitulé « AI Regulation: A Pro-Innovation Approach », axé sur le développement par le biais de réglementations minimales et d’investissements accrus dans l’IA. Le cadre britannique ne prescrit pas de règles ou de niveaux de risque à des secteurs ou technologies spécifiques. Il se focalise plutôt sur la réglementation des résultats générés par l’IA dans des applications précises. Cette approche est guidée par cinq principes fondamentaux : la sûreté & la sécurité, la transparence, l’équité, la responsabilité & la gouvernance, et la contestabilité & la réparation[12].

Cadres de référence

Au-delà des règlementations formelles, plusieurs documents d’orientation existent, tels que le cadre de gestion des risques associés à l’IA du NIST et la norme ISO/IEC 23894. Ces textes fournissent des recommandations pour la gestion des risques liés à l’IA, se concentrant sur des critères destinés à instaurer la confiance dans les algorithmes. En fin de compte, l’enjeu ne se limite pas à la cybersécurité, il s’agit aussi et surtout de confiance.

Avec un paysage réglementaire aussi vaste, les organisations peuvent se sentir dépassées. Pour les aider, nous suggérons de se concentrer sur des considérations clés lors de l’intégration de l’IA dans leurs opérations, afin d’établir une feuille de route pour atteindre la conformité.

Identifier tous les systèmes d’IA existants au sein de l’organisation et établir une procédure ou un protocole pour identifier les nouvelles initiatives en matière d’IA.
Évaluer les systèmes en utilisant des critères dérivés de cadres de référence, tels que le NIST.
Classer les systèmes d’IA selon la classification du règlement sur l’IA de l’UE (inacceptable, élevé, limité, minimal).
Déterminer l’approche de gestion des risques adaptée à chaque catégorie.

Question bonus : Cela étant dit, que puis-je faire maintenant ?

À mesure que le paysage numérique évolue, Wavestone met l’accent sur une approche globale de l’intégration de l’IA générative. Nous préconisons qu’un déploiement d’IA fasse l’objet d’une analyse de sensibilité rigoureuse, allant de l’interdiction pure et simple à une mise en œuvre guidée et une conformité stricte. Pour les systèmes classés à haut risque, il est primordial d’appliquer une analyse de risque détaillée basée sur les normes établies par l’ENISA et le NIST. Bien que l’IA introduise une couche sophistiquée, les principes fondamentaux de l’hygiène informatique ne doivent jamais être négligés. Nous recommandons l’approche suivante :

Piloter & Valider : commencez par évaluer le potentiel de transformation de l’IA générative dans votre contexte organisationnel. De plus, il est essentiel de comprendre les outils à votre disposition, de s’orienter parmi les diverses options disponibles et de prendre des décisions éclairées en fonction des besoins spécifiques et des cas d’utilisation.
Perspective Stratégique : Selon notre enquête auprès des CISO de nos clients, déterminez le niveau idéal d’adoption de l’IA pour votre entreprise. Vos aspirations correspondent-elles aux repères d’adoption de 10%, 65% ou 25% ?
Atténuation des Risques : Ancrez votre stratégie dans une évaluation des risques approfondie, en adéquation avec le niveau d’adoption de l’IA que vous envisagez.
Élaboration de Politiques : Basez-vous sur votre analyse avantages-risques pour élaborer des politiques d’IA solides et agiles.
Apprentissage Continu & Vigilance Réglementaire : Maintenez un engagement constant pour rester au fait de l’évolution du paysage réglementaire, et tenez-vous informé des derniers outils, méthodes d’attaque et stratégies de défense.

[1] Des données sensibles de Samsung divulgués sur ChatGPT par des employés (rfi.fr)

[2] https://www.phonandroid.com/chatgpt-100-000-comptes-pirates-se-retrouvent-en-vente-sur-le-dark-web.html

[3] Bouygues Telecom mise sur l’IA générative pour transformer sa relation client (cio-online.com)

[4] Quelles données Chat GPT collecte à votre sujet et pourquoi est-ce important pour votre vie privée en ligne ? (bitdefender.fr)

[5] OpenAI lance un ChatGPT plus sécurisé pour les entreprises – Le Monde Informatique

[6] Selective Audio Adversarial Example in Evasion Attack on Speech Recognition System | IEEE Journals & Magazine | IEEE Xplore

[7] Not just Tay: A recent history of the Internet’s racist bots – The Washington Post

[8] Microsoft : comment un étudiant a obligé l’IA de Bing à révéler ses secrets (phonandroid.com)

[9] Artificial intelligence act (europa.eu)

[10] https://www.whitehouse.gov/wp-content/uploads/2022/10/Blueprint-for-an-AI-Bill-of-Rights.pdf

[11] https://www.china-briefing.com/news/china-to-regulate-deep-synthesis-deep-fake-technology-starting-january-2023/

[12] A pro-innovation approach to AI regulation – GOV.UK (www.gov.uk)

Cet article IA : Découvrez les 5 questions les plus fréquemment posées par nos clients ! est apparu en premier sur RiskInsight.

Comment activer la gamification pour un Mois Européen de la Cybersécurité percutant

Noëmie Honoré — Fri, 22 Sep 2023 15:00:00 +0000

Le Mois Européen de la Cybersécurité est à la sensibilisation à la cybersécurité ce que les Jeux olympiques sont au sport : le moment de briller, avec tous les yeux braqués sur vous.

Étant donné que le risque humain reste important, l’erreur humaine étant à l’origine de 82 % des violations de données selon le rapport 2022 Verizon Data Breach Investigations Report, il n’est pas étonnant que les RSSI des organisations européennes cherchent à mettre en place les activités les plus innovantes pendant cette période cruciale de l’année.

Une fois que les principaux risques ont été identifiés, il est temps de passer à l’action : diffuser les comportements de sécurité prioritaires dans toute l’organisation en utilisant le moyen ultime : la gamification.

Ne pas jouer, c’est échouer au Mois Européen de la Cybersécurité

Des matchs de football aux batailles de Monopoly, il y a un jeu pour tout le monde, et quel que soit celui que l’on préfère, il suscite toujours l’enthousiasme.

Il est donc logique que, lorsqu’ils ont l’occasion d’apprendre des comportements de sécurité, les employés préfèrent un jeu à une formation en ligne qu’ils devront – avouons-le – suivre péniblement.

La gamification est gagnante, et bien qu’il y ait de nombreuses raisons expliquant ce fait, nous avons sélectionné sept exemples frappants qui mettront en lumière les avantages que la gamification présente dans un environnement d’apprentissage.

La gamification augmente considérablement l’engagement

Pour se sentir impliqué dans une activité, et donc atteindre le Saint Graal de l’attention, l’interactivité est essentielle.

Les jeux exigent une action de la part du participant, ce qui transforme ce dernier en un rouage mobile de son propre processus d’apprentissage.

En outre, l’élément de compétition présent dans les jeux, que ce soit entre équipes ou contre un méchant fictif, est un puissant facteur de motivation qui favorise encore davantage l’engagement.

La pratique l’emporte sur la théorie dans un contexte d’apprentissage

La pratique représente 70 % du processus d’apprentissage. Pourquoi ? Parce que la pratique permet de rendre les enseignements tangibles et de les intégrer dans des situations réelles, que les employés peuvent directement lier à leurs pratiques quotidiennes.

Les feedbacks et récompenses stimulent les comportements positifs

Les jeux impliquent des prix et des récompenses à gagner.

Non seulement ils contribuent à stimuler la motivation, mais ils permettent également aux employés d’obtenir un retour d’information positif direct sur leurs actions et leurs décisions, qui s’accompagne d’un sentiment d’accomplissement et de progrès, ce qui renforce encore le comportement de sécurité visé.

Les jeux accroissent la visibilité de votre équipe de cybersécurité

Les jeux de sensibilisation à la cybersécurité ont le pouvoir de modifier la perception qu’a le personnel de votre équipe de cybersécurité. En effet, la cybersécurité peut sembler un domaine obscur et complexe pour de nombreux employés.

Proposer des jeux permet de rendre les concepts de sécurité plus tangibles, plus accessibles et plus applicables dans la vie de tous les jours.

De plus, s’ils sont organisés en présentiel, ils permettent à votre de cybersécurité de gagner en visibilité auprès des membres du personnel et de susciter un sentiment de reconnaissance et de confiance qui, à son tour, renforcera l’impact des futures actions de sensibilisation.

Apprendre ensemble renforce la cohésion d’équipe

Comme si apprendre plus efficacement ne suffisait pas, la gamification offre également le précieux avantage de stimuler l’esprit d’équipe.

De nombreux jeux de sensibilisation offrent la possibilité de travailler en collaboration pour atteindre le succès. Ainsi, les employés repartent avec de bons souvenirs et de la reconnaissance pour cet agréable moment, en plus de précieux conseils de sécurité.

Les jeux permettent de répéter les messages de sécurité de manière originale et amusante

Lorsqu’il s’agit d’ancrer des comportements de sécurité dans une organisation, la répétition est cruciale pour assurer leur intégration et mise en œuvre.

Cependant, la répétition des communications de sensibilisation par les mêmes canaux peut diminuer l’attention que les employés leur accordent.

Les jeux constituent une expérience innovante et agréable pour renforcer les messages de sécurité et les rendre plus percutants au fil du temps.

Bonus : vous recueillez des informations et des commentaires précieux de la part des utilisateurs finaux

En interagissant avec le personnel par le biais de jeux de sensibilisation, votre équipe de cybersécurité a l’occasion unique de recueillir des informations sur les questions de sécurité les plus urgentes que se posent les employés et de découvrir quels sont leurs plus grands défis en termes de sécurité dans leurs activités quotidiennes. Ce retour d’information permet ensuite d’établir des priorités pour les futurs messages de sensibilisation et de revoir ou de mettre en œuvre des processus destinés à faciliter la vie des employés. Par exemple, si le personnel exprime à plusieurs reprises voir des e-mails suspects mais ne pas savoir pas comment les signaler, cela peut conduire à une campagne de sensibilisation spéciale destinée à rappeler aux employés comment signaler les e-mails d’hameçonnage, et à la mise en place d’un bouton de signalement d’hameçonnage pour faciliter le processus de signalement.

Tirer parti de la gamification : Les incontournables pour organiser des jeux de sensibilisation réussis

Avant d’établir les facteurs de succès d’un jeu de sensibilisation, précisons ce qui fait qu’un jeu est fructueux.

Pour être réellement efficace, un jeu de sensibilisation doit permettre aux participants de quitter l’activité avec une idée claire des comportements de sécurité qu’ils modifieront dans leur propre vie professionnelle.

Pour atteindre cet objectif, nous avons identifié un ensemble de cinq critères clés :

Un jeu solide couvrira un sujet de sensibilisation prioritaire, basé sur les risques identifiés pour l’organisation et priorisés en conséquence.

Il faut ensuite trouver le juste niveau de complexité, en fonction du niveau de connaissance de votre personnel.

Le personnel qui a déjà un niveau élevé de maturité en termes de comportements de sécurité – au mieux – n’apprendra rien de nouveau au cours d’un jeu facile, et – au pire – s’ennuiera ou en voudra à l’équipe de sensibilisation à la sécurité d’avoir pris une partie de son temps de travail pour couvrir des éléments qu’il connaît déjà.

Le scénario inverse serait également problématique : confronter le personnel débutant à un jeu difficile ne ferait que le désorienter.

Il est donc essentiel de connaître le niveau de maturité de votre public cible en matière de sécurité pour adapter le jeu et obtenir des résultats optimaux.

Troisièmement, le jeu doit être centré sur une histoire captivante. Le scénario doit être intrigant et se dérouler de manière fluide. En outre, il doit être adapté au contexte de l’organisation afin que les participants puissent s’identifier aux événements qui se déroulent dans le jeu.

Pour capter et surtout retenir l’attention des employés, le jeu doit mettre l’accent sur l’interactivité. Les interactions peuvent avoir lieu entre le(s) maître(s) du jeu et les joueurs, mais aussi entre les joueurs eux-mêmes lorsqu’ils collaborent dans le cadre de l’activité.

Pour exploiter davantage ce concept, le jeu peut stimuler les cinq sens afin de le rendre encore plus attrayant et immersif.

Le dernier élément clé d’un jeu efficace réside dans la mise en place de bons vecteurs de motivation. Là encore, il existe de multiples façons d’y parvenir : vous pouvez par exemple établir un système de notation pour encourager une compétition ludique entre les équipes, et mettre en place des récompenses. Les récompenses peuvent prendre la forme de cadeaux, de prix tels que des expériences individuelles ou d’équipe, ou même de dons à l’organisation caritative choisie par les participants. Un vecteur de motivation puissant stimulera la participation volontaire à l’activité, et une décision de participer issue d’une volonté réelle du personnel sera également synonyme d’une motivation et d’une implication accrues dans le jeu, pour une meilleure rétention des comportements de sécurité partagés.

Quel jeu de sensibilisation est fait pour vous ?

Pour que vos rêves de gamification du Mois Européen de la Cybersécurité deviennent réalité, passons de la théorie à la pratique !

Répondez au quiz ci-dessous pour savoir quel jeu de sensibilisation à la cybersécurité est adapté à vos besoins et à vos objectifs pour un impact maximal.

Loading…

Cet article Comment activer la gamification pour un Mois Européen de la Cybersécurité percutant est apparu en premier sur RiskInsight.

Impliquer la direction dans la Sécurité de l’Information

Lloyd Barwood — Tue, 13 Jun 2023 13:00:00 +0000

Introduction

La menace toujours croissante des cyber-attaques pesant sur les organisations du monde entier et l’impact financier, opérationnel ou de réputation potentiellement dévastateur de ces dernières sur l’entreprise font qu’il est essentiel de faire de la cybersécurité une question majeure devant la direction des organisations. Ce sont les membres du Conseil d’Administration qui détiennent la responsabilité finale en matière de risques, à la fois en tant qu’ils définissent l’appétit de l’entreprise pour le risque cyber et qu’ils veillent à ce qu’un budget et des ressources suffisants soient alloués à la gestion de ce risque dans la limite de cet appétit. S’ils ne sont pas correctement informés des risques associés à la sécurité de l’information, l’organisation risque de ne pas mettre en place les mesures de réduction justes et appropriées permettant de la protéger des menaces et risques les plus importants.

L’absence de protection efficace contre ces cybermenaces peut avoir des conséquences à la fois organisationnelles et personnelles pour les cadres. Par exemple, la réglementation de la FCA Senior Managers and Certification Regime (SMR) attribue la responsabilité de la sécurité de l’information aux membres de l’exécutif, les rendant responsables de la bonne mise en place des protections cyber pour la Sécurité de l’Information.

Cet article propose une approche en quatre étapes sur la manière de mieux impliquer les cadres dirigeants de votre organisation dans la sécurité de l’information, pour construire un partenariat fructueux entre ces cadres, qui dirigent le budget et les ressources pour la sécurité de I’information, et les équipes cyber qui sont responsables du cadrage et de la mise en place de cette sécurité.

Étape 1 : Introduire les dirigeants à la cybersécurité

Dans cette première réunion avec les cadres dirigeants, il est impératif de commencer la discussion en se concentrant sur une introduction à la cybersécurité qui donne une vue d’ensemble des capacités et du modèle opérationnel de l’organisation en matière de cybersécurité, ce qui permettra des discussions plus approfondies par la suite.

Décrivez les responsabilités de l’organisation et des dirigeants en matière de sécurité de l’information et la manière dont celles-ci s’alignent avec les priorités stratégiques de l’organisation et de l’équipe cyber. Cela devrait inclure une présentation des principales menaces (à la fois internes et externes) pour l’organisation, les risques auxquels elles l’exposent, et la feuille de route existante pour limiter ces derniers. Cela donnera un aperçu général de la capacité cyber de l’organisation et donnera le ton pour les conversations à venir avec la direction.

Faites une synthèse présentant le schéma directeur de la sécurité de l’information et la manière dont la sécurité s’intègre et ajoute de la valeur au reste de l’activité. Il est important d’inclure des indicateurs qui puissent être utilisés pour comparer l’approche de l’organisation en matière de cybersécurité à celles du marché. Une différence dans le budget ou la taille des effectifs dédiés par rapport à un concurrent peut indiquer si l’organisation affecte à la problématique les ressources et le budget adéquats.

Étape 2 : Audit à 360°

Après avoir introduit avec succès les dirigeants à la sécurité de l’information, il est maintenant essentiel de prévoir une deuxième séance afin de présenter avec plus de granularité la capacité cyber de l’organisation, en mettant clairement l’accent sur les domaines où les ressources doivent être concentrées.

Les frameworks types du secteur, comme ISO et NIST, doivent être déployés pour mesurer la maturité cyber de l’organisation et fournir une analyse sur les améliorations potentielles qui pourra être présentée à la direction. Ces frameworks offrent un cadre auquel l’organisation peut se comparer afin d’identifier les domaines nécessitant une élévation de la maturité pour réduire les risques liés aux principales menaces pour l’organisation. Si ces outillages offrent en l’état une bonne mesure de la maturité, il est important de les affiner pour qu’ils soient adaptés à l’organisation, en tenant compte de son secteur d’activité et de son environnement réglementaire. Wavestone recommande de prendre le Framework NIST comme base et de l’adapter aux enjeux spécifiques de l’organisation pour dépasser les limites de l’outil et l’orienter vers les besoins de l’entreprise.

Wavestone a élaboré son propre framework, le Cyber Benchmark, qui s’appuie sur les meilleurs frameworks du secteur pour fournir une approche globale de l’évaluation de la maturité, perspectives organisationnelles et technologiques incluses. Nous recommandons aux organisations de suivre une approche similaire afin d’accélérer les améliorations de leur outillage pour accroître leur maturité cyber.

Il peut être difficile de capter l’attention des cadres dirigeants pour qu’ils investissement du temps et des ressources dans le développement d’un framework visant à améliorer la maturité cyber. Une bonne méthode pour les interpeller consiste à fournir des preuves concrètes de leurs vulnérabilités en matière de sécurité, en montrant par exemple comment une « Red Team » interne a pu accéder à leurs boîtes mail, et en expliquant le peu de jours qui ont été nécessaires à cela.

Étape 3 : Programme et Framework

Une fois que cette vue détaillée aura été présentée, une des priorités majeures doit être de s’assurer que les dirigeants ont adhéré à la stratégie et à la feuille de route en matière de cybersécurité. Ces dernières doivent être élaborées sur la base des axes d’amélioration de la maturité identifiés lors de l’évaluation sur la base du framework. L’adhésion de la direction à la feuille de route garantira le financement et les ressources nécessaires à la mise en œuvre de ces améliorations.

À l’aide du framework personnalisé, élaborez une feuille de route axée sur les aspects qui réduiront le plus efficacement possible les risques liés aux principales menaces pesant sur l’organisation. Cette feuille de route servira de base au programme de sécurité. Elle doit être définie de manière à fournir des cibles claires à atteindre pour garantir la conformité aux attendus du framework personnalisé, en commençant par une approche de remédiation qui garantira une maturité cyber standard dans l’ensemble de l’organisation, suivie d’étapes permettant d’atteindre les objectifs de maturité cyber. La garantie d’une maturité standard dans l’ensemble de l’organisation atténuera le risque lié aux menaces à court terme, tandis que l’atteinte des objectifs de maturité réduira le risque potentiel lié aux menaces à plus long terme.

Le soutien du programme peut être assuré par un bureau de gestion de projet (PMO) spécialisé qui supervisera son exécution. Il est important que ce PMO promeuve de bonnes relations entre les services informatiques qui mettront en œuvre la feuille de route vers la maturité et les différents métiers, afin que les avantages soient compris et exploités dans l’ensemble de l’organisation.

Étape 4 : Quantification des risques et Accélérateurs commerciaux

La dernière étape dans l’implication de la direction consiste à démontrer le retour sur investissement (ROI) que la cybersécurité peut représenter, à la fois en réduisant les risques liés aux principales menaces et en tant qu’accélérateur commercial stimulant une expansion dans de nouveaux territoires, avec l’établissement de nouvelles relations clients.

L’implémentation du framework personnalisé adapté à l’organisation et le suivi de la feuille de route vers la maturité cyber ainsi établie nécessiteront une augmentation du budget alloué. Cependant, il est important de souligner au Conseil d’Administration que ce retour sur investissement dépassera de loin le coût initial en raison d’une diminution spectaculaire de l’ampleur et de la gravité des risques auxquels l’organisation est exposée. Utilisez des calculs pour démontrer de manière quantitative ce retour sur investissement et liez-le aux efforts et changements apportés par le programme de sécurité. Il s’agira également d’expliquer que cette dépense initiale, nécessaire à la mise en œuvre du programme de sécurité, reste bien inférieure aux répercussions potentielles qu’aurait une absence de protection adéquate lors d’une cyber-attaque sur les plans financier, de la réputation et le plan personnel (ex : SMR).

Non seulement la cybersécurité peut prévenir les graves répercussions d’une absence de protection des SI en cas d’attaque, mais elle peut aussi devenir un important catalyseur commercial. Une gestion efficace de la cybersécurité permettra, d’une part, la préservation des clients en cas d’une violation de sécurité correctement gérée et, d’autre part, de positionner l’organisation comme un gestionnaire des données et des informations des clients sûr. Une organisation sûre peut s’implanter rapidement dans de nouveaux environnements commerciaux et saisir des opportunités avec la certitude que sa maturité en matière de cybersécurité lui permettra de faire face aux nouvelles menaces potentielles qui pourraient découler de cette expansion, ouvrant ainsi la porte à l’élargissement de sa base de clients en toute sécurité.

Conclusion

En suivant les quatre étapes exposées dans cet article, vous pourrez établir une relation solide avec les cadres dirigeants en matière de sécurité de l’information, en vous assurant qu’ils soient conscients de leurs responsabilités en matière de cybersécurité dans le cadre du SMR et qu’ils allouent le budget et les ressources appropriés pour faire face aux menaces majeures qui pèsent sur l’organisation. Le framework personnalisé leur permettra de comprendre la posture actuelle de la cybersécurité et d’adhérer à la feuille de route pour une maturité future. Une fois que cette cible de maturité de la cybersécurité aura été établie, les opportunités commerciales peuvent être un levier pour s’assurer que les dirigeants continueront d’investir dans le développement de la Sécurité de l’Information à l’intérieur de votre organisation.

Cet article Impliquer la direction dans la Sécurité de l’Information est apparu en premier sur RiskInsight.

Repenser sa stratégie de préparation à la gestion de crise d’origine cyber

Swann Lassiva — Tue, 07 Feb 2023 11:30:00 +0000

Se préparer à la gestion de crise est aujourd’hui une évidence pour la grande majorité des entreprises et organisations d’envergure. Conscientes du risque, ou poussées par les réglementations (la réglementation DORA en est un bon exemple), les exercices et simulations de crise sont devenus des rendez-vous annuels immanquables.

Si la profondeur et la complexité de ces exercices varient, les capacités testées sont très souvent les mêmes. Elles se limitent presque exclusivement à savoir s’approprier des rôles, assimiler un fort flux d’information (de stimuli), et comprendre une situation à fort enjeux et haute intensité. Si ces exercices permettent de s’entrainer à la coordination et à l’évaluation d’impact, force est de constater qu’ils ne peuvent être considérés comme une fin en soi. Résoudre une crise ne se limite pas au fameux : « on isole, on coupe, on communique, on est sorti d’affaire ». Nous appelons ici à une évolution de paradigme dans la préparation à la gestion de crise d’origine cyber.

Déplacer le curseur de la gestion de l’information à la faisabilité

La plupart des exercices de crise proposés actuellement testent la capacité de gestion et de synthèse du flux d’information des joueurs. Ce n’est pourtant pas là que ce se concentre la qualité du pilotage d’une crise. D’aucun pourrait même dire qu’une cellule décisionnelle ne doit justement pas se trouver dans une situation où elle est sollicitée de manière erratique et incessante par ses parties prenantes. Une cellule décisionnelle doit être mise en situation de décider et pour cela doit respecter un rythme de travail sain, généralement asynchrone, en coopération avec d’autres instances plus opérationnelles.

Ces exercices poussent trop souvent les joueurs, aspirés par la chronophage gestion de l’information, à prendre des partis opérationnels trompeurs. Ils prennent des hypothèses sur leur capacité à faire et les délais requis – le fameux « on isole, on coupe, on communique, on est sorti d’affaire ». Ces exercices donnent l’impression aux équipes décisionnelles qu’elles sont prêtes à faire face alors qu’elles ont limité leur préparation à la capacité de compréhension et de coordination des évènements. C’est une étape nécessaire, mais insuffisante.

Le maître mot d’une stratégie de préparation en 2023 ? La faisabilité. Mais la faisabilité de l’ensemble des étapes d’une gestion de crise repose sur un spectre plus large que la seule gestion de l’information. Cette faisabilité doit être mesurable, spécifique et rendue possible par la documentation, l’équipage et la simulation et le séquençage de ces capacités.

Se préparer sur l’ensemble du spectre : de la détection des menaces à la reconstruction

Interroger et a fortiori s’entrainer à gérer une situation de crise suppose d’abord de prendre en compte la chronologie complète de la gestion de crise. Nous pouvons synthétiser cette chronologie en huit étapes majeures :

Détecter les menaces pertinentes et avoir la capacité de les investiguer
Mobiliser expert.es, décideurs.euses pour réagir
Survivre durant le premier pic en garantissant des capacités de continuité d’activité
Evaluer l’impact, ses ramifications et ses évolutions anticipables
Contenir la menace et comprendre l’impact d’une isolation
Coordonner ses forces et celles de son écosystème
Communiquer avec ses parties prenantes internes et externes
Restaurer et reconstruire de manière priorisée et sécurisée

Préparer également les outils : je conçois, j’utilise

Une stratégie de préparation pertinente doit englober chacune de ces huit étapes avec ce maître mot de faisabilité. Cela nécessite donc de répondre à cette question : serons-nous véritablement capables de mener ces actions quand nous devrons le faire ?

La réponse à ce questionnement capacitaire s’appuie sur trois axes :

Assurer la formalisation de processus brefs, à jour et connus (ex : avoir une matrice des flux indiquant comment isoler, sous quels délais, les conséquences opérationnelles)
Assurer l’équipement, la formation et la mise en responsabilité des équipes ayant la charge de ces actions (ex : avoir un débat sur le processus de validation d’isolation – ou licence to kill, et permettre techniquement un red button sur des périmètres pertinents)
Entrainer spécifiquement les équipes concernées via des mises en situation, des simulations spécifiques de déploiement de ces capacités (ex : tester le processus de décision menant à l’utilisation de ce red button, puis tester techniquement le bon fonctionnement du red button)

Ainsi, si certains se limitent exclusivement à ce dernier axe qu’est la simulation, il est essentiel de concevoir sa préparation avec plus de recul et de commencer par un véritable effort de mise en capacité. L’exercice doit être un jalon de vérification, d’ajustement et de promotion des capacités. Au pire, il peut être une date butoir pour préparer la capacité voire servir d’événement pour la construire en séance (ex : chronologie de reconstruction, identification des interdépendances techniques, …).

Dépasser une logique opportuniste et entrainer le séquencement de ses capacités

Actuellement, les principaux leviers de complexité sont l’augmentation de la durée, de l’intensité et du nombre d’acteurs mobilisés. Là aussi, nous appelons à un changement de paradigme.

D’abord, nous appelons à nourrir une culture de la préparation reposant sur les huit piliers détaillés plus haut. Autrement dit, d’outiller, de formaliser des capacités à faire et d’entrainer unitairement ces capacités tout au long de l’année – sans nécessairement les événementialiser dans un exercice en grande pompe (ex : atelier en ComEx sur les 10 premières actions à lancer en cas de cyber crash, tester l’isolation des sauvegardes ou la restauration de postes de travail).

Par ailleurs, en cohérence et en conséquence d’une logique d’entrainement verticalisée (i.e. permettre puis simuler), il est important d’entrainer la capacité de séquencement rapide et efficace des différentes capacités, des différents piliers. Ainsi, il convient de proposer des exercices plus larges, communs aux équipes métiers, forensic, décisionnelles, pour orchestrer leurs différentes simulations dans un seul exercice. En entrainement, par exemple, tester la capacité de détection avec une Purple Team puis la capacité de mobilisation du dispositif de crise avec une mobilisation surprise via les outils alternatifs prévus. Un second exemple : travailler la capacité de coordination des nombreuses cellules de crise sur un temps long puis, celle d’ajuster un message de communication à l’ensemble de ses parties prenantes (interne et externe).

S’inscrire dans la durée

Pour être pertinente, cette approche doit être supportée par une réflexion stratégique, globale, pluriannuelle. Parce que plus ambitieuse, impliquant plus de parties prenantes (SOC, RPCA, Résilience, Infra, CISO, ComEx, Tiers, …), elle peut gagner sa légitimité par une évaluation empirique préalable des moyens :

Evaluez l’état actuel de votre niveau de préparation en adoptant une approche centrée sur la faisabilité des huit piliers.
Etablissez une cible de maturité à atteindre et une feuille de route dont vous saurez rendre compte dans le temps de manière empirique.
Partagez enfin à vos équipes dirigeantes une vision plus robuste de votre maturité en gestion de crise.

Une telle approche, plus empirique, plus personnalisée permettra non seulement d’identifier des manques capacitaires mais surtout de s’entrainer véritablement aux actions qui seront indispensables au moment du pire.

Cet article Repenser sa stratégie de préparation à la gestion de crise d’origine cyber est apparu en premier sur RiskInsight.

L’activité de sensibilisation qui donne toute sa saveur à la cybersécurité

Thomas Vo-Dinh — Mon, 23 Jan 2023 09:00:00 +0000

Qui aurait pensé qu’enfermer ses employés dans une pièce pendant 15 minutes permettrait de leur donner le goût d’apprendre et d’approfondir les bonnes pratiques de cybersécurité ?

En quête perpétuelle d’innovation en sensibilisation cyber, l’équipe Wavestone pourrait bien avoir déniché la nouvelle pépite pour faire fureur auprès du personnel d’organisations diverses et variées.

Testée et approuvée par des centaines d’employés de nos clients, découvrez ci-après la recette secrète permettant de rendre les bonnes pratiques de cybersécurité plus appétissantes que jamais.

Le concept, inspiré d’une activité de loisir très appréciée, est simple mais redoutablement efficace. Les employés sont dans un premier temps assemblés en équipes de quatre ou cinq participants.

La mission commence alors par un briefing de 10 minutes au cours duquel ils reçoivent une formation éclair pour devenir des agents, et se glisser dans la peau de hackers pour accomplir leur mission – s’ils l’acceptent.

Ils disposent ensuite de 15 minutes pour trouver autant de documents confidentiels que possible dans le bureau de leur cible fictive. Le jeu est truffé d’indices de niveaux de difficulté divers liés aux principaux thèmes de la sécurité, tels que l’authentification, la sécurité physique et l’ingénierie sociale, pour n’en citer qu’une poignée.

Enfin, les participants ressortent de leur aventure palpitante les yeux brillants, prêts à prendre part à un débriefing de 15 minutes, lors duquel une sélection de bonnes pratiques cyber leur sont exposées.

L’activité mobilise ainsi les employés pendant 40 minutes seulement, celles-ci filant à vitesse grand V, et les préparant à mettre en place des actions concrètes pour protéger leur organisation.

La gamification continue de faire ses preuves

Quelques années se sont peut-être écoulées depuis que vous et les membres de votre organisation ne fréquentiez une cour de récréation, mais un constat reste tout de même inchangé : les jeux continuent de s’imposer comme moyen d’apprentissage unanimement apprécié.

Grâce à la gamification, les participants deviennent acteurs, et non plus spectateurs, du processus d’apprentissage et incarnent les principes que vous souhaitez leur inculquer. Quand on sait que la pratique constitue 70 % du processus d’apprentissage, il s’agit là d’une solution difficilement négligeable.

En adoptant une posture active, les participants s’immergent dans l’activité, et ils ne se rendent même pas compte qu’ils sont en train d’acquérir de précieuses compétences qui leur serviront, ainsi qu’à la sécurité de leur organisation, pour les années à venir.

Pimenter le tout avec un soupçon de compétition

Qu’est-ce que le football, les échecs et le Monopoly ont en commun ? Outre le fait que ce sont tous des jeux, ils comportent également un élément de compétition.

Dans le contexte d’un défi, la compétition agit comme un puissant facteur de motivation et un moteur de performance. Implémentez-la dans un environnement divertissant et bienveillant, et vous obtenez un alliage parfait pour booster considérablement l’implication des participants.

Notre cyber escape game comprend un système de notation intelligent, de sorte que les équipes rivalisent afin d’atteindre le score le plus élevé possible, tandis que vous disposez de leurs résultats pour faire état de la performance globale. C’est ce que nous appelons un combo gagnant-gagnant.

Plus on est de fous, plus on rit

Si vous étiez confronté à une énigme à résoudre, ne préféreriez-vous pas relever le challenge en équipe ?

Dans le cadre d’un cyber escape game, les participants sont encouragés à collaborer pour dénicher les documents confidentiels fictifs. Le travail d’équipe permet de faire émerger des idées des plus créatives, rendant le succès de leur implémentation d’autant plus gratifiant.

Session briefing à Cracovie

Apporter une touche humaine à l’expérience éducative

Le cyber escape game permet de compléter efficacement les initiatives de formation en ligne en proposant l’opportunité de dialoguer directement avec des experts en cybersécurité.

Le parcours d’apprentissage se dessine donc dans son intégralité en apportant des réponses personnalisées aux questions spécifiques des participants en matière de sécurité.

Les obstacles liés à l’implémentation des bonnes pratique rencontrés dans le quotidien de l’un ou de l’autre se voient ainsi éclaircis en l’espace de quelques minutes.

Le format du cyber escape game est non seulement particulièrement apprécié des employés, mais il présente également de multiples avantages pour votre organisation en termes de mise en œuvre.

L’équipe Wavestone peut en témoigner !

Au cours du mois d’octobre 2022, Wavestone Belgium a réalisé +100 sessions de cyber escape games avec +400 joueurs dans 6 pays.

Les sessions ne durant que 40 minutes chacune, celles-ci permettent de former jusqu’à 45 collaborateurs en une journée.

De plus, la personnalisation est au cœur de notre approche. Le débriefing est ainsi spécifiquement formulé pour présenter les bonnes pratiques de sécurité prioritaires pour votre organisation.

Nous pourrions continuer à énumérer les avantages qu’un cyber escape game peut apporter à la sécurité d’une entité, mais un jeu restera le meilleur moyen de vous en convaincre.

Curieux de découvrir par vous-même en quoi le cyber escape game fait l’unanimité auprès de ceux qui l’ont essayé ? Prenez contact avec notre expert Thomas Vo Dinh pour organiser une session offerte.

A très vite, cher agent .

Cet article L’activité de sensibilisation qui donne toute sa saveur à la cybersécurité est apparu en premier sur RiskInsight.

Interview : Un mois pour évaluer votre posture en cybersécurité !

Anthony GUIEU — Mon, 16 Jan 2023 09:00:00 +0000

Repenser régulièrement sa stratégie cyber est un incontournable pour les équipes cybersécurité. Evolution de la menace, de la réglementation, changements dans les priorités métiers… : tous ces éléments nécessitent de revoir son plan d’action en profondeur au moins tous les 3 ans, et de le mettre à jour tous les ans si besoin.

Pour cela, il est nécessaire de savoir d’où vous partez, et de connaitre votre positionnement par rapport au marché. C’est avec cette conviction que Wavestone a construit son framework d’évaluation de maturité cybersécurité, qui capitalise aujourd’hui sur l’accompagnement de 100 organisations internationales.

Découvrez le fonctionnement du CyberBenchmark avec Anthony GUIEU, Manager Cybersécurité chez Wavestone.

Bonjour Anthony. Pour commencer, peux-tu présenter le CyberBenchmark en une phrase ?

Le CyberBenchmark est un outil complet qui permet aux entreprises d’évaluer leur niveau de cybersécurité, de se positionner par rapport au marché, et d’établir une feuille de route – grâce à un questionnaire et à une base de données de près de 100 clients dans le monde entier.

Pourquoi avoir créé le CyberBenchmark, alors qu’il existe déjà de nombreux frameworks sur le marché ?

Nous avons créé le CyberBenchmark car beaucoup de clients nous demandaient où ils se positionnaient par rapport au marché. Historiquement, nos clients recherchaient des évaluations en valeur absolue par rapport à des frameworks connus comme le NIST ou l’ISO. Aujourd’hui, ils souhaitent de plus en plus connaître leur position relative par rapport à leur écosystème. Notre CyberBenchmark permet de traiter ces deux approches simultanément.

Cela nous permet de sortir des angles d’attaque un peu différents : il y a des thématiques sur lesquelles nos clients ne sont pas matures par rapport au marché, donc ils peuvent progresser, et il faut prioriser ces actions-là. À l’inverse, il y a des thématiques où ils ne sont pas bons, mais le marché n’est, lui, pas mature ; il faut alors relativiser l’urgence du sujet. Des entreprises comme Gartner ou Forrester fournissent des tendances générales sur des grandes thématiques cyber, nous y ajoutons une vision concrète de nos observations sur le terrain, auprès de nos clients.

Quand nous avons construit le CyberBenchmark, nous avons vite réalisé que beaucoup de concurrents proposent leur version enrichie des questionnaires de cybersécurité. Notre vraie valeur ajoutée, c’est la comparaison avec le marché : près de 100 clients nous font confiance et ont été évalués avec ce cadre de référence à date !

Comment fonctionne le CyberBenchmark ?

Pour avoir un cadre cohérent, nous nous sommes basés sur des frameworks existants, c’est-à-dire les normes de sécurité qui font référence sur le marché : ISO 27001/2, NIST… C’était un point de départ obligé, car nos clients utilisent ces standards pour s’évaluer. Nous avons ensuite enrichi le questionnaire avec notre propre retour terrain, pour affiner les niveaux de maturité par thématique.

Une des valeurs ajoutées du CyberBenchmark : la granularité de l’évaluation, qui permet de mesurer précisément quelle part du périmètre atteint chaque palier de maturité. Concrètement, il est possible de répartir le niveau de maturité pour une question donnée entre les différents niveaux : par exemple 30% niveau 2, 60% niveau 3 et 10% niveau 4, ce qui peut être dû à un périmètre hétérogène, à des initiatives en cours… Cela nous permet de valoriser les projets au temps long et aux déploiements complexes sur plusieurs périmètres, en particulier dans les grands groupes, en matérialisant leur avancement.

Par la suite, chaque évaluation donne lieu à un rapport en deux parties :

Une partie pour le top management avec les ratios budgétaires, ressources humaines et le niveau de maturité par rapport aux référentiels internationaux.
Une partie pour les opérationnels de la sécurité avec les bonnes et mauvaises pratiques identifiées, ainsi que les actions à lancer en priorité. L’idée, c’est d’aboutir à des recommandations et des mesures concrètes pour augmenter le niveau de l’organisation.

Dans quels cas utiliser le CyberBenchmark ?

Pour moi, c’est l’outil idéal pour une organisation qui souhaite identifier rapidement ses priorités en cybersécurité.

Les premiers résultats sont rapides : en un mois, nous sommes en mesure de produire un livrable à présenter au Comité Exécutif, avec des propositions d’actions concrètes.
C’est l’un des rares outils du marché à offrir une comparaison par rapport aux concurrents.
A la différence des frameworks classiques, notre questionnaire traite à la fois de problématiques de gouvernance et opérationnelles.

Le CyberBenchmark a aussi l’avantage de se décliner pour tous les besoins et les budgets.

L’approche « rapide » ne nécessite que quelques entretiens, et repose sur une évaluation déclarative pour rapidement détourer le niveau de maturité de l’entreprise et les projets à lancer.
L’approche « complète » repose sur un audit approfondi, de plusieurs dizaines d’entretiens et une revue des preuves voire des tests techniques complémentaires (test d’intrusion, Red Team…)

Peux-tu donner un exemple d’utilisation concret du CyberBenchmark ?

Pour illustrer l’approche « rapide », nous l’avons utilisé récemment pour accompagner un grand groupe industriel qui voulait initier une démarche de sécurisation et interpeller son comité exécutif. Après 2 mois de travaux et 5 ateliers de travail, nous avons pu restituer une vision claire du niveau de cybersécurité de la structure et projeter un niveau cible à 3 ans, qui a été accepté par le Comité Exécutif.

En termes d’approche complète, nous avons accompagné ces derniers mois une banque britannique pour évaluer finement son niveau de conformité par rapport aux cadres de référence et sa posture générale en cybersécurité. Dans ce cadre, nous avons mobilisé une équipe de 10 consultants sur 3 pays différents pour réaliser plus de 50 ateliers, en collectant des preuves pour amener un retour concret et fiabilisé du niveau de sécurité tout en identifiant par rapport au marché les points sur lesquels ils devaient investir en priorité. Ces éléments sont également utilisés dans les échanges avec leurs principaux régulateurs.

Un mot pour la fin ?

Le CyberBenchmark de Wavestone fournit une vision large du niveau de maturité du marché, tout en entrant dans des sujets techniques très précis. C’est ce qui en fait un atout différenciant pour nos clients c’est qu’ils ont la capacité de se positionner face aux entreprises de leur secteur sur chacune de leurs thématiques. Les priorités en matière de cybersécurité ressortent alors clairement, ce qui permet de construire efficacement son budget cyber. Il s’agit d’un réel accélérateur de stratégie cyber, testé et approuvé par de nombreux clients !

Grâce aux données exclusives du CyberBenchmark, nous pouvons sortir des statistiques et des tendances très facilement : combien d’entreprises ont déployé un outil de sécurité (EDR, bastion, sondes…) et où en sont-elles sur le déploiement, qui est en avance sur le marché… Par exemple, d’après notre dernière étude sur la maturité des entreprises françaises, le niveau de maturité général sur notre référentiel basé sur les normes internationales (NIST CSF Framework et ISO 27001/2) est de… 46% en moyenne. Chaque année, nous formalisons notre connaissance du marché, et nous anticipons les tendances fortes par secteur et sujet technique.

Enfin, vous l’aurez compris, le CyberBenchmark vit et se développe au fur et à mesure qu’il est utilisé pour de nouvelles entreprises. Nous disposons aujourd’hui d’une base de près de 100 entreprises ce qui va nous permettre dès janvier d’ouvrir une nouvelle catégorie : « Luxury goods & retail », comportant plus d’une dizaine d’entreprises sur lesquelles nous pourrons affiner les analyses relatives à leur secteur d’activité.

Si vous êtes intéressés pour positionner votre organisation par rapport au marché, n’hésitez pas à me contacter ou à prendre contact avec nos experts : nous pourrons vous accompagner sereinement dans cette démarche.

Cet article Interview : Un mois pour évaluer votre posture en cybersécurité ! est apparu en premier sur RiskInsight.

Faire de son tableau de bord un véritable outil de pilotage face aux menaces cyber

Mathieu Bouchot — Thu, 08 Dec 2022 15:00:00 +0000

Les tableaux de bord sont un outil indispensable du RSSI pour mesurer et maîtriser les risques de son périmètre, piloter ses projets et informer son management de l’évolution de la santé cyber de son entreprise. Or, 47% des entreprises ont des indicateurs ou des tableaux de bord insuffisants, selon les données du Cyberbenchmark de Wavestone en 2022. En pratique, les indicateurs définis ne procurent souvent qu’une simple visibilité sur un périmètre, et n’apportent que peu de précision sur l’atteinte des objectifs stratégiques et opérationnels de l’entreprise. Sans mesurer correctement les écarts, il est compliqué de déployer des actions correctrices pertinentes, de définir les priorités d’exécution et de concentrer effort et budget sur les périmètres les plus à risque.

Plus risqué encore serait d’avoir confiance en ses tableaux de bord mais sans garantie de la pertinence et de la fiabilité des indicateurs, ce qui ne peut mener qu’à des erreurs, voire à des incidents majeurs. Le crash de l’avion Eastern Airlines 401 en 1972 en est un exemple frappant : une simple ampoule grillée qui servait à indiquer le bon déploiement du train d’atterrissage a mobilisé tout l’équipage, qui n’a pas pu voir à temps l’alarme qui indiquait la baisse d’altitude drastique de l’avion. L’avion s’écrase quelques minutes plus tard.

Comment repenser sa base d’indicateurs pour rendre ses tableaux de bord performants et fiables ?

Les tableaux de bord, KRI, KCI, quézako ?

Le tableau de bord est un outil de synthèse et de présentation. Il permet de mettre en avant les tendances clés d’un périmètre pour éclairer la prise de décision. C’est un véritable outil fédérateur pour fluidifier la gouvernance et destiné à tous (et pas seulement au RSSI). C’est pourquoi nous parlons de tableaux de bord au pluriel. Chaque instance est définie par un périmètre unique, où sont spécifiés : les destinataires et leurs enjeux, la fréquence de revue, la gouvernance associée, les indicateurs, leurs méthodes de calcul et leur source, etc.

Les tableaux de bord définis correctement permettent alors de répondre aux enjeux métiers des acteurs concernés. Une segmentation en trois niveaux permet de résumer tous les types de besoins dans une organisation :

Figure 1 : Typologie des tableaux de bord cyber : usages et objectifs

Un indicateur, quant à lui, est une mesure collectée qui est contextualisée et qui permet d’aider à la prise de décision. Il est mis en place pour répondre à un besoin clairement identifié par un ou plusieurs métiers. Selon la finalité de la mesure, trois types d’indicateurs peuvent être définis :

KPI (Key Performance Indicator): mesure la performance d’un service, d’une équipe ou d’un plan stratégique. Ils sont liés à des objectifs stratégiques pour mesurer leur efficacité (exemple : capacité de rétention des talents cyber sur l’année).
KRI (Key Risk Indicator) : apprécie un risque redouté, quantifiant sa vraisemblance et/ou son impact à un instant donné. Indispensables pour accepter ou refuser un risque, ils permettent également de vérifier sa maîtrise dans le temps (exemple : nombre d’identifiants professionnels compromis – account take over).
KCI (Key Compliance Indicator): mesure un taux de conformité par rapport à un référentiel (PSSI, NIST, etc.). Ils évaluent la maturité de l’organisme au regard dudit référentiel à un instant donné (exemple : % de politiques actualisées depuis moins d’un an).

Comment rendre un tableau de bord performant ?

Un tableau de bord performant permet de transmettre des messages autoporteurs aux destinataires. Pour le construire, il faut construire minutieusement des indicateurs fiables, performants et minimiser leur nombre. Ces derniers sont définis en faisant un compromis entre :

sa pertinence (finalité de traitement, soit la capacité à déclencher une discussion) ;
son coût de calcul (temps de collecte, temps d’interprétation) ;
et sa maintenabilité dans le temps (durabilité des sources des données).

Prenons un exemple pour chercher à évaluer l’efficacité des mesures « security-by-design » du processus ISP. Un indicateur pertinent pourrait être : « taux de validation du PV de sécurité à la première itération par périmètre et criticité des projets ». Il est déjà viable opérationnellement : le processus d’homologation fournit la donnée simple d’interprétation (valeurs binaires). Il est pertinent (répondant à un enjeu clairement identifié), peut être facilement calculable si les processus sont bien mis en place (caractéristique dépendant de la qualité de la remontée d’information) et durable (le processus d’homologation garanti des données fiables dans le temps).

Un socle d’indicateur défaillant néglige généralement l’un des trois critères cités précédemment. Cela se vérifie sur le terrain : il est courant d’observer des agglomérats d’indicateurs, hérités par tradition sans réelle finalité ou répondant à un besoin révolu, ou bien des indicateurs nécessitant une collecte chronophage qui génère des frustrations dans les équipes. Ces écarts peuvent s’expliquer par un passif construit au fil de l’eau, sans y accorder une grande importance avec une absence de revues.

Pour y remédier, l’existant doit être assaini et complété avec des indicateurs performants de manière périodique (méthodologie détaillée dans la partie 3.1) : le pilotage des indicateurs en lui-même est un enjeu tout aussi important que les autres. Il doit donc être suivi comme tel par un responsable dédié dans l’équipe de gouvernance du RSSI et par des indicateurs de pilotage dédiés (% des indicateurs définis avec une méthode de calcul approuvée, % d’indicateurs complètement automatisés, etc.). C’est avec cette gouvernance centrale que des compromis peuvent être trouvés pour minimiser le nombre d’indicateurs : une dizaine par périmètre / programme est un ordre de grandeur qui fonctionne généralement bien.

Augmenter l’engagement des équipes pour avoir des données plus exploitables

Ce n’est pas nouveau : faire accepter un changement et des nouveaux outils est toujours un sujet épineux, notamment pour les RSSI. Complexité de l’environnement, manque de dialogue entre les équipes cyber ou entre les métiers, outils inadaptés, données collectées inutiles ou non analysées… les raisons ne manquent pas pour expliquer le manque d’engagement des équipes. Pour y arriver, deux axes sont à retenir :

Rendre ses collaborateurs actifs dans le cycle de vie de l’indicateur ;
Faciliter la remontée d’indicateur avec l’autonomisation pour minimiser leur charge de travail.

Rendre ses collaborateurs acteurs tout au long du cycle de vie de l’indicateur

La complexité organisationnelle des équipes et générer un engagement local sont les premiers défis qui doivent être résolus avant de déployer un tableau de bord : la maille de la collecte d’information nécessite de faire dialoguer des métiers qui n’ont pas l’habitude de travailler ensemble (finance, risque IT, stratégie, direction de programme, etc.). Impliquer durablement vos équipes opérationnelles est vital pour fiabiliser le processus de collecte et de remontée d’indicateurs. Plus spécifiquement, cela permet de :

Définir des indicateurs plus proches de la réalité, pour lever des points de blocage (donnée non disponible, problème de communication, etc.) ;
Adresser plus précisément les besoins opérationnels: il est nécessaire de rendre les équipes intéressées par les résultats du projet (i.e. s’assurer qu’ils aient des retombées concrètes dans leur travail) ;
Faire accepter le changement plus simplement pour gagner en fiabilité sur le long terme : leur implication passe par une bonne compréhension de la finalité des indicateurs collectés.

Il est nécessaire d’impliquer ses collaborateurs dès le début du processus, et de conserver cette dynamique tout au long du maintien en condition opérationnel de l’indicateur. Des workshops transverses doivent être organisés tout au long du processus ci-après, pour aider à la définition d’indicateurs ou à leur remise en question.

Figure 2 : Cycle de vie de l’indicateur et maintien en condition opérationnelle

Faciliter la collecte et la remontée des informations avec l’automatisation et des outils appropriés

Bien qu’une collecte manuelle apporte une flexibilité pour tester et éprouver les nouveaux indicateurs, une collecte (semi) automatisée augmente la productivité des équipes et fournit des données plus fiables.

Selon la nature des données, leur volatilité, leur format ou selon la difficulté de maintenance, il n’est pas toujours rentable de tout automatiser. Surtout qu’il est assez coûteux d’automatiser le processus de collecte et de reporting. Il faut en moyenne une année complète pour y arriver ! Par conséquent, délimiter le périmètre d’automatisation est un prérequis avant de commencer le projet.

Pour faire passer à l’échelle et automatiser un spectre plus large d’indicateurs, une meilleure culture d’entreprise autour de la donnée doit être mise en place. C’est avec des données organisées, référencées, standardisées qu’il est possible de réduire le coût de l’automatisation. Comment ? Il faut :

Définir une vision et des objectifs dans l’organisation pour contrôler, référencer et manager la donnée ;
Définir une politique et des règles portées par le top management pour réguler l’utilisation et la standardisation des données ;
Promouvoir une culture de la donnée auprès des équipes métiers, pour refléter la façon dont les données sont prisées et utilisées ;
S’équiper d’outils pour porter les politiques et la stratégie data de l’organisme (Master Data Management, Data catalog, Data lineage, etc.).

Pour devenir « orienté données » (data-driven), les points de blocage ne sont pas technologiques, mais plutôt organisationnels, notamment sur les compétences et la capacité à accepter les changements.

A la clé, l’automatisation rend la collecte des données « mieux vécue » par les collaborateurs, et fiabilise dans le temps les remontées d’indicateurs.

Parler à son exécutif : l’intérêt de limiter les indicateurs

Pourtant sous-exploité pour son côté « marketing », un tableau de bord bien construit est un excellent moyen d’adresser et d’impliquer son Comité Exécutif (COMEX). En 2021, encore 25% des entreprises n’ont jamais sollicité leur COMEX, et seul 30% du marché les impliquent régulièrement.

Le tableau de bord doit être autoporteur (i.e. compréhensible à la première lecture), puisqu’il est voué à être communiqué au plus grand nombre. Au quotidien, le COMEX solutionne des problèmes, accepte ou refuse des risques, veille à la performance budgétaire et à l’efficacité opérationnelle, se soucie de la satisfaction des clients et de l’image publique de l’entreprise, etc. Pour réussir à parler avec son COMEX, le tableau de bord doit porter des messages concis et percutants pour aller à l’essentiel et répondre spécifiquement à leurs enjeux. Pour cela, il est plus utile de mettre en avant des mesures et des solutions concrètes que d’expliquer en profondeur les causes techniques d’un problème (sauf si ce besoin est clairement exprimé).

Présenter à son management le ratio d’équivalent temps plein (ETP) cyber sur les ETP IT par entité ou le ratio du budget en cyber avec celui de l’IT peuvent être deux approches viables pour informer et prendre des décisions sur les ressources en cybersécurité.

En somme, le choix des indicateurs et leur mise en forme doivent s’adapter au COMEX. Ils doivent :

Être centrés sur les impacts business potentiels ;
Être constants dans le temps pour avoir une base d’indicateur stable et faciliter l’appropriation et la compréhension ;
Avoir une forme autoporteuse pour visualiser l’évolution d’une tendance et son écart avec l’objectif fixé.

Conclusion

Un tableau de bord n’est qu’un outil, qui ne doit pas être considéré comme une fin en soi. En revanche, correctement configuré et défini, c’est certainement la meilleure arme d’un RSSI pour fluidifier la gouvernance cyber.

Pour mettre en place ou mettre à jour son tableau de bord, 4 facteurs de succès sont à retenir :

Incrémental: identifier des indicateurs durables est difficile. A l’exception des tableaux de bord destinés aux COMEX, une approche agile est nécessaire pour avoir le temps de se poser les bonnes questions.
Inclusif: toutes les équipes doivent être impliquées. L’implication passe par la compréhension de la finalité des données collectées (et des retombées sur leur travail) et aboutit sur une fiabilité renforcée.
Evolutif: l’écosystème cyber et ses menaces ne font que croître exponentiellement. Cette volatilité doit rendre l’outil évolutif pour avoir la capacité d’étoffer le socle standard de sécurité avec de nouveaux indicateurs de risque (KRI).
Simple: l’essence du tableau de bord est d’être partagé. Par conséquent, il se doit d’être compréhensible à la première lecture. « Keep it simple » pour simplifier la lecture et accélérer l’appropriation.

Cet article Faire de son tableau de bord un véritable outil de pilotage face aux menaces cyber est apparu en premier sur RiskInsight.

Excellence opérationnelle : l’enjeu d’organiser un pilotage budgétaire de la cybersécurité dans l’entreprise

Nicolas Gauchard — Tue, 19 Apr 2022 09:00:00 +0000

Les multiples objectifs du pilotage budgétaire

Depuis quelques années, les entreprises voient leur budget de cybersécurité exploser : il a augmenté de 51% depuis 2018, selon les rapports Gartner[1]. Il est maintenant demandé aux RSSI de maîtriser les coûts de cybersécurité et d’en rendre compte à la direction voire au régulateur.

Or, cette hausse du budget consacré par les grandes entreprises à la sécurité des systèmes d’information ne s’est pas toujours accompagnée d’un pilotage budgétaire. Ainsi, certaines entreprises lancent des projets de suivi et de collecte des coûts cybersécurité, dans l’espoir de mieux comprendre leur évolution et de prendre les bonnes décisions stratégiques pour augmenter le niveau de sécurité tout en optimisant le budget. Mais la mise en place d’un pilotage budgétaire est un processus complexe qui doit répondre à des objectifs précis.

Dans quelle mesure l’installation d’un pilotage budgétaire de la cybersécurité est un enjeu clé pour les RSSI des grandes entreprises ?

Nos expériences auprès de nos clients révèlent qu’une collecte des budgets de cybersécurité et l’instanciation de leur pilotage sont souvent des exercices à la finalité utile ; un rapport issu d’un tel exercice est un outil de gouvernance précieux. Nous allons examiner dans ce premier volet les bénéfices qu’amène une collecte des coûts régulière et industrialisée et son utilité véritable.

Prendre des décisions d’investissement pour piloter efficacement la cybersécurité

Le rapport budgétaire final est un véritable outil de gouvernance menant vers l’excellence opérationnelle. En effet, il permet de répondre à la question suivante : le budget cybersécurité de l’entreprise est-il utilisé efficacement ?

Le pilotage budgétaire permet donc de vérifier que les investissements sont alignés avec les risques principaux auxquels l’entreprise fait face. À titre d’exemple, une société pourrait se rendre compte que ses investissements dans une thématique du référentiel NIST sont particulièrement faibles. Si, de surcroît, des audits montrent que le niveau de sécurité est insuffisant sur cette thématique, alors le constat est clair : il est nécessaire de consacrer plus de budget à ce sujet. Dès lors, le rapport budgétaire est un des éléments qui permettent de prendre une décision d’investissement chiffrée sur cette thématique.

Exemple d’un visuel d’un rapport budgétaire présentant les budgets par activités NIST. Dans cet exemple, le rapport budgétaire souligne de faibles investissements dans la thématique « Gestion des identités et des accès ». Si des indicateurs opérationnels montrent que le niveau de maturité du Groupe est faible sur ce thème NIST, alors il sera évident que l’entreprise a tout intérêt à faire des investissements plus importants sur ce sujet.

De plus, le détail des chiffres du budget à l’échelle des entités du Groupe est précieux pour ces dernières lorsqu’il leur est partagé de manière transversale. En effet, il leur offre un véritable outil de benchmark interne qui leur permettra de se positionner par rapport à leurs semblables. Les RSSI des différentes entités concernées pourront échanger directement entre eux afin de partager des bonnes pratiques de cybersécurité et identifier les meilleurs exemples opérationnels implémentés par leurs pairs.

Prendre des décisions d’optimisation pour atteindre l’excellence

Le pilotage budgétaire permet d’identifier des opportunités d’optimisation au niveau des entités ou du Groupe, afin d’améliorer l’efficacité de la cybersécurité.

Le rapport budgétaire est un atout pour mieux piloter les ressources humaines dédiées à la cybersécurité. Par exemple, il permet d’estimer les parts d’employés internes et des ressources externes et de procéder aux ajustements nécessaires. A la lecture du rapport budgétaire, la Direction pourrait lancer un programme d’internalisation si elle se rend compte que la part d’externes est trop importante. Elle peut aussi changer la répartition géographique des ressources humaines afin de mieux répondre aux exigences de sécurité des entités dans différents pays et de jauger la répartition onshore /offshore.

Exemple d’un visuel d’un rapport budgétaire présentant le nombre d’employés en cybersécurité. Dans cet exemple, le graphique révèle un risque que la part d’internes soit trop faible pour maintenir l’expertise en interne. Il pourrait donc être intéressant de lancer un plan d’internalisation.

La consolidation du budget de cybersécurité donne l’occasion de réaliser des économies et d’automatiser ou de mutualiser des activités. Le pilotage budgétaire peut alors se traduire par des décisions de massification de contrats, de rationalisation ou d’automatisation afin de garder la maîtrise des coûts de cybersécurité.

Connaître son budget de cybersécurité pour répondre aux autorités et communiquer en externe

Lorsque le budget cyber de l’entreprise fait l’objet de contrôle par des autorités régulatrices, il sera nécessaire de disposer d’un processus de collecte dédié afin d’être en mesure de fournir une décomposition fiable des coûts de sécurité informatique. Une collecte budgétaire bien menée permettra la création de données analytiques, puis de livrables qui serviront de base à des réponses précises et avisées. Par exemple, la Banque Centrale Européenne a notamment demandé à certaines organisations bancaires de présenter le détail des ressources humaines consacrées à la sécurité des systèmes d’information pour contrôler la préparation des banques européennes aux risques liés à la cybersécurité [2].

Aussi, une vision synthétique permettra de communiquer avec certitude sur l’état des budgets et des dépenses consacrées à la sécurité et ce auprès de tout tiers intéressé. A titre d’exemple, la banque américaine JP Morgan Chase a expliqué dans sa lettre aux actionnaires d’avril 2019 que la cybersécurité était une de ses préoccupations majeures. Elle a indiqué consacrer plus de 600 millions de dollars par an à la sécurité informatique et employer 3000 personnes qui travaillent sur le sujet [3].

Enfin, la connaissance de son budget est également importante dans le cadre de la souscription d’une cyber assurance, pour prouver les moyens mis dans la cybersécurité. Par ailleurs, lors d’une fusion-acquisition, les ressources investies en cybersécurité sont souvent prises en compte dans la valorisation d’une entité.

Ainsi, il apparaît particulièrement utile pour les grandes entreprises d’avoir un processus de collecte des coûts de cybersécurité. En effet, il permet aux décideurs de prendre connaissance des montants consacrés par le groupe à la sécurité des systèmes d’information et de piloter la stratégie. Cependant, la construction d’un rapport budgétaire pertinent repose sur la mise en place préalable d’un processus de collecte de données exhaustif, méthodique et standardisé. Le prochain volet de cette série détaillera le cadrage et la mise en place en place d’un processus de pilotage budgétaire.

Références

[1] « Gartner Forecasts Worldwide Information Security Spending to Exceed $124 Billion in 2019 », août 2018, https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019

[1] « Cybersecurity spending trends for 2022: Investing in the future », décembre 2021, https://www.csoonline.com/article/3645091/cybersecurity-spending-trends-for-2022-investing-in-the-future.html

[2] « Cybersecurity for the financial sector », https://www.ecb.europa.eu/paym/pol/shared/pdf/qa_cybersecurity.pdf

[2] « Face au risque de cyberattaque, la BCE demande aux banques d’être prêtes», février 2022, https://www.latribune.fr/entreprises-finance/banques-finance/banque/face-au-risque-de-cyberattaque-la-bce-demande-aux-banques-d-etre-pretes-903841.html

[3] « CEO Letter to shareholders », août 2019, https://www.jpmorganchase.com/content/dam/jpmc/jpmorgan-chase-and-co/investor-relations/documents/ceo-letter-to-shareholders-2018.pdf

Cet article Excellence opérationnelle : l’enjeu d’organiser un pilotage budgétaire de la cybersécurité dans l’entreprise est apparu en premier sur RiskInsight.

Fraude au Président : testée par mon CISO, je vous raconte !

Noëmie Honoré — Mon, 24 Jan 2022 09:00:00 +0000

Je vous parle souvent de sensibilisation à la cybersécurité. Je partage les concepts, les bonnes pratiques mais aujourd’hui, je prends la plume avec un autre point de vue : celui de la personne sensibilisée !

Eh oui, les experts ne sont pas exempts des actions de sensibilisation… Je vous raconte la petite histoire, en espérant qu’elle vous serve vous aussi à faire passer vos messages au sein de vos organisations.

Tout commence un mardi à 15h34. Je reçois un whatsapp de mon CEO (c’est ce que je crois à ce moment-là !). Le message est le suivant :

« Bonjour Noémie, est-ce que tu es disponible? j’aurais besoin de parler avec toi d’une acquisition confidentielle en Belgique. Pascal »

Je prends connaissance du message 10 minutes plus tard et réponds que je peux me libérer et avoir ce call. Dans ma tête, je me pose quelques questions : une acquisition, mais qui cela peut-il bien être ?, à quel stade des discussions en sont-ils ?, nos zones prioritaires sont aux US et UK, ce serait donc un cabinet plus gros ?… Bref, le niveau de stress monte un peu et je veux en savoir plus. A ce stade, rien indique le moindre indice d’une fraude ou arnaque et je ne vois pas de risque particulier. Je suis plutôt dans l’interrogation…

2 minutes à peine après mon message, la réponse suivante apparaît :

« Pas besoin, mais je vais avoir besoin que tu prépares un virement rapidement, je t’envoie les informations bancaires dans quelques minutes. Merci

A ce moment-là, je vous avoue que ça fait tilt en un éclair ! Une chose est claire : c’est un piège ! Il est urgent de ne rien faire

Je décide alors d’investiguer car l’action qu’on me demande n’est pas normale :

Le numéro de téléphone du contact whatsapp n’est pas celui que j’ai dans mon répertoire
La photo est bien celle de Pascal mais c’est une photo assez répandue donc facile à obtenir

J’envoie alors 2 messages en parallèle :

Le premier à mon CEO, au numéro de téléphone enregistré dans mon répertoire. Je fais un screenshot de la discussion whatsapp et lui demande « Bonjour Pascal, visiblement ce n’est pas toi ! Tu confirmes ? »
Le second à cet expéditeur sur whatsapp : « Tu me testes ? »

La réponse sur whatsapp ne tarde pas à arriver : « Bien joué ! ». Un message plus complet de sensibilisation suit alors pour me préciser :

Qu’il s’agissait d’une campagne de sensibilisation à la fraude au président
Que les cas sont malheureusement fréquents et que plusieurs attaquants tentent de se faire passer pour un membre de la direction générale, par SMS, réseaux sociaux ou mail en changeant simplement une photo ou le nom
Ce qu’est la fraude au président et l’objectif des attaquants : te faire croire qu’ils ont un sujet prioritaire et confidentiel à traiter avec toi, comme une acquisition, qui nécessite un paiement en urgence hors processus en leur faveur.
Les règles à suivre en cas d’attaque, les indices pour déjouer les attaques et le contact sécurité à alerter

Comme vous voyez, l’histoire finit bien mais malheureusement ce n’est pas toujours le cas. A froid, on peut penser que c’est assez simple de déjouer l’attaque.

Au-delà de l’exemple, c’est la gestion des émotions que je voudrais partager avec vous. Cet exercice, bien ficelé (mais tellement crédible !) m’a d’abord mise en confiance avec une demande importante mais sans action à risque de ma part. L’importance de la demande a généré des questions, un peu de stress, des émotions à maitriser pour garder la lucidité dans la décision et mes actions. Je suis personnellement familière avec ce sujet, je connais la théorie mais je vous assure que la mise en situation réelle a été précieuse ! Je sais désormais qu’un flot d’émotions apparait (elles ne seront plus nouvelles la prochaine fois !), je suis rassurée que mon bon sens me permet de garder la lucidité pour investiguer, sans me précipiter, et de ne pas prendre de mauvaise décision. J’ai remercié mon CISO à la suite de l’exercice. Je comprends concrètement les bénéfices de la pratique et cette expérience en est la preuve, et notamment pour les experts, qui peuvent se sentir à l’abri (on sait ce qu’il faut faire !) – je ne me mettais pas dans cette catégorie -, qui se demandent s’ils sauraient mettre en pratique la théorie et ne pas tomber dans le piège…

Entrainer vos people, les experts, c’est leur permettre d’être meilleurs, d’être prêts (mais pas forcément d’être parfaits !) car la situation ne sera plus nouvelle, les émotions ne seront pas inconnues… Pour briller le jour J, la préparation est un ingrédient essentiel et ça vaut pour tous !

[Rappel] Quelques éléments clés de la fraude au Président

Mise en confiance (photo, ton utilisé, choix des mots, etc.) par l’attaquant ou climat d’autorité
Urgence, stress : des émotions qui créent une pression et vient perturber la lucidité
Demande de réalisation d’actions inhabituelles, anormales et dans un délai court

Cet article Fraude au Président : testée par mon CISO, je vous raconte ! est apparu en premier sur RiskInsight.

Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ?

Wajih JMAIEL — Mon, 29 Nov 2021 08:24:52 +0000

La sécurité des sauvegardes est un sujet qui préoccupe de plus en plus les grands comptes, souvent dans le cadre d’initiatives pour améliorer leur cyber-résilience. Les sauvegardes sont en effet le dernier recours lors d’une cyber-attaque, lorsque toutes les mesures de protection, de détection et de réponse n’ont pas suffi : il faut restaurer rapidement le système d’information à partir des sauvegardes.

Les attaquants ont bien compris cet enjeu et nous voyons de plus en plus de cyber-attaques touchant les sauvegardes. Comme le souligne le benchmark 2021 des cyber-attaques en France, dans 21% des attaques par ransomware, les systèmes de sauvegarde ont été ciblés jusqu’à être rendus inutilisables.

Quel est le mode opératoire des attaquants pour atteindre les sauvegardes ?

Tout d’abord, les sauvegardes peuvent être touchées en tant que dommage collatéral. Ce fut le cas il y a quelques années lors d’une cyber-attaque chez l’un des clients du CERT-Wavestone : l’infrastructure de gestion des sauvegardes a elle-même été chiffrée par le ransomware et il a fallu la reconstruire avant de pouvoir restaurer les sauvegardes.

Lors d’attaques par ransomware, les attaquants peuvent aussi cibler directement les sauvegardes pour forcer leur cible à payer la rançon. Par exemple, il y a moins d’un an lors d’une réponse à incident du CERT-Wavestone, l’attaquant avait pris soin de détruire toutes les sauvegardes avant de chiffrer le système d’information du client. Il avait pu arriver à ses fins car l’infrastructure de gestion des sauvegardes était administrée à travers un compte dans l’Active Directory. L’attaquant ayant réussi à élever ses privilèges au plus haut niveau, il a pu aisément se connecter sur l’infrastructure de sauvegarde et supprimer toutes les données sauvegardées.

Des premières mesures de protection peuvent déjà fortement réduire le risque

Dans 100% des crises ransomware gérées par le CERT-Wavestone, l’attaquant possédait des comptes d’administration du domaine Active Directory. Pour empêcher l’attaquant d’atteindre les sauvegardes par ce biais, il faut donc séparer l’infrastructure de sauvegarde de l’Active Directory : s’assurer que les comptes d’administration des sauvegardes ainsi que les serveurs de sauvegarde sont hors Active Directory (NB : cela n’empêchera pas cette infrastructure de sauvegarder les ressources gérées dans l’Active Directory).

Pour réduire davantage le risque de compromission d’un compte d’administration, il faut aussi renforcer l’accès d’administration des sauvegardes, avec par exemple une authentification multi-facteur (MFA).

Par ailleurs, les attaques par ransomware se propageant souvent sur le même système d’exploitation, il peut être intéressant d’adopter un système d’exploitation différent pour l’infrastructure de sauvegarde. Sinon, a minima effectuer une copie du catalogue de sauvegarde (base de données contenant les pointeurs vers les sauvegardes) sur un système d’exploitation différent, afin de permettre une restauration rapide de l’infrastructure de sauvegarde en cas de compromission.

En complément, il est parfois possible d’appliquer des mesures de rétention des données sauvegardées au niveau de la technologie de stockage des sauvegardes, comme l’application d’un délai avant la suppression réelle des données ou bien la conservation d’une copie (ou snapshot) sur la baie de stockage. Cela permet de s’accorder un délai d’un ou plusieurs jours avant la perte complète des données en cas de suppression.

Pour aller plus loin…

Différentes initiatives émergent, visant à standardiser les mesures de protection des données face à la menace grandissante (e.g. Secure Tertiary Data Backup Guideline par la HKAB – Hong Kong Association of Banks, Sheltered Harbor aux Etats-Unis…).

Par ailleurs, les éditeurs de solutions de sauvegarde construisent leurs solutions en prenant en compte la menace cyber, avec des fonctionnalités de détection de ransomware, des fonctionnalités d’immutabilité (pour rendre les données sauvegardées complètement inaltérables, même pour un administrateur) ou encore des possibilités d’isolation « hors-ligne » des sauvegardes.

Ces solutions peuvent être adoptées en remplacement ou bien en complément de solutions de sauvegarde existantes. Néanmoins, elles nécessitent souvent des investissements importants. Or comme nous l’avons vu, un certain nombre de premières mesures de protection peuvent déjà fortement réduire le risque. Il convient donc de bien identifier les scénarios de menace redoutés et son niveau d’exposition, ainsi que les éventuels besoins de conformité (réglementations, standards…), afin de définir une feuille de route adaptée de montée en maturité.

Cet article se veut être une introduction à la protection des sauvegardes contre les cyber-attaques. Nous aurons l’occasion d’approfondir le sujet dans le cadre de futures publications.

Cet article Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ? est apparu en premier sur RiskInsight.

Créer une relation de confiance avec son comité exécutif : étape 3, concrétiser la transformation !

Gérôme Billois — Fri, 29 Oct 2021 13:11:04 +0000

Après avoir avec succès mobilisé son comité exécutif sur la cybersécurité , avoir fait un bilan réaliste et concret de la situation, vous avez eu un accord de principe pour démarrer un programme de remédiation ! Une belle victoire, et le début d’une aventure pluri-annuel !

Définir les ambitions et cadrer la gouvernance

Le bilan cybersécurité et son benchmark ont permis de positionner le niveau de sécurité actuel de l’organisation, reste maintenant à définir la cible à atteindre et les moyens nécessaires pour le faire. S’engage alors un travail avec les équipes cybersécurité, de la DSI et évidemment du sponsor de niveau comité exécutif ! La cible peut prendre de nombreuses formes mais elle doit dans tous les cas répondre à des enjeux métiers clairs et concrets. « Disposer globalement d’un niveau de sécurité au-dessus de la moyenne pour éviter les attaques les plus fréquentes », « Protéger les données des clients grand-publics », « Assurer la reprise de la production des usines en moins de 4 jours en cas de cyberattaques », pour des structures plus mûres « Rationaliser les investissements cyber en dégageant 20% d’économie à niveau de risque égal » voici quelques exemples d’ambitions rencontrées sur le terrain. C’est au moment de cette définition de la cible que l’on peut adopter une approche basée sur les risques, par exemple avec des cibles différentes entre les métiers ou les entités ; une approche réglementaire en ayant des niveaux différents en fonction des contraintes métiers ou une approche globale.

Chaque cible fera l’objet d’indicateurs de performances ou de risques (KPI/KRI) pour concrétiser la manière dont l’avancement sera mesuré. Ces ambitions sont ensuite traduites en un positionnement concret sur un référentiel de cybersécurité, par thématique et par périmètre. Le plus simple consiste évidemment à reprendre les résultats du benchmark précédent mais l’utilisation d’un autre référentiel est possible. Attention, cependant il va être utilisé pendant toute la durée du programme pour suivre le progrès et piloter les différentes équipes et entités, prévoyez donc une durée de vie d’au moins 2 ans ! La définition du référentiel et des indicateurs est une étape clé pour réussir son programme, prévoyez d’y consacrer du temps, il ne s’agit pas de lancer immédiatement plein de projets techniques sans y mettre la cohérence nécessaire.

Pour le pilotage de ce programme, le RSSI devra savoir s’entourer. Les filières SSI ont rarement l’expérience de porter de telle transformation et des enjeux budgétaires de ce niveau. Une bonne pratique consiste à identifier au sein de l’organisation un directeur de programme expérimenté, habitué aux rouages de l’organisation et à créer un binôme avec le RSSI. Les compétences des deux profils se compléteront naturellement, d’un coté avec l’expertise sécurité, de l’autre avec l’expertise de pilotage d’ampleur. Le choix du binôme est aussi un facteur clé de succès important, n’hésitez pas à y consacrer du temps !

Construire les budgets sur des axes clairs et savoir engager les dépenses

Après avoir reçu l’accord de principe, il faut maintenant structurer clairement l’engagement budgétaire à prévoir. A nouveau, l’enjeu majeur dans la relation avec le comité exécutif sera de faire une proposition claire et précise. Les acronymes, code projets et autres termes abscons sont à bannir. La structure d’une stratégie simple « Protéger l’environnement de travail numérique », « Chiffrer et éviter les fuites des données critiques », « Détecter les attaques sur nos actifs clés » sont quelques exemples de termes utilisés avec succès. La structuration d’un programme autour de 4 ou 5 axes, regroupant une trentaine de projets est un maximum à avoir en tête. Au-delà le reporting et le suivi deviendront trop complexes.

A noter qu’il faudra se rompre à l’exercice budgétaire évidemment sur les actions de construction (« build ») mais aussi sur les coûts additionnels de fonctionnement (« run ») sans cela, la belle remédiation ne tiendra pas longtemps… L’identification également des éléments RH (nombre de recrutements/mobilités, formations à prévoir, évolution salariale, évolution des relations hiérarchiques dans les entités ou les filiales…) sont des éléments clés à cranter dans le programme pour s’assurer de sa pérennité dans le temps. C’est clairement le bon moment pour créer une vrai filière cyber dans l’organisation et la faire piloter par un « Chief operating officer » comme toute filière majeure.

La préparation de ces différents éléments budgétaires devra également prendre en compte la difficulté observées depuis maintenant plusieurs années à pouvoir engager les budgets obtenus. Le marché est en manque criant d’expertise cyber et beaucoup de projets doivent être décalés dans le temps. Il est bon de prendre une marge de manœuvre dans le cadrage des plannings pour intégrer cette situation qui va perdurer. La temporalité d’un programme classique « année 1 cadrage, année 2 réalisation, année 3 contrôle » doit être revue pour plutôt fonctionner par vague de projets de plus petite taille et enclenchée au fil de l’eau. En résumé, il vaut mieux avoir 5 vagues de 5 projets qui aboutissent plutôt que de lancer 25 cadrages simultanément !

A noter également que ces budgets et les priorités vont devoir être revus annuellement, la menace cyber étant très dynamique, il est important de garder des lignes budgétaires souples pour s’adapter à une évolution de la menace inédite comme nous en avons connu ces dernières années.

Montrer le progrès au comité exécutif !

Une fois le programme lancé, l’enjeu sera de montrer au comité exécutif l’avancement et les effets sur les niveaux de risques. Un reporting clair, utilisant des termes simples et lié au référentiel utilisé, ajoutant une vision sur l’avancement des projets et la progression du niveau de risque, doit être prévu de manière trimestrielle voir semestrielle. Pour cranter directement le passage en mode régulier de ce reporting, il pourra être intéressant d’ajouter des indicateurs opérationnels liés au niveau de sécurité. L’enjeu étant à terme de garder un échange au moins semestriel avec le comité exécutif pour maintenir le niveau d’attention sur le sujet cyber. Ces échanges dans la durée peuvent s’articulier avec deux rendez-vous annuels, un autour des risques (évolution de la menace et des risques pesant sur l’organisation), l’autre sur les investissements (effets de projets, enjeux budgétaires et RH de l’année suivante).

Finalement, les structures les plus avancées et celles dont le cœur de métier reposent sur le numérique, peuvent envisager d’utiliser leurs investissements en cybersécurité comme des différenciateurs métiers ! Aujourd’hui les exigences cybersécurité des clients, grand public comme professionnels, augmentent rapidement et il est possible, voire souhaitable, de valoriser les investissements réalisés pour montrer que le sujet de la cybersécurité est une priorité de l’organisation ! Et pour certaines structures, la cybersécurité pourra même devenir un centre de profits, ce qui changera clairement les discussions avec le comité exécutif.

Cet article Créer une relation de confiance avec son comité exécutif : étape 3, concrétiser la transformation ! est apparu en premier sur RiskInsight.

Assises 2021: fighting back aginst ransomware: comment le CAC40 s’organise ?

Gérôme Billois — Mon, 25 Oct 2021 10:42:36 +0000

Les attaques se multiplient et se diversifient tant dans leur déroulé technique que dans les méthodes d’extorsion. Malgré les arrestations récentes et les mouvements diplomatiques, ces attaques Ransomware resteront très prégnantes en 2022. Mais quel est le réel niveau des entreprises du CAC 40 face à cette menace ? Comment ces grands comptes structurent et suivent des programmes anti ransomware de grande ampleur ? Et quels chantiers mettre en place pour anticiper les évolutions à venir ?

Découvrez la présentation des Assises 2021 ci-dessous.

Découvrir la publication

Cet article Assises 2021: fighting back aginst ransomware: comment le CAC40 s’organise ? est apparu en premier sur RiskInsight.

Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions

Gérôme Billois — Wed, 26 May 2021 06:00:14 +0000

Créer une relation de confiance avec son comité exécutif est une action qui se construit dans la durée. Après une 1^ère étape qui passe souvent par la sensibilisation et la remise en perspective du risque cyber pour l’organisation (voir premier article), il s’agit maintenant d’entrer dans le vif du sujet et d’entamer le chemin de la transformation !

Pour transformer, il faut savoir d’où l’on part…

Avant toute transformation, il est important de définir le point de départ et de partager les constats avec le comité exécutif. L’utilisation de standards internationaux pour s’évaluer est évidemment la base, l’ISO 27001/2 et le NIST CSF sont les deux références internationales : l’une plutôt européenne, l’autre plus anglo-saxonne.

Mais ce qui comptera le plus aux yeux des dirigeants, c’est un benchmark basé sur la posture de leurs concurrents et du marché dans lequel il se situe. A ce titre, nous avons développé chez Wavestone, un outillage spécifique et construit une base de comparaison qui regroupe actuellement plus de 50 grandes organisations, majoritairement internationales et basées en Europe. La qualité de cette base est essentielle pour convaincre les dirigeants, qui lors des debriefings demanderont, avec précision et souvent beaucoup de prise de recul, ce qui est fait ailleurs.

Premier élément clé d’une évaluation : poser les bonnes questions et obtenir des réponses utiles ! Dans une grande organisation, il est complexe d’évaluer finement le niveau de conformité aux règles de sécurité. L’utilisation d’une simple notation, sur une échelle classique de maturité – de 1 à 4 par exemple – atteint rapidement sa limite. Ce que nous avons choisi de faire et qui a fait ses preuves sur le terrain, c’est de répondre aux questions en exprimant un pourcentage de périmètre couvert. Par exemple, il est possible d’avoir 80% des postes de travail avec un anti-virus simple et 20% avec un outillage moderne type EDR. La même approche est réplicable sur les questions plus organisationnelles, 50% des utilisateurs sensibilisés par l’envoi d’emails, 30% par le suivi d’un webinar et 20% par des séances en présentiel.

Dans l’inconscient collectif, cette phase d’interrogations paraît souvent longue et très consommatrice d’énergie. Elle peut en effet l’être si l’on souhaite un fort niveau de détail, la collecte de preuves ou des vérifications techniques : cela peut être utile lorsque l’organisation a déjà un fort niveau de maturité. Mais au début d’une démarche, une approche plus simple et efficace, typiquement sur une période courte d’un mois avec une charge d’une vingtaine de jours peut être suffisante pour se donner une vision concrète de la situation et suffisamment d’arguments pour obtenir des décisions et lancer le changement.

Durant la phase de préparation, il sera également important d’identifier en amont les attentes du comité exécutif. Echanger avec les membres les plus concernés autour de leurs attentes, recueillir leur avis sur la bonne manière d’aborder le sujet et les priorités de l’organisation sera essentiel pour garantir la pertinence des phases de questionnement et de restitution. Rien de pire que de faire un hors sujet le jour de la restitution !

… Et partager la réalité de la situation

Après la phase de collecte, viendra ensuite l’heure de l’analyse des résultats. Notre retour d’expérience montre qu’il est efficace de combiner plusieurs vues pour donner du sens et obtenir de l’engagement. Les classiques rosaces de conformité à l’ISO ou au NIST sont évidemment des incontournables mais s’avèrent souvent peu efficaces : trop d’axes, trop d’éléments mélangés qui donnent finalement toujours des notes moyennes.

Comme évoqué dans le billet précédent, deux indicateurs feront mouche au début de l’échange : le budget dédié à la cybersécurité et les effectifs mobilisés sur la cybersécurité. L’indicateur de budget est toujours délicat à manipuler (forte variation annuelle et méthode de comptabilisation non homogène), nous préférons souvent utiliser celui des effectifs plus stables et plus fiables). Ensuite, il est selon nous efficace de dérouler l’analyse sur 3 axes :

Le 1^er, c’est la résistance de l’organisation aux dernières attaques connues. Elément clairement le plus efficace en debriefing avec le comité exécutif, il permet aussi d’attirer l’attention au début de la restitution. Pour réaliser cette vue, nous utilisons les retours opérationnels du CERT-W pour savoir quelles sont les dernières méthodes d’attaques des cybercriminels et nous réalisons une analyse des mesures qui sont concernées.
Le 2^ème, c’est la posture face au marché, en croisant le niveau de conformité par rapport aux référentiels internationaux (type : « je vise 75% de conformité à l’ISO ») avec l’écart à la moyenne du marché pour l’organisation concernée (« sur la sécurité du poste de travail, je suis 3 points en dessous du marché. Sur la sécurité physique, je suis 2 points au-dessus »). Croiser ces deux axes permet d’identifier les zones prioritaires (celles où vous êtes en dessous des standards internationaux mais aussi en dessous du marché) de celles où il ne faut pas s’acharner (tout le marché est en dessous des référentiels internationaux, mais vous êtes au-dessus de la moyenne du marché).
Le 3^ème, c’est une vue orientée « acteurs » de la transformation, organisée par les grandes entités qui seront en charge de la transformation (par exemple : au sein de la DSI, le réseau, les postes de travail, les serveurs, au sein de la direction des risques…). Cette vue est très utile pour conclure l’échange car elle met dans l’action et permet de montrer qui va devoir le plus s’investir.

Bien sûr, ces différentes vues peuvent être segmentées en fonction des pays ou des grandes unités organisationnelles pour refléter d’éventuelles disparités ou attentes de la direction.

Dans cette phase de restitution, notre retour d’expérience montre que les comités exécutifs sont de plus en plus sensibles aux sujets liés à la cybersécurité et vont poser des questions très précises et concrètes. Il faut donc s’armer de preuves et d’éléments factuels concernant l’organisation. Avoir à disposition des résultats d’audits récents, de chiffres concrets sur la durée requise pour réussir une intrusion voire même des vidéos de démonstration d’attaques peut faire basculer un comité exécutif qui prendra conscience du risque.

Entamer dès maintenant l’étape 3: la transformation de l’organisation

Décrire la situation, les difficultés et les axes de progression ne doit pas être une fin en soi. Il faut préparer des premiers arguments sur la conduite du changement. Qui doit porter la transformation ? Quelles sont les volumes financiers à prévoir ? Quel planning envisager ? Quel reporting effectuer ? Et surtout quel sponsor dans le comité exécutif pour suivre ce sujet ! Sans être une partie formelle de la restitution, amener ces éléments à la fin de l’échange permet de préparer l’étape suivante et de collecter des premières orientations.

Ces questions sont évidemment très dépendantes de l’organisation mais nous voyons des tendances se dessiner. Aujourd’hui, c’est majoritairement le RSSI au sein de la DSI qui porte la transformation, souvent épaulé par un directeur de programme expérimenté connaissant bien la structure. Concernant les budgets, pour des programmes de remédiation majeurs, les sommes oscillent dans le secteur financier entre 200 et 800 millions d’euros, et dans l’industrie entre 50 et 100 millions. Ces sommes sont engagées usuellement sur des programmes de 2 ou 3 ans et sont suivies par le comité exécutif à l’échelle trimestrielle au lancement puis un rythme semestriel peut être pérenniser.

Pour conclure la session, le plus important reste de définir la prochaine étape. Même si toutes ces restitutions n’amènent pas le lancement de programme d’investissement immédiatement, il peut être utile d’évoquer que la revue des risques prend en compte ces résultats ou proposer la réalisation d’un benchmark à nouveau l’année suivante.

Cet article Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions est apparu en premier sur RiskInsight.

Les filières sécurité au bord du burn-out – tentatives d’explication

Matthieu Garin — Mon, 12 Apr 2021 09:00:41 +0000

Arrêts maladie à répétition, insomnies, repli sur soi-même… je suis frappé de voir à quel point les filières sécurité des entreprises sont sous forte pression depuis quelques années ! Alors évidemment, on entend partout que les menaces s’intensifient et que les RSSI craignent de voir leur responsabilité personnelle engagée en cas d’incidents… mais cela ne suffit pas à expliquer ce phénomène. En tous cas, ce n’est pas forcément ce qui revient en premier lorsque j’échange avec des clients au bord du craquage. Les grands classiques seraient plutôt : « Ce que je fais ne sers à rien », « mes objectifs changent tout le temps », « je ne comprends pas ce qu’on attend de moi », ou encore « je suis coincé, je n’ai aucune perspective »… Force est de constater que le niveau de stress est davantage lié au fonctionnement de la filière et aux pratiques de management, plutôt qu’à la nature même des activités menées. L’année dernière, une étude de Nominet montrait que 23% des RSSI en 2020 reconnaissent consommer médicaments et/ou alcool et drogues pour tenir. Et très clairement, le phénomène n’est pas limité aux seuls RSSI, mais bien à toute la communauté SSI (analystes SOC, chefs de projet, experts…). Mais comment avons-nous pu passer en moins de 10 ans d’équipes passionnées, soudées… à une telle situation RH ? Tentatives d’explications – et pistes de solutions – dans cet article !

Encore trop peu d’entreprises ont structuré une démarche RH pour la filière cyber

En tant que consultant, je peux en témoigner : les demandes d’intervention se font très rares au sujet des politiques RH, parcours de formation, pratiques managériales…

alors qu’évidemment le bon fonctionnement de la filière et le bien être des collaborateurs ont un impact certain sur le niveau de sécurité à moyen-terme. Les sportifs le savent très bien : l’état d’esprit dans le vestiaire a une influence majeure sur le résultat final !

Face à ce constat, quelques grands comptes ont passé un cap intéressant : ils ont intégré ces sujets de fonctionnement RH directement dans leur Framework de maturité (NIST, ISO…). C’est en effet une excellente idée permettant de traiter en quelques semaines des sujets essentiels via une organisation et des processus déjà établis (assurance, revue de preuves, programme cyber…). Autre avantage : le Framework est souvent un input essentiel à la construction de la stratégie, et cette dimension RH se retrouve ainsi par rebond directement intégrée au plan pluri-annuel de certaines entreprises. Des objectifs concrets et mesurables sont définis pour le turn-over, la motivation des employés ou encore l’équilibre vie-pro / vie-perso… et ces éléments sont présentés régulièrement au top management aux côtés du taux de patching, de la convergence zero-trust et des capacités de résilience !

Croyez-moi : lorsque le bien être physiologique des employés est intégré aux objectifs de la filière, et donc par la même occasion à ceux des RSSI… et bien tout fonctionne presque comme par magie Mais encore faut-il adresser les bons sujets !

Les priorités : Valorisation de l’expertise, encouragement à la mobilité et alignement des salaires

Pentesters, analystes CERT, spécialistes DevSecOps… les filière sécurité sont composées d’une multitude d’experts, qui ne sont pas toujours reconnus, valorisés et animés avec pertinence. De trop nombreuses entreprises ont encore malheureusement une tendance naturelle à survaloriser le management au détriment de l’expertise. Il est donc indispensable de créer un écosystème favorable aux experts dans les filières SSI ! Le champs des possibles est vaste : mise en place de parcours de carrière spécifiques, accès encouragé à la certification, engagement des communautés d’expertise sur les décisions majeures, valorisation externe (conférences, médias)… n’attendons pas que les experts partent pour prendre conscience de leur valeur !

Le sujet des mobilités est également essentiel. Il existe en effet un sentiment d’étouffement au sein de la filière : la tension sur les ressources cybersécurité est tellement forte que de nombreux employés ont le sentiment d’être bloqués sur leur poste, sans la moindre possibilité d’évolution. Résultat : le moral baisse, les gens tournent en rond, se posent des questions, critiquent… un climat tout sauf sain. Pourtant, la solution est assez évidente : encourager, voire imposer les mobilités. Certains grands comptes ont par exemple mis en place récemment une gouvernance incitative permettant aux RSSI de proposer spontanément des mobilités et de s’échanger des ressources. 3 ans en tant que chef de projet, 2 ans dans le SOC, 3 ans de sensibilisation, 2 ans sur des sujets réglementations … le sujet de la cybersécurité est suffisamment vaste pour créer des carrières riches et passionnantes ! D’expérience, une filière en bonne santé est une filière avec un taux de mobilité d’au moins 10%.

Enfin, il faut parler des salaires ! Faites le test : prenez deux RSSI au sein d’une grande entreprise (ça marche aussi pour les Directeurs de Programme sécurité, les chefs de projet, les auditeurs…) et interrogez-les sur leur niveau de rémunération. Vous allez être surpris : les écarts sont majeurs d’une entité à l’autre, et la structure même du salaire peut différer. A titre d’exemple, j’ai rencontré récemment deux RSSI aux profils équivalents au sein d’une même entreprise : le premier était payé sur une base fixe uniquement, et le second possédait un bonus de 50% sur des objectifs personnels fixés par le DSI. Et évidemment… ils le savaient tous les deux ! Impossible de créer un esprit d’équipe et une solidarité dans de telles conditions. Alors évidemment ce chantier n’est pas simple, mais il mérite d’être instruit avec les RH, d’autant plus dans un contexte de fortes mobilités qui feront nécessairement apparaitre des situations compliquées.

Les collaborateurs ne comprennent plus leur organisation et en souffrent

Ces dernières années, la sécurité a pris une toute autre dimension : en France, on constate en moyenne 1 ETP sécurité pour 500 à 3 000 employés, avec une moyenne tournant aux alentours de 1 pour 1 000. Je vous laisse faire le calcul : cela représente rapidement plusieurs centaines, voire milliers d’employés ! L’époque de la petite équipe de 15 passionnés au sein des opérations de la DSI est révolue. Place aux 27 RSSI, 3 SOC, 2 CERT, 10 Directeurs de Programme et 4 centres d’expertise… qui passent leur temps à chercher leur périmètre et à se marcher dessus. Une simple décision peut prendre des semaines… et les employés n’en peuvent plus !

Il devient urgent de reconstruire un modèle opérationnel plus lisible. Plus question de laisser des employés seuls sur leur périmètre d’expertise, la tendance est à la mutualisation et à la suppression des redondances : 1. Regroupement des centres d’expertise (audit, Cloud…) 2. Création d’un unique centre de cyberdéfense (SOC, CERT…) 3. Structuration d’un unique Programme de Cybersécurité à portée Groupe 4. Mise en commun de la PMO dans une Reporting Factory.

Ce type de regroupement permettra de créer une émulation, d’embarquer et de donner du sens collectif. Sur les récentes réorganisations, on estime à environ 40% le nombre d’employés de la filière travaillant sur des activités à portée transverse.

Alignement des salaires, re/up-skilling, plans de formation/certification, processus de mobilité, réorganisation de la filière…les sujets à traiter sont nombreux pour booster le well-being et permettre aux employés de se construire une carrière pleine et enrichissante au sein de la filière. Mais attention : ce travail ne peut être porté uniquement par les fonctions RH. Il est essentiel que le RSSI et les managers d’équipe soient impliqués fortement pour établir les efforts dans la durée. D’autant plus que certains conseils cités ci-dessus s’appliquent également à eux… tellement de RSSI sont en place depuis plus de 10 ans sur le même poste !

Cet article Les filières sécurité au bord du burn-out – tentatives d’explication est apparu en premier sur RiskInsight.

Homologation Sécurité et Agilité Numérique : c’est possible !

Vincent Nguyen — Mon, 22 Mar 2021 09:00:50 +0000

« L’homologation de sécurité est un acte formel par lequel l’autorité responsable d’un système engage sa responsabilité en matière de gestion du risque »[1]. Au-delà d’être obligatoire dans certains cas définis par la réglementation[2], l’homologation est un réel message aux utilisateurs et au top management : la sécurité est bien une préoccupation majeure et une véritable attention y est portée. Et l’Agile représente une opportunité pour la sécurité, en permettant une réduction incrémentale du risque.

Cette méthode a bouleversé les façons de travailler des équipes produits et des équipes SSI, mais il ne va pas s’agir de « juste » adapter l’homologation RGS du cycle en V à l’Agile, mais bien de proposer une solution adéquate pour répondre à l’objectif de l’homologation : « trouver un équilibre entre le risque acceptable et les coûts de sécurisation, puis faire arbitrer cet équilibre, de manière formelle, par un responsable qui a autorité pour le faire[3] ».

Une solution : l’homologation provisoire et l’homologation ferme

Comme l’a déclaré un célèbre expert Sécurité Agile de Wavestone : « l’Agile et les homologations, c’est pas sorcier ». Sans nier les débats d’experts et les difficultés, l’approche reste assez simple à expliquer. Face à des équipes qui doivent livrer plus vite et mettre en production en continu, il faut que les niveaux de risques et donc l’homologation suivent le rythme.

Que doit prendre en compte l’homologation ?

Comme toute homologation traditionnelle, il s’agit de présenter le niveau de risque à une Autorité d’homologation, qui acte le fait que ce niveau est acceptable au regard des critères SSI de l’organisation (nombre d’EUS présentes sur le projet par exemple, pourcentage des règles de base de la PSSI ou règles d’hygiène appliqué pour un périmètre donné, etc.) et prend la responsabilité des éventuels risques résiduels.

Par exemple, un projet à ses débuts, qui souhaite mettre à disposition quelques fonctionnalités à peu d’utilisateur, présentera un niveau de risques moindre, dû à sa faible exposition, malgré un périmètre peut-être encore peu sécurisé. Une homologation provisoire (d’une durée de quelques mois par exemple) peut être prononcée pour permettre l’expérimentation, à renouveler lorsque certains critères de renouvellement (définis à l’avance) sont atteints.

Figure 1 – Exposition au risque résiduel d’un produit
Tiré du Guide ANSSI : Agilité et Sécurité Numériques, octobre 2018 (lien vers le guide)

Pour un projet en rythme de croisière, accessible à son public cible avec toutes les fonctionnalités attendues, une homologation ferme (3 ans par exemple) est prononcée. Les critères de renouvellement, menant à la prononciation d’une nouvelle homologation sont également définis à l’avance.

Quand renouveler une homologation ?

Bien que les critères de renouvellement soient très contextuels, voici des pistes de réflexion (en volume et degré d’exploitation du projet).

Pour l’homologation temporaire, elle est valide jusqu’à ce que des critères de renouvellement soient identifiés :

De nouvelles fonctionnalités critiques sont ajoutées (à définir par le projet),
Un nouveau palier de nombre d’utilisateurs est franchi (défini à l’avance, en fonction des risques associés),
De nouvelles données à caractères personnel doivent être intégrées et traitées par le projet,
De nouvelles fonctionnalités liées à des paiements doivent être implémentées,
Un nouveau palier de volume de transaction est dépassé,
Et bien sûr quand la date limite de l’homologation est atteinte.

Pour l’homologation ferme, la validité de l’homologation est plus longue, sur hypothèse que moins de changement seront apportés au projet. Cependant, et toujours dans une optique d’amélioration continue, la vérification des niveaux de sécurité sera réitérée à intervalles réguliers (tous les 3 ans par exemple).

Quels éléments de preuve doivent apporter les squads ?

Les squads doivent normalement être en mesure de présenter différents éléments de preuve à l’Autorité d’homologation/responsable de l’homologation. Les Evil User Stories (EUS) font office de risques, avec leur priorisation qui donne un élément de compréhension sur leur gravité. Nous avions détaillé dans un article précédent la manière de mener à bien ces ateliers d’analyse des risques en Agile. Un extrait du backlog peut apporter la preuve que les EUS principales ont bien été traitées et que les EUS résiduelles sont connues (et par extension, doivent être acceptées par l’Autorité d’homologation).

Le Passeport Sécurité (détaillé dans notre article sur la transformation Agile) est également un moyen pertinent de suivre les niveaux de sécurité d’un projet.

Les rapports des outils de revue de code et de scan de vulnérabilité peuvent également être utilisés (pour les squad ayant intégré le DevSecOps et possédant également les outils adéquats).

Si l’équipe X-team existe (voir notre article sur les nouveaux rôles SSI dans l’Agile et l’organisation associée) ou si une équipe d’audit externe a pu les réaliser, les rapports de test d’intrusion sont également présentés.

Tout autre document existant et nécessaire peut également être présenté (document d’architecture par exemple, réglementation applicable…).

Pour l’homologation temporaire, ces éléments de preuve ne doivent pas forcément faire l’objet d’un « dossier » hors-sol ; il faut surtout s’assurer qu’ils existent bien et sont accessibles aux acteurs de l’homologation (Autorité d’homologation ou son délégué, équipe SSI…).

Qui sont les acteurs du processus ?

Pendant tout le développement du produit, le Security Champion (cf. la définition dans cet article) est garant de la bonne mise en œuvre de l’évaluation des risques via les ateliers d’identification des Evil User Stories et des Security Stories associés. De manière assez naturelle, l’équipe SSI est actrice du processus d’homologation, via l’expertise apportée aux équipes, notamment lors de ces ateliers.

Le Product Owner est responsable de la bonne création et mise à jour des éléments de preuve nécessaire à l’homologation. Il s’assure également que l’équipe SSI est bien tenue informée du bon déroulement de l’homologation et qu’elle est sollicitée si besoin.

L’Autorité d’homologation est, comme toujours, un responsable métier (par exemple le Business Owner) capable d’accepter les risques résiduels et de valider les niveaux de sécurité des produits. Cependant, et toujours dans une optique d’amélioration des temps de traitement, la signature d’une homologation temporaire pourra être déléguée au Product Owner, en tant qu’émanation du métier, pour peu que les critères nécessaires à la validité de l’homologation soient bien respectés. Dans les cas où le projet ferait porter un risque à d’autres métiers ou à d’autres systèmes, la responsabilité de l’homologation devra être portée en transverse, par un N+1 commun. Si aucun compromis n’est trouvé, c’est le Directeur des Systèmes d’Information (DSI), dans son rôle de garant du maintien en conditions opérationnelles des SI, qui assumera la responsabilité.

Ainsi, l’homologation conserve toute son importance, et notamment dans le cadre de la méthodologie Agile qui fait évoluer la manière de travailler des équipes produit. Les équipes SSI doivent profiter de ces évolutions pour se (re)projeter dans ces équipes (à travers le Security Champion et à travers la formation des équipes à la sécurité) et ainsi œuvrer à la réduction incrémentale du risque.

Plus d’articles à venir sur la Sécurité dans l’Agile, restez à l’écoute !

[1] Guide ANSSI : Agilité et Sécurité Numériques, octobre 2018 (lien vers le guide)

[2] Pour les administrations : décret n°2010-112 du 2 février 2010, modalités du Référentiel général de sécurité (RGS). Pour tout produit traitant d’informations relevant du secret de la Défense nationale : l’Instruction générale interministérielle 1300. Pour les opérateurs d’importance vitale : volet cyber de la LPM (loi n° 2013-1168 du 18 décembre 2013 – article 22), pour le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent, mené dans le cadre d’une démarche d’homologation.

[3] Guide ANSSI : L’homologation de sécurité en neuf étapes simples, août 2014 (lien vers le guide)

Cet article Homologation Sécurité et Agilité Numérique : c’est possible ! est apparu en premier sur RiskInsight.

RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ?

Gérôme Billois — Mon, 01 Feb 2021 10:11:49 +0000

Depuis la dernière édition du radar, le monde a été rudement touché par une crise sanitaire sans précédent, entraînant une transformation numérique à marche forcée dans un contexte où les cybercriminels se sont montrés toujours plus actifs et menaçants. Dans ce contexte mêlé de crise sanitaire et économique, comment se projeter sur 2021 ? Quelles orientations prendre pour la cybersécurité des grandes organisations ?

Un axe fondamental ne changera pas, c’est celui de la menace, par lequel toute démarche de réflexion stratégique doit commencer. De notre point de vue, sans surprise, le Ransomware restera la menace majeure à laquelle feront face les entreprises. Depuis la fin de l’année 2019 et les nombreux faits d’arme de Maze, Sodinokibi ou plus récemment Egregor, ces attaques destructrices sont combinées à des exfiltrations massives de données, ajoutant une nouvelle dimension au chantage opéré par les criminels. Tout le monde est touché : collectivités, PME et grands groupes internationaux, que ce soit en France ou ailleurs.

De plus, comme nous l’évoquions dernièrement auprès du journal Le Monde, les opérations des cybercriminels se sont fortement professionnalisées et leur assurent un retour sur investissement élevé. Ces financements leur permettront demain d’augmenter la profondeur et la technicité de leurs attaques et ils n’hésiteront plus demain à cibler les activités cœur des métiers des entreprises (réseau industriel, systèmes de paiements…). En 2021, le bras de fer pour le paiement des rançons devrait encore s’accentuer avec un réel penchant des groupes criminels à rendre leurs attaques largement visibles. Des prémices ont été observées cette année avec l’aide d’astucieux procédés : annonce d’une attaque via des publicités sur Facebook, négociation directe avec les patients de la cible, jusqu’à l’impression de la demande de rançon via les caisses enregistreuses en magasin… Il s’agira d’anticiper au maximum ces situations, que ce soit en les jouant durant des exercices de crise ou en préparant des réponses adaptées et réfléchies en amont.

Outre l’hydre du rançongiciel, nos équipes sur le terrain envisagent pour 2021 une croissance forte de deux autres menaces. D’une part, les attaques indirectes, utilisant les services de tiers : les cybercriminels n’hésitent pas à contourner les mécanismes de sécurité des grands donneurs d’ordre en compromettant des partenaires moins protégés, ou en visant des fournisseurs de services informatiques. D’autre part, les attaques visant les systèmes Cloud devraient s’accélérer avec de nouvelles natures de compromission. L’exploitation des vulnérabilités liées à la gestion des identités et des accès (IAM), en particulier sur les API des fournisseurs, pour compromettre des périmètres chaque jour plus critiques pour les entreprises sera au cœur des incidents de 2021. Ce sujet représente aujourd’hui un réel challenge pour les équipes IT, encore trop peu familières aux spécificités très fortement évolutives de ces plateformes.

Face à ces différentes menaces, le RSSI devra faire preuve d’agilité et de solidité, notamment dans sa maîtrise des fondamentaux sécurité (en particulier sur l’Active Directory, application des correctifs et l’authentification multi facteurs) et dans la démonstration concrète de ses capacités de cyber-résilience (avec des engagements de plus en plus exigés sur des délais de reconstruction et sur la capacité de résilience métiers sans IT).

En parallèle, certains sujets seront au cœur des évolutions de la DSI et le RSSI pourra les transformer en opportunité pour la cybersécurité de son organisation. Nous pensons en particulier aux projets “Digital Workplace” mais aux travaux d’optimisation des moyens à disposition, qui seront forcément lancé dans ce contexte de réduction budgétaire. Les investissements des années précédentes en cybersécurité recèlent souvent de nouvelles fonctionnalités peu connues ou utilisés, en particulier dans le cloud, et en faire l’inventaire peut être un moyen de faire progresser la cybersécurité à coût réduit.

Sur l’angle réglementaire, 2021 verra de nouveau s’accentuer les sujets liés aux frontières numériques (“Cyber borders”), voire au protectionnisme cyber. Il va ainsi nécessiter de prendre en compte de fortes exigences d’isolation et de protection des données mais aussi l’interconnexion à des systèmes nouveaux, voir inconnus (Alibaba en Chine, Yandex en Russie…) des réseaux des organisations.

Parmi les évolutions futures à garder à l’esprit, nous identifions trois tendances : le Zero-trust, le Confidential Computing, et l’Informatique Quantique dont vous trouverez les détails ci-dessous et sur lesquelles des actions de veille devraient a minima être prévues.

La menace se complexifie, les moyens se restreignent… Le RSSI devra montrer son agilité en 2021 et composer avec de nombreux sujets tout en maintenant un cap stratégique clair : protéger son organisation contre les cybercriminels et accompagner, voire développer de nouveaux usages numériques !

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 100 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, d’actualité et émergente. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Sur quels piliers s’appuyer en 2021 ?

Maîtrise des fondamentaux de la cybersécurité

Correctifs non appliqués, Active Directory vulnérable, vecteurs de propagation fragiles… Plus d’une fois en 2020, les cybercriminels nous ont démontré l’importance de maîtriser les sujets fondamentaux de la sécurité numérique. Assez logiquement, nous estimons que ces fondamentaux resteront un enjeu clef en 2021, à l’heure où les cybers attaquants restent opportunistes (58% d’après une étude Wavestone) et où nous continuons au quotidien de voir apparaître de nouveaux correctifs sur des vulnérabilités critiques.

L’heure est aujourd’hui à la prise de responsabilité des équipes cybersécurité, qui ne doivent plus rester en retrait sur leurs sujets clefs comme la gestion et le maintien en condition de sécurité du cœur de confiance et autres systèmes clefs. Le RSSI devra faire preuve de solidité et de réactivité en déverrouillant ces sujets avec les équipes de production. A noter qu’une startup telle qu’Hackuity peut apporter un renouveau et aider à déverrouiller le processus complexe de gestion des vulnérabilités.

Concrétiser les travaux sur la cyber-résilience

Depuis plusieurs années, la cyber-résilience est sur toutes les lèvres et c’est à raison ! Comme nous le voyons, les cybercriminels sont toujours plus actifs et menaçants, la question n’est plus « Va-t-on nous attaquer ? » mais « Quand serons-nous attaqués ? ». Dans ce cadre, il est nécessaire d’avoir une stratégie adéquate et de se préparer à encaisser le choc, en limitant ses impacts, pour redémarrer en sécurité et le plus rapidement possible. L’implication des métiers restera, en 2021, un sujet qui continuera d’occuper les équipe sécurité pour gagner en efficacité.

Néanmoins, nous observons une nouvelle tendance pour la cyber-résilience : de plus en plus, il est demandé aux RSSI d’apporter les preuves concrètes de la capacité de l’organisation à résister et à se relever à la suite d’une cyberattaque. Pourcentage de capacité de production en cas de perte de l’informatique et résilience des activités métier, délai précis de reconstruction du cœur de confiance, restaurationen temps contraint des données… Les régulateurs ou les dirigeants de l’organisation demandent des garanties afin d’être rassurés. Dans ce cadre, il ne faut pas hésiter à pousser les systèmes dans leurs retranchements, par exemple en conduisant des essais de reconstruction réalistes et partagé avec les équipes opérationnelles.

Quels chantiers en 2021 seront des opportunités pour la cybersécurité ?

La transformation numérique à marche forcée

C’est une évidence, la crise sanitaire a permis à de nombreuses organisations de faire un grand bond vers les espaces de travail numériques de dernière génération. Cette situation est une réelle opportunité pour le RSSI, qui peut en profiter pour s’insérer dans les nombreux nouveaux projets innovants, et aider son organisation à adopter en profondeur une approche Cloud.

Plus que jamais, c’est l’occasion pour les équipes cybersécurité de franchir un nouveau cap et enfin réussir de nombreux défis : simplification des accès distants, de l’authentification en se débarrassant enfin des mots de passe (Passwordless), renforcement de la détection des fuites de données, extension du SOC et des capacités de détection sur les périmètres Cloud…

Efficacité cyber

A l’heure où les dépenses sont plus scrutées que jamais, le RSSI devra continuer à rationaliser l’usage de son budget, tout en démontrant l’efficacité des actions menées. Pour gagner en efficacité, il doit également s’assurer de suivre une stratégie cohérente face à la menace d’aujourd’hui, lui permettant de commencer ou continuer à mobiliser à haut niveau.

Dans ce cadre, une des premières actions à envisager est de tirer parti des investissements des années précédentes : les équipes en place, les solutions techniques ou services Cloud qui connaissent des évolutions très rapides et dont l’ajout de fonctionnalités qui peuvent être activées facilement sans coûts supplémentaires. Une vraie mine d’or pour mieux se sécuriser l’année prochaine ! Pour certains périmètres, l’outsourcing peut être envisagées, toujours dans un objectif de rationaliser les coûts.

Dans certains secteurs d’activité, la cybersécurité peut devenir ou est déjà un différenciateur sur le marché. Le RSSI peut alors faire évoluer son rôle, et en profiter pour se rapprocher des métiers et débloquer des projets transverses jusqu’à alors inaccessibles.

Frontières dans l’espace numérique

Alors qu’Internet est souvent perçu comme un espace sans frontière, on observe de plus en plus une tendance des régulateurs et de certains pays à vouloir isoler les données sur leur territoire et empêcher qu’elles soient hébergées au-delà de leurs frontières. Cette tendance s’affirme, que ce soit en Europe, où nous avons observé l’arrivée du RGPD en 2018 et l’invalidation récente du Privacy Shield américain, mais également en Chine ou en Russie, où se multiplient de nouvelles réglementations, que l’on pourrait rassembler avec l’anglicisme cyber protectionism.

Ainsi, de nombreux régulateurs et autorités imposent de ne stocker à l’étranger que des données chiffrées, dont la clef est jalousement gardée secrète (HYOK), une situation qui impose de repenser les flux de données, les systèmes qui vont les héberger et surtout de devoir s’adapter aux solutions locales (i.e. AliCloud en Chine). Un réel défi pour le RSSI, par exemple dans le cas de raccords des réseaux d’organisations internationales entre des systèmes français, américains, chinois… L’intégrationde ces systèmes dans son approche de cybersécurité est un vrai défi face à leur fragmentation et aux difficultés d’évaluation concrète des risques et de la qualité des systèmes devant être utilisés.

Quels sujets émergeants anticiper en 2021 et au-delà ?

Une nouvelle approche entièrement dans le Cloud avec le Zero Trust

Promu par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust a le vent en poupe ces dernières années. Pour rappel, ce système est à l’opposé de l’approche château-fort traditionnelle, qui visait à défendre le périmètre à l’aide de grands remparts (i.e. des pare-feu), mais est peu à peu devenue impuissante face aux nouvelles menaces.

En effet, la transformation numérique a eu des impacts en profondeur sur l’architecture des systèmes et les interconnexions avec des tiers. Dès lors, il n’est plus suffisant de se protéger uniquement de l’extérieur, la menace pouvant plus facilement utiliser l’écosystème de sa cible pour s’introduire dans ses systèmes et la compromettre. Gestion des accès, des identités, des comptes à privilèges sont des sujets particulièrement centraux dans le Zero Trust et qui répondent à de nombreuses problématiques d’aujourd’hui. En 2021, les entreprises continueront leur mouvement vers le cloud. C’est donc une vraie opportunité pour orienter progressivement les architectures et les systèmes sur le principe du Zero-Trust, ou, pour les retardataires, de commencer à défricher le sujet.

Une révolution dans la protection des données avec le confidential computing

Un des défis majeurs du Cloud reste la confiance avec ses différents partenaires, notamment pour les données les plus sensibles des organisations ou institutions. Pour répondre à cette problématique, des concepts comme le Confidential Computing et le data privacy by-design ont peu à peu émergé ces dernières années, ainsi que des solutions plus concrètes.

Parmi ces solutions, le chiffrement homomorphe permet à des algorithmes de chiffrer des données tout en laissant la possibilité d’effectuer des traitements sur celles-ci, réduisant donc fortement les risques de divulgation et fuite de données. IBM a un coup d’avance sur ce sujet et a partagé dès l’été 2020 une bibliothèque open source, HElib. Les jeunes pousses françaises Cosmian et Zama sont également actives sur cette thématique.

Enfin, une réponse originale à ces enjeux peut également être apportée par les données synthétiques. A l’aide d’algorithmes renforcés par de l’intelligence artificielle, les générateurs de données synthétiques comme celui proposé par la startup britannique Hazy permettent de créer des jeux de données gardant les caractéristiques et la logique de données réelles mais n’en étant pourtant aucunement. Un autre moyen pour éviter tout risque de fuite de données sur le Cloud !

La menace fantôme de l’ordinateur quantique

8 heures : c’est le temps qu’il faudra à un ordinateur quantique suffisamment puissant et fiable pour mettre à mal la sécurité de nos communications. Une course technologique internationale a déjà démarré et les entreprises et institutions doivent se préparer dès aujourd’hui, car les investissements seront lourds pour permettre les migrations techniques nécessaires. Quelles données doivent être protégées en priorité ? Quelles clauses inclure dans mes contrats dès aujourd’hui ? Quels acteurs peuvent accompagner dans ces migrations ?

De nombreuses questions se posent et doivent être répondues dès que possible. Une chose est certaine : le RSSI aura un rôle majeur dans cette révolution, s’il est un des premiers à sonner l’alarme et à anticiper les nombreux travaux qui seront nécessaires.

En France, des acteurs ont déjà pris en main comme la spin-off d’INRIA et Sorbonne CryptoNext-Security, déjà lauréate de plusieurs concours d’innovation et proposant une solution de cryptographie Quantum-safe, déjà testée par l’armée française pour une application de messagerie instantanée sur mobile.

Cet article RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ? est apparu en premier sur RiskInsight.

Estimation quantifiée du risque (2/2) : Quelles données, quels outils ?

Charles Dubos — Mon, 14 Dec 2020 14:34:05 +0000

Si nous avons vu dans un article précédent la prédominance de FAIR dans le monde de la quantification[1], un autre article publié ici début juin[2] (détaillant la méthode FAIR dans sa seconde partie) insiste sur le soin à apporter dans le déroulement de la méthode, dont les résultats des calculs (éventuellement automatisables) permettent d’obtenir des valeurs précises.

Cependant, comment modéliser ces différentes données d’entrée de FAIR ? Comment se font les calculs sur les données ? Existe-t-il des outils pour faciliter leur obtention ou évaluer leur qualité, et quels efforts demandent-ils pour être mis en œuvre ?

Ayants vu précédemment dans quelle mesure la méthode de quantification du risque était digne de confiance dans son déroulement, voyons à présent comment la part inévitable de subjectivité peut être confinée, et quels facilitateurs peuvent aider à obtenir des résultats sûrs.

Le carburant de FAIR : les données

L’analyse du risque proposée par FAIR (selon le document de normalisation édité par l’OpenGroup[3]) est réalisée en quatre temps :

Dans un premier temps, de façon assez classique, il s’agit de préciser le périmètre du risque en question (Scope the analysis) : l’asset (le bien sujet au risque), le contexte de la menace (agent et scénario), et l’évènement de perte (ou évènement redouté considéré sous l’angle des pertes) ;
La deuxième étape (Evaluate Loss Event Frequency) consiste à collecter l’ensemble des données fréquentielles liées à l’évènement de perte (et donc intimement lié à l’agent de menace). Ceci consiste à collecter les valeurs de la branche de gauche dans l’arborescence ci-dessous.
La troisième (Evaluate Loss Magnitude), en évaluant les couts, focalise sur l’asset. Il s’agit alors de chiffrer les différentes pertes primaires (c’est-à-dire les pertes inévitables en cas d’occurrence du risque) et secondaires (ou pertes éventuelles, ne se produisant pas systématiquement en cas d’avènement du risque). Ceci consiste à collecter les valeurs de la branche de droite dans l’arborescence ci-dessous.
Enfin, la dernière étape (Derive and Articulate Risk) est le fusionnement des données obtenues conformément à l’arborescence FAIR par différents calculs, pour obtenir le résultat sous forme d’outputs exploitables.

Lien entre l’analyse et la taxonomie de FAIR

Sans aller plus dans le détail de la taxonomie, déjà abordé dans l’article présenté précédemment2, nous constatons que l’analyse standard d’un seul risque demande déjà sept données (correspondant aux éléments de la base de l’arborescence) :

Contact frequency;
Possibility of action;
Threat capability;
Resistance strength;
Primary loss magnitude;
Secondary loss magnitude;
Secondary loss event frequency.

Il faut ajouter à cela que FAIR invite à décliner les pertes (primaires et secondaires) en six catégories (facilitant ainsi l’estimation précise de ces données de pertes) :

En pertes de production : liées à l’interruption du service produit par l’asset ;
En cout de réponse : liées à la réponse à incident ;
En frais de remplacement : liées au remplacement des constituants endommagés de l’asset ;
En frais de justice : liées aux amendes et poursuites juridiques ;
En perte d’avantage compétitif : liées à l’impact sur l’organisation dans son secteur d’activité ;
En pertes de réputation : liées aux retombées sur l’image publique de l’organisation.

Comment modéliser correctement l’incertitude du risque ?

De plus, il est bon de se poser la question de ce qu’est concrètement une donnée FAIR.

En effet, il est trop réducteur de définir une donnée par une unique valeur chiffrée. Par exemple, si nous considérons l’attaque par rançongiciel : il serait incorrect d’affirmer qu’une occurrence de ce risque couterait exactement 475 k€[4] (illustrée par la courbe bleue sur le graphe 1).

Graphe 1 : Une distribution, un modèle plus réaliste qu’une valeur isolée

En revanche, ajouter de l’incertitude à cette donnée en l’accompagnant d’une borne minimale (qui pourrait être de 1 € dans notre exemple) et d’une borne maximale (de 300 M€ dans l’exemple), tout en gardant la valeur la plus probable énoncée précédemment, permettrait de modéliser beaucoup plus fidèlement la réalité (courbe violette du graphe 1).

Une donnée est alors définie par un minimum, un maximum et une valeur la plus probable (correspondant au pic de la distribution). Nous pouvons de plus noter qu’une telle distribution de probabilité est indépendante du type de valeurs considérées : il peut aussi bien s’agir d’une perte dans une devise quelconque (cf. l’exemple précédent), que d’une occurrence (par exemple, entre 1 fois par an et 1 fois tous les 10 ans, et une valeur plus probable autour d’une fois tous les deux ans), ou bien même d’un ratio (entre 30% et 70 %, plus probablement autour de 45%). Nous pouvons ainsi utiliser ces distributions pour modéliser toutes les données de la taxonomie FAIR.

Un autre avantage de la modélisation de l’incertitude par une distribution est de pouvoir régler finement le degré de confiance dans la valeur la plus probable, via le coefficient d’aplatissement de la courbe. Plus ce dernier sera élevé, plus la confiance dans la donnée sera grande (correspondant à un pic très marqué, cf. la courbe verte sur le graphe 2). En revanche, une donnée peu fiable sera modélisée par une distribution beaucoup plus homogène (cf. la courbe rouge sur le graphe 2).

Graphe 2 : Refléter le niveau de confiance à travers les distributions

Cependant, le fait d’utiliser des distributions plutôt que des valeurs fixes pose problème lorsqu’il s’agit de les combiner entre elles, ce qui sera nécessairement le cas lorsque nous effectuerons les calculs de l’arborescence FAIR. Comme nous pouvons en effet le constater sur le graphe 3 (l’addition de la distribution verte et de la rouge donnant la violette), l’addition de deux lois de distribution ne permet pas d’obtenir une distribution aussi ‘simple’ que les précédentes (elle ne suit plus une loi de probabilité dite log-normale). Cela est également le cas dans le cadre d’une multiplication (dont le résultat est également complexe).

Graphe 3 : addition de deux distributions.

Pour obtenir un résultat mathématiquement cohérent, la théorie des jeux nous donne un moyen simple : les simulations de Monte Carlo. Il s’agit en effet de discrétiser les distributions (la verte et la rouge du graphe 3), en un nombre prédéfini de valeurs aléatoires (appelé nombre de simulations), réparties de façon à correspondre à la distribution concernée. Nous pouvons ensuite combiner les distributions ainsi discrétisées en effectuant les calculs sur des paires de valeurs de chaque distribution. La nouvelle répartition pourra ensuite être approximée, et sera d’autant plus précise que le nombre de simulations sera grand.

Les caisses à outils artisanales pour automatiser FAIR…

Pour effectuer ces calculs permettant d’obtenir une valeur chiffrée du risque, des solutions ont émergé (principalement à partir de la méthode FAIR). Nous aborderons donc ici les avantages et inconvénients de ces outils, qui sont également cités dans l’article précédent1.

L’OpenFAIR Analysis Tool

La première que nous pouvons citer est l’OpenFAIR Analysis Tool[5]. Si cet outil a simplement un but pédagogique, il permet néanmoins de comprendre le fonctionnement de FAIR. Il est ainsi possible d’avoir une première application concrète de la méthode, et d’obtenir des résultats simplement (uniquement dans le cadre d’une analyse d’un risque isolé). Mis sur pied par l’université de San José (Californie) en collaboration avec l’OpenGroup, cet outil utilise une feuille Excel pour obtenir une évaluation du risque à partir d’un nombre prédéterminé de simulations, en respectant scrupuleusement la taxonomie FAIR.

OpenFAIR Risk Analysis Tool : un outil avant tout pédagogique

Très utile pour avoir un premier contact avec la quantification, l’outil reste cependant très limité en termes d’utilisation. Enfin, il faut noter qu’il n’est accessible que sous Excel et avec une licence d’évaluation limitée à 90 jours.

Riskquant

Pour une utilisation à plus grande échelle, le département R&D de Netflix a mis sur pied la solution Riskquant[6]. Il s’agit d’une bibliothèque de programmation Python, s’appuyant notamment sur tensorflow (un module python spécialisé pour le calcul statistique massif). La particularité de Riskquant est de proposer une quantification du risque inspirée de la taxonomie FAIR, mais ayant gardé une grande liberté dans son implémentation. Développée pour faciliter l’utilisation sur des conteneurs, elle permet par conception des évaluations très rapides à partir de fichiers csv.

Riskquant : une approche originale mais manquant de maturité

Cependant, le fait de n’avoir gardé de FAIR qu’une valeur unique de perte et une fréquence unique la rend peu exploitable, notamment dans le cadre d’une organisation qui chercherait à cadrer précisément ses risques. De plus, elle ne fournit à ce jour que peu de résultats exploitables et manque clairement de maturité. Enfin, elle semble à ce jour mise en sommeil depuis le 1^er mai 2020 (date du dernier dépôt sur la page GitHub de la solution).

PyFAIR

Pour finir ce paragraphe sur les solutions pouvant servir de base à une implémentation de FAIR, la bibliothèque PyFAIR est disponible sur le dépôt python officiel (téléchargeable via l’outil pip). Désormais mature, l’outil permet une décomposition du risque suivant la taxonomie FAIR. Il permet également d’alimenter l’arborescence à partir de valeurs intermédiaires, ou de regrouper des données pouvant servir à plusieurs risques (permettant par exemple des regroupements par asset ou menaces). Il est capable de calculer des risques globaux, et fournit des distributions facilement exploitables sous python, mais également des graphiques et des rapports HTML préformattés.

PyFAIR, une bibliothèque complète et efficace en Python

Bien qu’elle reste une boite à outil de programmation, demandant de fait une appétence et du temps pour développer et entretenir une solution en Python, PyFAIR est bien conçue. Elle facilite l’implémentation de FAIR en restant très proche de la taxonomie, et fournit des fonctions facilitant la mise en œuvre comme l’exploitation des résultats. Apte à être exploitée à plusieurs niveaux (i.e. en l’utilisant uniquement pour calculer des résultats à partir d’un paramétrage fin de FAIR et de Monte Carlo, ou bien en exploitant des fonctions de génération de rapports de haut niveau), elle permet d’envisager une utilisation de la quantification techniquement facilitée et à grande échelle.

Des plateformes ‘clé en main’ pour faciliter l’acquisition des données :

Néanmoins, la difficulté principale de FAIR reste, comme nous l’avons vu précédemment, l’obtention de données et leur fiabilité. Pour y faire face efficacement, la solution la plus efficace est de s’appuyer sur une plateforme intégrant une base de données de CTI.

Ces plateformes fournissent les valeurs de risque liées aux menaces (donc très peu dépendantes de l’entreprise). Elles accompagnent de plus le déploiement et la mise en œuvre de la méthode de quantification, notamment en la guidant pour l’obtention de données de pertes adaptées.

RiskLens

La première de ces solutions est la plateforme RiskLens[7]. Cette solution, directement issue de la méthodologie FAIR, a été co-fondée par Jack Jones. Elle sert de support technique au développement de la méthode, en lien avec le FAIR Institute. Ayant une approche technique de la méthode, elle porte son effort sur le respect des standards de l’analyse en général et de la définition du périmètre (première étape de FAIR) en particulier.

RiskLens, l’application de FAIR à la lettre

Néanmoins, il faut noter que d’une part, cette solution demande d’avoir des notions avancées dans la méthode FAIR pour être facilement utilisable. En effet, la plateforme n’apporte pas une véritable aide pour l’obtention des données (qui comme nous l’avons vu, reste la clé de voute de la quantification), partant du principe que la définition du périmètre suffit à définir précisément la donnée, et de ce fait de l’obtenir aisément. D’autre part, il s’agit d’une plateforme américaine, ce qui implique que l’interface (assez peu intuitive) est uniquement disponible dans cette langue, et que les données collectées sont alors assujetties à la réglementation américaine.

CITALID

La seconde plateforme dont nous ferons mention ici est la startup française CITALID, qui a adopté une approche fondamentalement différente. En effet, cette dernière, fondée par deux analystes de l’ANSSI, recherche par conception à lier la CTI à la gestion de risque. Ainsi, utilisant FAIR comme l’outil leur permettant de réaliser ce lien, elle fait effort sur la conception et le maintien d’une base de données disposant de chiffres solides et maintenus à jour pour suivre au plus près la situation cyber géopolitique locale et internationale.

CITALID, une base de données à haute valeur ajoutée

Cette dernière plateforme apporte un vrai accompagnement dans la définition et la collecte des données, permettant ainsi d’identifier précisément où subsiste la part de subjectivité indéniablement liée au risque. Disponible en français et en anglais, elle facilite la gestion du risque cyber en prenant en compte tous les paramètres de l’organisation (localisation, taille, secteur d’activité, niveau de maturité, conformité aux référentiels, etc.) pour fournir des données de contextes adaptées. En outre, et en plus d’une explicitation de chacun des champs de la plateforme, la startup accompagne ses clients dans l’obtention des données qui sont de leur ressort.

FAIR le premier pas…

Quoi qu’il en soit, la difficulté demeurera toujours de réussir la transition de l’estimation qualitative à l’estimation quantitative. Bien que des solutions puissent faciliter cette bascule, l’abandon d’une méthode maitrisée pour une nouvelle méthode reste un défi, malgré tous les bienfaits que cette dernière promet.

S’il fallait insister sur 3 points pour envisager ce changement, ceux-ci pourraient être :

D’une part, de s’assurer d’avoir la maturité requise. La quantification demande d’avoir une bonne maitrise du niveau de sécurité du SI concerné, et de s’adosser à une méthode de gestion du risque préexistante et rodée. Si la quantification apporte des solutions pour chiffrer un risque, le provisionner ou estimer le ROI d’une mesure, il est cependant inutile (voire contre-productif) de s’engager sur cette voie trop tôt (sous peine au mieux de perdre du temps, au pire de dégrader la gestion de risque existante).
Ensuite, d’avoir une approche progressive dans le déploiement de la quantification. Dans un SI mature disposant d’une gestion de risque stable, il est préférable d’adopter progressivement la méthode quantitative. Cela permet notamment de prendre confiance dans les estimations produites (éventuellement en le faisant coexister avec la méthode d’estimation qualitative) et d’assimiler la méthodologie, tout en assurant son intégration dans le processus existant de gestion du risque.
Pour terminer, de s’appuyer sur l’expérience existante dans la collecte des données de risque cyber. La difficulté résidant dans l’obtention de données sûres, il est crucial (pour avoir confiance dans la méthode) de disposer de chiffres sûrs. Il semble alors judicieux de s’appuyer sur une plateforme qui peut fournir des données de qualité, et un appui dans la collecte des données internes. Celle-ci disposera de plus de l’expérience acquise par le déploiement de la méthode sur d’autres clients. La qualité des résultats fournis sera alors l’élément clé dans la confiance que l’organisation aura dans la méthode quantitative.

[1] https://www.riskinsight-wavestone.com/2020/11/estimation-quantifiee-du-risque-1-2-lodyssee-de-la-quantification/

[2] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[3] https://publications.opengroup.org/c13g

[4] https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[5] https://blog.opengroup.org/2018/03/29/introducing-the-open-group-open-fair-risk-analysis-tool/

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

[7] https://www.risklens.com/

Cet article Estimation quantifiée du risque (2/2) : Quelles données, quels outils ? est apparu en premier sur RiskInsight.

Estimation quantifiée du risque (1/2) : L’odyssée de la quantification

Charles Dubos — Mon, 30 Nov 2020 14:35:50 +0000

Il y a quelques mois, François LUCQUET et Anaïs ETIENNE nous faisaient part[1] de l’intérêt croissant pour la quantification des risques cyber, mais nous mettaient également en garde contre un trop grand empressement à s’engager sur la voie de la quantification sans réflexion préalable. Leur analyse, toujours d’actualité, insistait notamment sur le niveau de maturité requis pour s’engager dans une méthode d’estimation quantitative, ce dernier point réduisant drastiquement le périmètre des organisations susceptibles de s’engager sur cette voie. Pourtant, certaines méthodes de quantification sont à l’origine de solutions qui redonnent espoir dans la possibilité de chiffrer ses risques en termes financiers, et par la même logique de pouvoir évaluer un retour sur investissement.

Aussi est-il utile à ce point de faire un tour d’horizon des méthodes et théories existantes, ou susceptibles d’aboutir sur des résultats concrets. Dans le big-bang de la quantification du risque cyber, quels sont les ancrages théoriques qui pourraient voir naitre une méthode ? Lesquels ont abouti, lesquels semblent matures ? Pouvons-nous espérer à plus ou moins long terme des alternatives aux méthodes d’évaluation quantitatives actuelles ?

Feuille de route : Analyse de risque et quantification : qu’en attendre ?

Pour situer la quantification dans le champ de la gestion du risque, commençons par préciser ce que nous cherchons. Au sein d’un procédé de gestion de risque, l’objectif est avant tout de définir une valeur chiffrée exploitable illustrant un niveau de risque (généralement un coût financier).

Il s’agit donc, en reprenant les termes de l’ISO 27k, uniquement d’une nouvelle évaluation du risque. En effet, les phases précédentes de contextualisation et d’identification des risques n’ont pas à priori de raisons d’être concernées par la quantification. Les phases de traitement, d’acceptation, de supervision ou de communication du risque, si elles bénéficieront des résultats de l’analyse quantitative, n’ont pas plus vocation à être bousculées dans leurs fondements. Il s’agit donc en réalité de trouver des moyens pour estimer chaque risque.

Ce point, plutôt trivial mais crucial, nous permet de nous assurer que, bien que fondamentalement différentes des méthodes qualitatives dans leurs résultats, les méthodes quantitatives s’adosseront quoi qu’il en soit à des méthodes préexistantes. Ceci permet de se rassurer sur le fait que, bien qu’il soit nécessaire pour les employer de disposer d’une gestion de risque mature, cette gestion de risque sera également le socle de la quantification (qui exploitera ainsi la phase d’identification préexistante).

Maintenant que nous avons cadré l’apport de la quantification dans l’analyse globale des risques d’une organisation, précisons ce que nous souhaitons en attendre indépendamment de la possibilité de réalisation de ces assertions :

D’une part, il est impératif que cette méthode soit plus précise dans son résultat par rapport à la méthode qualitative qui la précède. Ceci signifie surtout que, dès la première occurrence et sans avoir fourni de résultat auparavant, elle doit donner une estimation chiffrée précise (qui peut dans la mesure du possible contenir plusieurs valeurs : risque maximal ou risque probable notamment).
Nous pouvons également vouloir qu’elle soit plus rapide à réaliser, ou du moins qu’elle se réalise dans un temps acceptable, afin de pouvoir remplacer complètement à terme l’estimation qualitative. Il s’agit ici du temps qu’il serait nécessaire pour mettre en œuvre l’analyse, et ce sans avoir à s’inquiéter outre mesure des délais du calcul (ce dernier pouvant aujourd’hui assez efficacement être délégué, en particulier via le cloud). Il s’agit finalement si nous croisons ce souhait avec le précédent d’avoir une meilleure efficience que l’évaluation qualitative.
Par ailleurs, il est souhaitable que l’estimation quantitative s’appuie sur des données concrètes, afin de gagner en crédibilité dans les résultats produits. En effet, le processus d’une méthode quantitative étant fondée sur des théories mathématiques, seule une implémentation incorrecte pourrait introduire de la subjectivité dans les valeurs obtenues. Ce dernier point permettrait de justifier qu’en un temps équivalent à l’analyse qualitative, nous ayons des résultats plus fins.
Enfin, et cela découle du point précédent, il nous est nécessaire de disposer d’une taxonomie précise, afin que les données à collecter soient clairement définies quel que soit le risque envisagé. En effet, si l’estimation quantitative s’appuie sur des théories mathématiques éprouvées, la qualité des données produites ne dépendra alors plus que de la qualité des données utilisées en entrée, et plus particulièrement de la pertinence et de la cohérence de la donnée au vue de sa définition.

Au centre de la galaxie : passer de la théorie à la pratique

Ayant précisé quels sont les caractéristiques de la quantification, voyons maintenant quels sont les théories mathématiques qui permettraient de prendre en compte l’aléa lié à un risque.

Considérons par exemple la théorie des Fuzzy sets, ou ensembles flous. Cette théorie mathématique est basée sur le principe qu’un élément, au lieu d’appartenir ou non à un ensemble, puisse ne lui appartenir que partiellement selon un degré variable. Cela pourrait permettre de faire ressortir l’occurrence ou l’impact d’un risque au travers du degré d’appartenance de ce risque à des ensembles. Cette théorie, bien qu’intéressante, n’a cependant pas débouché sur des applications concrètes.

Une autre approche, que l’on pourrait qualifier de corrélative, reposerait sur l’utilisation de réseaux de neurones auto-apprenants pour déterminer à partir de données de CTI, quel serait le niveau du risque d’une entreprise au vu de ses caractéristiques. Cette théorie a bénéficié de l’engouement actuel pour l’intelligence artificielle, au point de déboucher au niveau universitaire sur des études comparant les différents modes d’apprentissage (notamment BP[2] ou RBF[3]) en vue d’une utilisation dans le cadre d’une analyse de risque cyber. Cependant, elle ne semble pas à ce jour suffisamment mature pour parvenir à obtenir une méthode réaliste.

Finalement, la seule solution mathématique ayant porté des fruits à ce jour a été l’analyse statistique (et la théorie des jeux qui offre le moyen de combiner les distributions statistiques, voir à ce sujet le billet « Quantification du risque et données : conseils et outils »[4]). Le principe de l’analyse statistique est de se baser sur des observations statistiques pour estimer le niveau d’un risque. L’aléa du risque est alors, en grande partie, pris en compte par la répartition de la distribution statistique.

A partir de ces statistiques, deux approches sont envisageables :

La première est illustrée par une méthode proposée par l’IMF[5]. Elle se propose d’évaluer un risque cyber par une analyse statistique fine et détaillée. Elle est cependant très calculatoire et peu accessible pour une utilisation régulière dans le cadre d’une estimation quantifiée du risque. Elle garde cependant un intérêt indubitable dans le cadre d’une analyse d’un niveau de risque cyber sur plusieurs entités dont on disposerait de données, ce qui peut s’avérer utile pour un assureur ou dans le milieu de la banque. Elle reste cependant cloisonnée à cette utilisation. Réduisant d’autant le périmètre déjà limité des entités disposant d’une maturité cyber acceptable, cette méthode ne semble pas pouvoir proposer à court ou moyen terme une solution exploitable à l’échelle du SI d’une organisation.
La seconde consiste à décomposer tout risque cyber en fonction de caractéristiques communes. C’est notamment l’approche de la méthodologie FAIR : elle propose dans sa taxonomie (cf. ‘comment appliquer la méthode FAIR’1) une dissociation du risque en fonction de son occurrence et de l’impact estimé d’un point de vue financier. FAIR propose ensuite une déclinaison de ces deux paramètres qui, du fait de leur caractère universel, peuvent s’appliquer de ce fait à n’importe quel risque cyber. Ce type de méthode a donc l’avantage de proposer un processus identique pour l’analyse de tout risque cyber, favorisant son utilisation dans un contexte organisationnel qui peut ensuite comparer des risques cyber de nature distincte.

La galaxie de la quantification

La méthode FAIR : un trou noir supermassif

Actuellement, seule la méthode FAIR a donné naissance à des solutions de quantification exploitables au sein d’une entreprise. Son monopole dans le domaine est tel, qu’elle est devenue une référence incontournable pour qu’une solution ou une méthodologie subsiste. Tel un trou noir, elle attire à elle toutes les solutions actuelles de quantification. Nous pouvons par exemple pour illustrer ceci citer la bibliothèque Risquant, développée par le département R&D de Netflix[6]. Cette dernière annonce clairement s’appuyer sur la méthode FAIR. Elle prend néanmoins une grande liberté dans l’interprétation de la taxonomie et de l’analyse, mais le fait de citer cette filiation lui permet cependant d’être plus facilement acceptée et reconnue.

Cette hégémonie de FAIR s’explique assez facilement :

Pour commencer, c’est une méthode pragmatique par conception. Son inventeur, Jack Jones, l’a mise sur pied alors qu’il était RSSI d’un grand groupe américain, et qu’il lui était demandé de justifier du ROI cyber. Elle a donc été initiée dans un but opérationnel, puis s’est affinée et a gagné en crédibilité en s’appuyant sur des outils et des théories mathématiques. Ce concept de développement (i.e. le fait que la méthode soit née d’un besoin puis justifiée ensuite mathématiquement), fait de FAIR une méthode particulièrement appréciée des premiers concernés que sont les RSSI et autres cyber-risk managers.
Ensuite, elle a été particulièrement visionnaire, puisqu’elle a précédé toutes les autres méthodes. Apparue en 2001, elle a fait dès 2006 l’objet d’une publication explicitant en détail son fonctionnement et sa taxonomie. Au fur et à mesure, une communauté s’est constituée autour de Jack Jones et de sa méthode, le FAIR Institute. Ce dernier a eu à cœur de poursuivre la maturation et la diffusion de la méthode. Ceci s’est notamment concrétisé par la mise en place de facilitateurs pour la rendre toujours plus efficiente et exploitable.
La méthode FAIR dispose également d’une base particulièrement solide : outre la publication évoquée ci-dessus et qui a fait l’objet en 2016 d’une réédition enrichie, elle s’appuie sur deux documents de standardisation, édités par l’OpenGroup (consortium à l’origine du standard d’architecture de SI TOGAF). L’OpenGroup propose également une certification à la méthode, basée sur ces deux standards, et qui ajoutent au rayonnement de la méthode.
Enfin, FAIR est fortement soutenue (en particulier outre-Atlantique) : la communauté qui l’anime est particulièrement active et contribue autant à son évolution qu’à sa promotion : les liens entre l’OpenFAIR et le FAIR Institute, tous deux cités ci-dessus, sont sensiblement étroits. La solidité de ses liens est assurée par le fait que Jack Jones, père de la méthode, joue un rôle central dans les deux organisations.

Ainsi, dans le monde de la quantification du risque cyber, les seules solutions opérationnelles à ce jour s’appuient toutes, avec une filiation plus ou moins grande mais toujours affichée, sur la méthodologie FAIR.

Si la maturité de celle-ci semble désormais acquise, son monopole dans le domaine permet avec peu de doute d’envisager, au moins pour les années à venir, qu’elle restera la seule méthode de quantification. Pour qu’une autre méthode puisse un jour faire jeu égal, et outre le fait qu’il lui faudra asseoir sa crédibilité conceptuelle, il lui faudra surtout se faire une place à côté de l’hégémonie de FAIR, tout en prouvant qu’elle est plus efficiente que cette dernière, qui a désormais acquis ses lettres de noblesse.

[1] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[2] Back-propagation : propagation inverse

[3] Radial basis functions : fonctions de base radiale

[4] Article 2 disponible sur Risk Insight

[5] https://www.imf.org/en/Publications/WP/Issues/2018/06/22/Cyber-Risk-for-the-Financial-Sector-A-Framework-for-Quantitative-Assessment-45924

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

Cet article Estimation quantifiée du risque (1/2) : L’odyssée de la quantification est apparu en premier sur RiskInsight.

Comment définir une stratégie efficace de gestion de la sécurité des fournisseurs ?

Matthieu Péquin — Wed, 04 Nov 2020 09:00:29 +0000

De plus en plus de nos clients nous sollicitent sur la gestion de la sécurité de leurs fournisseurs. Et pour cause, les fournisseurs constituent un chemin d’attaque de plus en plus privilégié par les attaquants. Selon une étude menée par Soha Systems, 60% des incidents de sécurité proviennent directement ou indirectement d’un fournisseur. Les exemples les plus parlants sont notamment le logiciel de comptabilité M.E.Doc identifié comme le patient zéro de NotPetya ainsi que les attaques Cloud Hopper visant à compromettre des fournisseurs de services cloud afin d’attaquer un client final.

Paradoxalement à cela, seulement 35 % des organisations considèrent comme efficace leur processus de gestion de la sécurité des fournisseurs (selon une étude menée par l’institut Ponemon).

Alors, comment définir une stratégie efficace de gestion de la sécurité de vos fournisseurs ? Quels sont les facteurs clés de succès ?

Adopter une stratégie de gestion des fournisseurs par les risques

Qu’il s’agisse de partenaires métier, de sous-traitants ou de prestataires de services informatiques, nombre de vos fournisseurs gèrent ou ont accès à vos actifs. Ils constituent une source de risques pour votre organisation et il est donc clé de vous assurer qu’ils s’engagent à respecter un niveau de sécurité conforme à vos exigences.

Selon le périmètre métier sur lequel vos fournisseurs interviennent et le type de service qu’ils fournissent, le niveau de risque pour votre organisation est plus ou moins élevé. Notre recommandation est donc de classifier vos fournisseurs afin d’adapter la manière de gérer la sécurité selon le niveau de risque qu’ils portent.

Vos fournisseurs pouvant se compter en milliers, cette classification vous permettra également de prioriser et de garder une charge de travail acceptable pour vos équipes.

Pour ce faire, notre premier conseil est de cartographier vos fournisseurs. Nous remarquons sur le terrain que peu d’organisations possèdent une cartographie exhaustive et que sa réalisation constitue un projet fastidieux qui nécessite l’intervention de nombreux acteurs (achats, département juridique, métier…). Ainsi, nous vous conseillons de commencer par définir un processus pour capter vos nouveaux fournisseurs ainsi que de recenser en priorité vos fournisseurs intervenant sur des activités métiers identifiées comme critiques dans vos BIA (Business Impact Assessment). Ensuite, vous pourrez élargir progressivement aux autres fournisseurs.

À partir de cette cartographie, vous pourrez évaluer la criticité sécurité de vos fournisseurs et les classifier selon une échelle à plusieurs niveaux. Pour cela, nous vous suggérons de notamment prendre en compte les critères suivants :

La criticité métier du projet ou de l’actif sur lequel le fournisseur intervient ;
Le degré d’interconnexion du fournisseur à votre SI ;
L’accès du fournisseur à des données sensibles ou confidentielles ;
L’exposition du service fourni sur Internet.

Cependant, nous constatons auprès de nos clients qu’il n’est pas toujours évident d’appliquer ces critères par manque d’informations sur certains fournisseurs. Ainsi, nous vous suggérons de faire valider « à dire d’expert » votre classification par vos équipes sécurité, vos responsables informatiques et votre métier.

Exemple de classification sécurité des fournisseurs, selon une échelle à 3 niveaux

Intégrer la sécurité tout au long du cycle de vie

Nous constatons sur le terrain que la plupart des organisations évaluent leurs fournisseurs avant de contractualiser et intègrent des clauses de sécurité dans les contrats. Toutefois, la sécurité des fournisseurs n’est pas toujours prise en compte par la suite.

Nous recommandons d’intégrer la sécurité tout au long du cycle de vie des fournisseurs en les responsabilisant et en adoptant une position de contrôle.

Cycle de vie de la gestion des fournisseurs

Durant la contractualisation

Durant la contractualisation, l’objectif est de s’assurer que le fournisseur choisi par votre métier réponde à vos exigences de sécurité. Pour ce faire, nous vous conseillons d’intégrer la sécurité lors de chaque étape du choix d’un fournisseur :

Inclure la sécurité dans vos appels d’offres, c’est-à-dire expliciter vos exigences de sécurité et vos modalités d’évaluation ;
Évaluer le niveau de maturité sécurité des fournisseurs dans le cadre de l’analyse des réponses à l’appel d’offres ;
Fournir une recommandation de sécurité à votre métier en fonction de la sensibilité du projet et du risque porté par le fournisseur ;
Inclure dans le contrat avec le fournisseur choisi des clauses de sécurité adaptées à sa criticité et au service fourni.

Pendant la durée du contrat

Afin de s’assurer que vos fournisseurs garantissent un niveau de sécurité conforme à l’état de l’art et respectent vos exigences de sécurité pendant toute la durée du service fourni, nous suggérons de :

Intégrer vos fournisseurs dans vos méthodologies d’analyse de risques lorsqu’ils interviennent sur un projet. Ceci est d’ailleurs mis en place dans la méthodologie EBIOS RISK MANAGER qui permet de recenser l’ensemble des parties prenantes intervenant sur un projet puis d’établir un plan d’actions de mise sous contrôle de l’écosystème. Un suivi de l’implémentation de ces mesures doit être mené auprès du fournisseur ;
Mettre en place des revues de sécurité à des fréquences adaptées aux risques et donc au niveau de classification du fournisseur. Ainsi, les fournisseurs les plus critiques pourront être revus a minima annuellement tandis que les moins critiques le seront uniquement lors du renouvellement du contrat ;
Définir au sein de votre organisation un processus dédié à la gestion des incidents de sécurité impliquant un fournisseur et disposer de fiches réflexes sur les incidents avec des tiers ;
Auditer le fournisseur en cas de besoin (par exemple à la suite d’un incident de sécurité majeur ou de l’identification d’un risque critique).

À la fin du contrat

Un renouvellement de contrat constitue une occasion pour réaliser une nouvelle évaluation de la posture sécurité du fournisseur et éventuellement mettre à jour les exigences contractuelles.

En cas d’arrêt du contrat, vous pourrez activer vos clauses de réversibilité et il est important de vous assurer que la sécurité est bien prise en compte dans le décommissionnement du service fourni.

Industrialiser l’évaluation des fournisseurs grâce à des solutions du marché

Nous constatons sur le terrain que beaucoup d’organisations évaluent et contrôlent la sécurité de leurs fournisseurs à l’aide de questionnaires propriétaires, non automatisés et qui nécessitent de nombreuses ressources externes. De plus, les fournisseurs de taille importante peuvent refuser de remplir ces questionnaires tandis que les plus petits ne répondent pas toujours correctement.

Par ailleurs, nous remarquons également que très peu d’organisations ont pour le moment adopté une approche d’évaluation massive.

Afin de rationaliser l’approche, nous vous suggérons donc d’abandonner ces solutions d’évaluations historiques pour adopter des solutions adaptées au niveau de criticité des fournisseurs et pouvoir passer à l’échelle.

Pour les fournisseurs les plus critiques

Nous conseillons d’opter pour une démarche d’évaluation co-constructive avec vos fournisseurs les plus critiques, tout en adoptant une position de contrôle. Ceci se traduit par les actions suivantes tout au long du cycle de vie :

Evaluer vos fournisseurs les plus critiques sur la base de leurs certifications cybersécurité et de leurs rapports de conformité sur le périmètre du service fourni ;
Etablir un Plan d’Assurance Sécurité contractuel afin de définir la gouvernance sécurité de la prestation ;
Organiser des revues de sécurité (a minima annuelles) pour contrôler le niveau de sécurité de vos fournisseurs sur la base des indicateurs définis dans le Plan d’Assurance Sécurité (maintien des certifications, incidents de sécurité, audits, roadmap sécurité…). Ces comités sont également l’occasion d’instaurer une relation de confiance avec vos fournisseurs, par exemple en discutant des actualités et évènements de sécurité ainsi que des conférences que vous pourriez faire en commun.

Pour les fournisseurs présentant une criticité moyenne à faible

Afin d’adopter une approche massive dans l’évaluation et la revue de la sécurité de vos fournisseurs non critiques, des solutions du marché peuvent être utilisées.

En effet, des éditeurs et des startups (tels que CyberVadis, CyberGRX, Risk Ledger) sont positionnés sur l’industrialisation des évaluations de sécurité des fournisseurs. Ceci fera l’objet de l’un de nos prochains articles.

Leurs solutions sont basées sur des questionnaires de maturité dont les résultats sont partagés entre l’ensemble de leurs clients. Plus concrètement, ces plateformes fonctionnent de la manière suivante :

Fonctionnement des solutions d’évaluation de la maturité d’un fournisseur

Bien que ces solutions soient pour le moment peu personnalisables selon des exigences spécifiques à votre organisation, elles vous permettront notamment de :

Obtenir des évaluations de sécurité adaptées à des fournisseurs non critiques ;
Réduire la charge de vos équipes sécurité ;
Partager les évaluations fournisseurs avec d’autres clients et donc pouvoir disposer très rapidement d’évaluations déjà réalisées ;
Adopter une approche gagnant-gagnant avec vos fournisseurs qui partageront un unique questionnaire pour l’ensemble de leurs clients et se verront proposer des plans d’actions afin de remédier aux écarts constatés ;
Vulgariser la sécurité des fournisseurs auprès de votre métier ou de vos équipes achat grâce à des scores didactiques sur différentes thématiques.

S’assurer de l’efficacité de votre processus de gestion de la sécurité des fournisseurs

Des interlocuteurs métiers aux chefs de projets informatiques et en passant par les équipes achats et juridiques, la gestion de la sécurité des fournisseurs implique un nombre important d’acteurs de votre organisation. Elle ne peut être un succès que si votre processus est connu et appliqué par tous. Ainsi, il est clé de former et sensibiliser l’ensemble des parties prenantes.

Afin de s’assurer de la bonne mise en application de votre processus, il est important de définir et mettre en place des contrôles couvrant l’ensemble des étapes du cycle de vie de gestion des fournisseurs. Dans un premier temps, nous vous recommandons de définir des cibles réalistes en vous concentrant sur vos fournisseurs les plus critiques. Au fil du temps, ces cibles pourront évoluer pour prendre en compte vos fournisseurs présentant des niveaux de criticité plus faibles.

Vos contrôles peuvent notamment porter sur la classification de vos fournisseurs, leur évaluation ainsi que leur revue à une fréquence adaptée pendant la durée du contrat.

Inscrire la sécurité des fournisseurs dans une démarche « Know Your Supplier »

A la manière de la démarche KYC (Know Your Customer) dans le B2C, nous suggérons d’inscrire la sécurité des fournisseurs dans un esprit KYS (Know Your Supplier) où l’objectif est de prendre en compte l’ensemble des risques fournisseurs de manière consolidée.

Les évaluations de sécurité et notamment les plateformes d’évaluation de maturité pourront être intégrées au sein des outils de gestion des fournisseurs (source to contract), au même titre que notamment les évaluations financières, RSE, impact environnemental, anti-corruption et anti-blanchiment d’argent. Ceci permettra de faciliter l’intégration de la sécurité dans vos processus de sourcing et de revues des fournisseurs.

Rendez-vous au prochain épisode pour un article sur les solutions du marché permettant d’automatiser l’évaluation de la sécurité de vos fournisseurs.

Cet article Comment définir une stratégie efficace de gestion de la sécurité des fournisseurs ? est apparu en premier sur RiskInsight.

Citalid | Shake Up – La Cyber Threat Intelligence au service de l’optimisation des budgets cyber

Maxime Cartan — Tue, 03 Nov 2020 08:00:17 +0000

Citalid est une startup tech française fondée en 2017 qui met à disposition des RSSI et Risk Managers un logiciel de quantification et de management du risque cyber. La technologie fortement innovante de Citalid permet à ses clients de bénéficier de simulations, métriques et recommandations directement opérationnelles pour optimiser leur ROSI (Return On Security Investments) grâce à sa capacité unique à croiser des données techniques, contextuelles et financières. Citalid fait partie du programme d’accélération des startups de Wavestone, Shake’Up.

Pour l’instant moins connue et moins répandue en Europe que ses consœurs EBIOS RM & Mehari (entre autres), la méthode d’analyse de risques FAIR comble néanmoins des vides laissés par les autres approches. Déjà mise en avant par Wavestone dans un article précédent, ses principaux atouts résident dans la mise en perspective de données habituellement boudées par l’analyse de risque traditionnelle d’une part, et d’autre part dans sa capacité à générer des métriques dédiées à l’aide à la décision stratégique et adaptées au langage des décideurs, comme la Value at Risk.

Néanmoins, comme le souligne ce même article, cette approche est a priori desservie par le temps, les ressources humaines et la multiplicité des connaissances nécessaires pour la mener à bien. Dès lors, bien que le concept soit séduisant, est-il réaliste de déployer la méthode FAIR ? Comment traduire opérationnellement sa nomenclature ? Quid de son automatisation ? Plus largement, apporte-t-elle une plus-value suffisante pour justifier son utilisation ?

Nonobstant son efficacité indéniable en matière de quantification des risques, une telle approche nécessite d’être encadrée à la fois par un dispositif technique adapté et par un accompagnement fonctionnel, essentiel dans la collecte des données. C’est d’autant plus vrai que quantifier financièrement ses potentielles pertes financières en cas d’incident cyber n’est pas suffisant : encore faut-il avoir la capacité de les mettre en perspective dans un écosystème de menaces polymorphes et évolutives. C’est toute l’innovation de Citalid : être capable de réaliser une quantification dynamique du risque cyber à destination des décideurs, en croisant automatiquement la réalité de la menace qui pèse sur une entreprise, son contexte métier et sa maturité défensive. Et, surtout, ne pas s’arrêter à la seule analyse : générer un plan d’action qui reflète l’équilibre optimal entre efficacité et rentabilité.

L’empirisme comme cadre d’automatisation de FAIR

Contextualiser l’environnement externe

Comme dans toute analyse, l’objectivité de l’observation croît avec le nombre de paramètres pris en compte. S’il est fréquent, voire habituel, que le contexte interne d’un système d’information soit étudié, il est plus rare que l’analyste s’intéresse à l’ensemble des dynamiques externes pouvant influencer l’analyse. Ces dynamiques, qui peuvent revêtir des réalités variées comme nous allons le voir, peuvent pourtant fortement influencer la fréquence et l’intensité des menaces cyber. Il est toutefois difficile de dresser une typologie exhaustive de ces données, et leur prise en compte relève quasi-systématiquement du mélange de deux ingrédients :

La curiosité et l’esprit logique de l’analyste (in fine, sa capacité à se projeter dans / s’adapter à un contexte) ;
La bonne visibilité du ou des responsable(s) du système et des activités sur leurs périmètres ;

Parmi les critères exogènes pouvant infléchir l’analyse de risque figurent : l’environnement concurrentiel, la position de l’entreprise sur son marché, ses implantations géographiques, les dynamiques géopolitiques, les politiques internes, le cadre normatif, le climat socio-économique, la diversité de ses activités, etc.

Pour autant, il serait aisé de se perdre dans ce labyrinthe de critères. Il est donc nécessaire d’accompagner le décideur dans la constitution d’une cartographie de son environnement au sens le plus englobant du terme. C’est donc par l’échange et l’intelligence collective qu’un premier niveau de filtre se crée, en dressant un périmètre d’analyse à la fois structuré et flexible.

Si définir le périmètre de l’analyse permet de fixer un cadre cohérent, une multitude de risques peuvent toutefois s’y insérer. Il est d’ailleurs à noter que le périmètre défini peut lui-même être une composante d’un périmètre d’analyse plus large. En ce sens, les différents périmètres déterminés peuvent s’articuler sous forme d’arbre hiérarchique, calquant souvent l’organisation interne de l’entreprise (cf. schéma ci-dessous).

Ainsi, dans l’exemple ci-contre, le niveau groupe est représenté par le périmètre « Energy Company », qui agrège le risque de l’ensemble de ses périmètres « enfants » (ici ses « business units »). Chaque périmètre présente pourtant un contexte et des risques qui lui sont propres. Cette arborescence joue un rôle prédominant dans la construction d’une bibliothèque pertinente de scénarios de risques afférents. On pourrait aisément être tenté de remonter à l’échelon groupe pour globaliser ses scénarios, mais cela détériore souvent de facto la granularité, et donc la qualité, de l’analyse en raison des particularismes de chaque périmètre.

Construire une bibliothèque pertinente de scénarios

Ce travail de cadrage conditionne donc le choix et le paramétrage des scénarios de risque. Ce paramétrage et le calcul en résultant est rendu complexe par le nombre de critères à prendre en compte et l’incertitude inhérente au risque cyber. Sans revenir sur la méthodologie propre à FAIR déjà abordée sur ce blog, il peut donc être long et fastidieux de construire un grand nombre de scénarios de risque tout en tenant compte des spécificités de chaque périmètre. Une solution à ce problème réside donc dans la construction d’une bibliothèque de scénarios pouvant s’adapter à chaque contexte métier et englobant plusieurs typologies de menaces. En se fondant sur l’expérience des opérateurs et les données accumulées, Citalid dispose aujourd’hui de plusieurs bibliothèques de scénarios et de pertes, répertoriées dans des répertoires ‘Métiers’. Ceux-ci sont facilement exportables sur la plateforme, tout en conservant une part de flexibilité permettant aux scénarios indiqués de s’adapter très précisément au contexte business. Dans la continuité du use-case utilisé plus haut, l’image ci-dessous illustre une bibliothèque ‘fictive’ de scénarios reliée au secteur ‘Energie’. S’agissant d’une version ‘Démo’, ce panel est toutefois non exhaustif.

C’est ainsi que la bibliothèque de scénarios de Citalid s’inscrit dans une double-dynamique à première vue contradictoire : capables de répondre aux exigences d’efficacité et d’automatisation de l’analyse, elle reste suffisamment flexible pour s’implémenter avec précision et pertinence dans n’importe quel contexte. Chaque typologie de menace, combinée aux caractéristiques du périmètre analysé, détermine la fréquence d’occurrence et les pertes financières, qu’elles soient primaires ou secondaires, inhérentes au scénario choisi. Dans le cas d’un scénario d’espionnage économique par exemple, on peut affirmer sans trop s’avancer qu’il y aura systématiquement une perte liée à la remédiation de l’incident, une perte liée à l’exfiltration des données et une perte résultant de l’atteinte à la réputation de l’entité si l’attaque venait à devenir publique.

En complément, pour que les paramètres quantitatifs (fréquence de la menace, résistance du SI à l’attaque, fréquence et magnitude des pertes, actifs ciblés, etc.) du scénario restent pertinents, ils doivent être profilés sur les caractéristiques du périmètre cible. C’est pourquoi l’expertise de Citalid réside en partie dans la définition et le maintien à jour – les menaces cyber et les abaques disponibles évoluant vite – d’une bibliothèque de templates au sein de laquelle l’analyste doit pouvoir piocher pour amorcer facilement et automatiquement son évaluation du risque.

Accumuler des données sur les menaces cyber et leurs impacts permet donc de calibrer des « templates » de scénarios, et d’automatiser ainsi progressivement l’analyse FAIR. En combinant renseignement sur la menace, modèles techniques et abaques issues d’analyses en source ouverte et de retours clients pour aider les analystes, la plateforme Citalid – plusieurs fois primée pour son innovation[1] – prend le parti de l’intelligence collective pour assurer une rigueur scientifique et une précision inégalée dans la quantification des pertes financières.

Remettre les risques en perspective avec l’écosystème de défense

Le RSSI comme pilote de son SI

En matière de management de la cybersécurité, le RSSI constitue, sans surprise, le point central du dispositif. Pour cela, il doit avoir la capacité de visualiser rapidement l’ensemble du panorama des risques cyber pesant sur son SI – une vision « cockpit », pour ensuite infléchir des orientations à plus grande échelle. Il a donc besoin d’un GPS pour le guider dans ses décisions : comment mener son SI d’un point A (état des lieux du risque actuel) à un point B (exposition au risque souhaitée), en prenant soin d’optimiser sa trajectoire (investissements cyber) tout en évitant les obstacles (menaces) qui apparaissent dynamiquement sur sa route.

Exemple de dashboard de risque, illustrant la vision ‘cockpit’ du RSSI.

Une fois les différents scénarios établis et la quantification réalisée, la difficulté réside dans la possibilité de traduire ces risques qualifiés de « bruts » en une roadmap stratégique. La première étape consiste ainsi à mettre en perspective ces risques en les confrontant à l’infrastructure défensive actuelle du SI. La connaissance de son environnement constitue un prérequis à l’analyse pour le RSSI. D’autant plus qu’en matière d’infrastructure défensive, deux options majeures existent et se complètent parfois : opter pour une logique de maturité défensive fondée sur le respect d’un ou plusieurs référentiel(s) (ISO 27k, NIST, CIS, etc.) ou réaliser – puis comparer avec ses pairs – un inventaire et une évaluation de l’ensemble des solutions de sécurité déployées sur le périmètre.

« Une confrontation permanente entre théorie et expérience est une condition nécessaire à l’expression de la créativité » ^[1]. On ne saurait trouver aphorisme plus révélateur de la méthode énoncée ici : celle de la confrontation entre théorie (risques bruts) et expérience (évaluation de la maturité défensive fondée sur une multitude de retours et d’incidents) comme condition nécessaire de la création d’une roadmap. La confrontation permet d’obtenir le risque « net » auquel est réellement confrontée l’entreprise, inférieur au risque brut puisqu’il considère les défenses du SI.

Alimenté par des métriques « actionnables », le décideur pourra désormais avoir une visibilité sur son risque réel dans son langage, et par conséquent pouvoir arbitrer et déterminer sa destination – son point B – en fonction de son appétit au risque et de la politique de l’entreprise. Quels scénarios traiter en investissant pour réduire le risque associé ? Lesquels maintenir, au regard de leur faible impact économique ? Lesquels partager à un assureur cyber ? Toutefois, comme nous allons le voir, la modélisation du risque net décrite dans le paragraphe précédent requiert une connaissance conséquence de l’écosystème de menaces dans lequel il s’inscrit.

La Cyber Threat Intelligence, catalyseur d’une gestion des risques optimale

L’une des principales lacunes du management des risques en matière de cybersécurité se cristallise autour de la difficulté à déployer une approche qui reflète la réalité du risque « terrain ». Le RSSI ou le Risk Manager doit donc également avoir un radar pour détecter dynamiquement les obstacles sur son chemin (menaces) et, dans la mesure du possible, anticiper et prévenir les impédimentas.

Ainsi, de la même façon qu’un éboulement de pierre sur une route est le résultat d’une conjonction de multiples facteurs (conditions météorologiques, caractéristiques géologiques, activité humaine, etc.), le passage à l’acte d’un attaquant dépend de nombreux éléments. Ces éléments doivent, dans la mesure du possible, être observés et inclus dans l’analyse de risque. Dès lors, la Cyber Threat Intelligence (CTI), discipline dédiée à l’étude et la contextualisation des modes opératoires des attaquants, enrichit et dynamise les analyses de risque traditionnelles. La maîtrise et l’inclusion de cette discipline dans la gestion du risque cyber est l’un des différenciateurs majeurs de Citalid et irrigue toute sa culture d’entreprise.

Comment marier opérationnellement et durablement les données de CTI aux calculs de risque annoncés dans le paragraphe précédent ? On peut en avoir l’intuition en constatant les trois faits suivants :

Le segment de marché de l’entreprise aide à déterminer les modes opératoires les plus susceptibles de s’intéresser à elle ;
Les techniques d’attaques utilisées par ces modes opératoires et leurs centres d’intérêt au sein des SI ciblés permettent d’identifier les actifs les plus critiques et de savoir comment améliorer leur protection ;
En confrontant à nouveau les données de CTI définies dans les deux points précédents avec son infrastructure défensive, l’entité peut identifier quel champ d’application (au sens entendu par un référentiel de sécurité) ou quelle solution de défense n’est pas assez rentable (réduction du risque par rapport au coût).

Le schéma ci-dessus représente un exemple concret d’application de la CTI à l’analyse de risque, agissant comme un véritable catalyseur pour dresser des orientations. Un mode opératoire s’exprime techniquement à travers sa « Kill Chain », soit l’enchaînement des techniques d’attaque qu’il met en œuvre pour arriver à son objectif. Citalid a cartographié les liens entre ces TTPs (Tactics-Techniques-Procedures) et des points précis de différents référentiels de sécurité (ici le CIS20), ces derniers étant les mesures défensives les plus adaptées aux TTPs définis dans le schéma. Sur la première ligne, on observe par exemple que la mesure CIS 16.3 (entre autres) est suffisamment déployée chez l’entité cible pour limiter l’impact des TTPs indiquées à cette étape de la Kill Chain. Sur la seconde ligne, en revanche, l’inverse se produit : la mesure CIS 11.1 n’est pas suffisamment mature pour opérer une protection efficace contre la sophistication de l’attaquant. C’est donc sur cette ligne que le défenseur doit potentiellement se concentrer.

La dernière ligne cristallise les intérêts de l’enrichissement de l’analyse par la CTI. Le carré jaune détermine la progression de maturité due à la mise en place de solutions de sécurité pertinentes pour la mesure CIS 11.1 (par exemple un système de gestion des périphériques réseau), solutions qui sont automatiquement déterminées et recommandées à l’utilisateur dans le cas du moteur de calcul Citalid. Autrement dit, ce différentiel exprime indirectement une voie à suivre vers une maturité et résilience optimales pour ce scénario spécifique, point de départ de la définition d’une stratégie d’investissement cyber sur-mesure.

Transformer l’analyse en stratégie

Formuler une stratégie cyber alignée sur des objectifs groupe

Une analyse de risque réussie et pertinente se caractérise par la facilité qu’aura l’observateur à visualiser immédiatement comment transmuter les données en actions. Elle se doit donc d’être intelligible et cohérente pour le récipiendaire, quels que soient son niveau de technicité et sa position dans l’organigramme. Autrement dit, l’analyse de risque seule est insuffisante : elle ne peut véritablement servir que si elle donne naissance à une stratégie de long-terme.

Cette vision, fortement orientée vers les niveaux les plus stratégiques, marque l’ADN même de Citalid. Derrière le calcul des risques (brut et réel) et des recommandations les plus efficaces (référentiels comme solutions) grâce à la CTI, l’objectif est de pouvoir proposer un indicateur de retour sur investissement (ROI) des solutions de sécurité. En visualisant sa position initiale (A), sa position souhaitée (B) et les différents chemins possibles (investissements de défense), le décideur final doit pouvoir comparer le ROI des différentes options et dresser une stratégie d’investissement cyber en accord avec son budget et ses objectifs réels.

De plus, l’objectif derrière cette approche singulière est double. Dans un premier temps, il s’agit d’accompagner nos clients dans la définition de leurs stratégies de cybersécurité et dans l’application d’un plan d’action co-construit, visant de fait à pallier les failles rendues visibles par l’analyse. Toutefois, pour que cette stratégie reste réaliste, il est primordial de s’assurer qu’elle puisse s’inscrire dans une dynamique globale et donc qu’elle soit rapidement assimilable par une instance hiérarchique supérieure (COMEX). Pour répondre à ce besoin, nous avons, chez Citalid, affiné notre prestation afin que celle-ci soit en phase avec les réalités du RSSI :

Par l’adaptation de la plateforme en matière d’ergonomie, de niveau de technicité et de langage, pour que les tableaux de bord soient transparents et facilement interprétables ;
Par l’assistance auprès de notre clientèle dans la définition des budgets et dans leur légitimation et justification (plaidoyer) au regard de la réalité de la menace.

En alignant les stratégies de cybersécurité sur des stratégies d’investissement plus large, en phase avec les objectifs fixés par le groupe, Citalid entend garantir et renforcer le rôle prédominant du RSSI dans le pilotage de la résilience cyber.

Capitaliser sur l’approche par le déploiement d’un indice de risque

L’avantage majeur quant au choix d’opérer une approche globalisante en matière de sécurité repose sur son potentiel d’agrégation du risque à n’importe quel niveau (groupe, business unit, application, projet, etc.) et de normalisation (comparaison entre périmètres et pairs). À la manière des agences de notation, ce « scoring » de l’entité, qui ne prend pas seulement en compte son niveau de maturité sur ses actifs exposés mais également sa stratégie de gestion du risque, son organisation interne, la réalité de la menace, son contexte business propre, etc. peut se transformer en un indice global de risque, symbole de la résilience de l’entité et suivi par sa direction. Ceci est d’autant plus vrai qu’une approche scientifique fondée sur de nombreux paramètres hétérogènes présente un caractère d’objectivité souhaitable, pour l’entité comme pour ses partenaires et collaborateurs.

Cette fois, il ne s’agit plus seulement de se positionner dans son environnement, mais bien de se positionner par rapport à d’éventuels pairs (comparaison) et partenaires (garanties). Un indice de risque traduisant une résilience élevée et une gestion des risques saine aura pour effet d’assurer à ses fournisseurs ou clients finaux une sécurité optimale et un respect de leurs données, tout en rassurant les investisseurs sur la bonne utilisation de leurs fonds.

Exemples d’indices de risque réalisés par Citalid : il s’agit, en l’occurrence, d’une ‘Météo cyber’ permettant d’identifier les variations de l’exposition médiatique d’un client.

D’autres acteurs pourraient également tirer profit d’un tel index : le milieu assurantiel, et en particulier les cyber-assureurs. La quantification du risque cyber reste un obstacle pour eux, les approches actuarielles classiques étant limitées par le manque de données historiques en cybersécurité. Le modèle de Citalid, présenté ici, combine expertise de la menace, modèles probabilistes avancés et simulations attaque-défense innovantes afin de pallier ce manque de données. Notre « scoring » et nos métriques, fondés sur les risques plutôt que sur un simple niveau de défense, permettent donc d’affiner le modèle assurantiel pour être au plus proche des besoins réels de leurs clients.

Ainsi, la quantification du risque cyber et du retour sur investissement des solutions de sécurité constitue aujourd’hui l’un des plus grands défis auxquels font face les RSSI, Risk Managers et assureurs. À travers son approche innovante, Citalid répond à ce besoin de repositionner la cybersécurité au cœur des stratégies d’entreprises et d’optimiser ses plans d’actions et investissements.

^[1] Attribuée à Pierre Joliot-Curie

Cet article Citalid | Shake Up – La Cyber Threat Intelligence au service de l’optimisation des budgets cyber est apparu en premier sur RiskInsight.

TESTEZ ET AUGMENTEZ VOTRE RÉSILIENCE : COMMENT CONSTRUIRE VOTRE PROGRAMME DE TEST

m@THIEU — Mon, 14 Sep 2020 16:00:06 +0000

Cette année a été exceptionnellement éprouvante pour les particuliers, les entreprises et les gouvernements du monde entier. Vivre et travailler en mode de crise a introduit toute une série de défis, certaines entreprises les relevant mieux et plus rapidement que d’autres. Quel est le dénominateur commun ? La réponse, dans la plupart des cas, est un fort réflexe de crise, construit au fil des ans grâce à un effort constant.

Les tests sont un élément important de la résilience opérationnelle et peuvent prendre de nombreuses formes, depuis les tests de reprise après sinistre pour assurer la continuité des services jusqu’aux simulations de crise de bout en bout pour examiner la prise de décision. Il permet de gérer les risques de manière proactive, d’intégrer le cadre de gestion des crises et d’améliorer en permanence les capacités telles que la continuité des activités, la gestion des crises, la reprise après sinistre (DR) et la résilience cyber. Il va sans dire que la formation joue un rôle important dans un tel programme d’essai.

« Une meilleure sensibilisation nourrit une culture organisationnelle qui englobe la résilience opérationnelle et, par conséquent, améliore la préparation de l’entreprise à faire face à l’adversité ».

D’une entreprise à l’autre, les bons programmes d’essai varient en nature, en ampleur et en complexité. En fonction de la structure et des activités de l’entreprise, les tests sont effectués à différents niveaux et endroits de l’organisation, avec la participation de parties externes (c’est-à-dire les fournisseurs critiques). En réalité, si les autorités de réglementation ne donnent que peu d’indications sur ce qui est « bon », les programmes sont souvent fragmentés et peuvent causer un véritable casse-tête.

PRINCIPES POUR LA CRÉATION D’UN PROGRAMME D’ESSAI RÉUSSI

Bien qu’il n’y ait pas de solution miracle pour créer un programme de test adapté, nous recommandons de suivre six principes directeurs pour en concevoir un qui soit efficace et adapté aux besoins de votre organisation. Le respect de ces principes pourrait améliorer considérablement les résultats du programme.

1. Penser à long terme

Lors de l’élaboration d’un programme de tests, il est primordial de définir ce que vous voulez atteindre en 3 ans. L’accent mis sur les résultats donne l’orientation requise tout en offrant la souplesse nécessaire pour remodeler le programme de tests chaque année afin de répondre aux changements tout en se concentrant sur l’objectif final. Commencez par de petits tests moins complexes, tels que des tests de fonctionnement, et passez à des exercices de simulation de crise très impliqués et réalistes.

2. Commencer par les menaces

Chaque test doit établir un lien avec la ou les menace(s) résultant d’un ou plusieurs scénarios d’incidents majeurs plausibles (et leurs impacts). Anticipez et comprenez les nouvelles menaces grâce à la surveillance du marché et tirez parti des rapports d’audit et des évaluations des risques lors de l’élaboration ou de la révision de votre programme.

3. Focus sur les services importants aux entreprises

Aligner les tests des dispositifs d’urgence existants sur les services commerciaux importants et les processus clés. Cela permet d’assurer la préparation en cas de situation à fort impact sur les entreprises et d’éviter les difficultés découlant d’un manque de vision de bout en bout.

4. Diversifier les tests

Les scénarios les plus probables et les plus impactants doivent être examinés avec différents groupes de parties prenantes par le biais de différents types de tests. Cela permet de s’assurer que la théorie fonctionne dans la pratique et que les différents réflexes sont ancrés dans l’ADN de l’organisation.

Pour obtenir plus d’avantages, il faut aller au-delà des plans d’urgence autonomes et des tests d’outils de communication et en examiner une combinaison avec les parties prenantes internes et externes, commerciales et techniques.

Le radar ci-dessus est un exemple indicatif de ce que serait un bon programme d’essai. Les catégories de menaces considérées sont aléatoires et pourraient être sélectionnées différemment, à condition de maintenir la diversification (mix-and-match).

Simulation de crise

Les simulations de crise examinent une situation de catastrophe hypothétique avec des parties définies et des cellules de stimulation multiples. Elles permettent de répéter l’établissement et la communication des besoins de rétablissement et de mener à bien les activités pertinentes. La simulation de crise peut être un exercice sur table (niveau 1), une simulation pratique (niveau 2), une simulation pratique de crise multi-cellules (niveau 3) ou une simulation pratique internationale multi-cellules avec plusieurs parties (niveau 4).

Essais de récupération de la zone de travail

Le test de reprise de la zone de travail vérifie si les processus commerciaux complets de bout en bout peuvent être exécutés hors site, en s’assurant que tous les éléments d’un processus peuvent être complétés pendant un test et pas seulement les aspects techniques. Ils peuvent impliquer une équipe (niveau 2) ou un certain nombre d’équipes géographiquement dispersées (niveau 3) travaillant à partir des sites de récupération ou à domicile. Il convient de prendre en considération à la fois les tiers (c’est-à-dire les équipes externalisées) et les équipes internes.

Plan de reprise d’activité informatique et test de la gamme cybernétique

Les tests de DRP informatique et de cyber gamme examinent pratiquement chaque étape d’un plan spécifique de reprise après sinistre ou testent les capacités de cyber criminalistique. Cela garantit la possibilité de récupérer des données, de restaurer un système informatique critique après une interruption de ses services, une panne informatique critique ou une perturbation complète due à des cyberattaques ou des perturbations informatiques. Ces tests peuvent être réalisés de manière autonome (niveau 2) ou dans le cadre d’une simulation de crise (niveau 3-4).

Présentation des plans de relance des entreprises

Les visites du plan de relance des entreprises pour les groupes/divisions/unités commerciales sont effectuées à la suite d’une révision majeure d’un plan ou d’une équipe et sont conçues pour améliorer la compréhension des processus de relance, des rôles et des responsabilités, et remettre en question la pertinence et l’exhaustivité du plan. Normalement, cela se fait sous la forme d’une session de révision et de remise en question avec le propriétaire du plan et un expert de la CB (niveau 1) ou pour tester l’efficacité des mesures spécifiques et des solutions de contournement prévues (niveau 2).

Tests de communication en cascade

Les tests de communication en cascade permettent d’établir si les coordonnées sont exactes, de déterminer si les rôles et les responsabilités en cascade sont compris par le personnel et d’établir si les procédures documentées sont solides ou non. Ils peuvent être réalisés de trois manières : soit un test en direct autonome (par exemple, test de texte en cascade ; niveau 2), dans le cadre d’un exercice de simulation de crise (niveau 2-4), soit un audit comprenant un examen des plans et un entretien avec le personnel assumant des responsabilités clés (niveau 1).

5. Rester à jour

Révisez votre programme d’essai au moins une fois par an afin de vous adapter à l’évolution du paysage des menaces et, en fin de compte, de garantir la résilience opérationnelle. Assurez-vous que votre cadre de gestion de crise et vos plans d’urgence sont régulièrement améliorés en fonction des résultats des tests et des changements dans l’entreprise.

6. Engager and conduire

Impliquez différentes parties dans l’élaboration et la mise en œuvre de votre programme de test (par exemple, cyber, risque, opérations, DPD, juridique, champions de la résilience des entreprises, etc.) Utilisez l’IM pour partager les progrès et l’alignement avec la vision de résilience opérationnelle sur trois ans.

Quelle est la prochaine étape : comment structurer votre programme de tests ?

S’il n’est pas possible de prescrire un programme de tests sans mieux comprendre l’organisation des intérêts et plonger dans les spécificités d’un paysage de menaces, il est clair que l’investissement en temps et en ressources vaut la peine du point de vue de la résilience opérationnelle et de la réglementation.

« Ayant récemment traversé une pandémie, il est grand temps de maintenir l’élan et de continuer à promouvoir la bonne culture et les bons réflexes pour la prochaine crise majeure ».

Quelques conseils pour conclure

Soyez réaliste : lorsque la maturité le permet, visez des tests plus complexes et plus réalistes, car ils sont essentiels pour répondre efficacement aux événements réels et accroître la résilience de bout en bout. Cela signifie qu’il faut faire participer davantage de parties internes et externes aux exercices « en direct ».
Tirer parti des crises internes et du marché : Surveillez en permanence les événements qui se produisent sur le marché (incidents et crises majeurs) ainsi que vos incidents majeurs internes pour alimenter votre programme de tests, hiérarchiser vos menaces et concevoir vos scénarios en les rendant plus tangibles pour vos parties prenantes.
Engagez-vous tôt : Partagez la vision du test avec les principaux groupes de parties prenantes afin qu’ils comprennent le cheminement que vous voulez faire parcourir à l’organisation. Cela permettra d’améliorer la collaboration et, par conséquent, les résultats.
Faciliter à distance : Les accords de travail à distance ne doivent pas mettre en suspens l’ensemble de votre programme d’essai – utilisez des solutions de collaboration ou tirez parti des outils du marché pour réaliser les exercices. Cela est particulièrement pertinent pour les tests de cyberdistance et les tests de suivi du soleil. L’expérience montre que les solutions de travail numérique introduisent une participation plus démocratique et constituent un excellent moyen d’enregistrer les interactions.
Améliorer continuellement : Réfléchir aux tests en produisant des rapports post-tests et en définissant un plan d’action pour piloter et suivre les améliorations. Impliquez les principales parties prenantes dans tout le processus afin qu’elles comprennent la gravité des résultats et qu’elles contribuent à susciter des changements positifs.

Cet article TESTEZ ET AUGMENTEZ VOTRE RÉSILIENCE : COMMENT CONSTRUIRE VOTRE PROGRAMME DE TEST est apparu en premier sur RiskInsight.

OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ?

Noëmie Honoré — Fri, 21 Aug 2020 15:20:25 +0000

Comment utiliser le cadre de la norme ISO 27001 au service de l’amélioration continue du niveau de sécurité ?

Dans un précédent article, on vous racontait tout sur la nouvelle directive européenne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accroître la sécurité des Opérateurs de Services Essentiels (OSE) avec tout ce que ça entraînait pour les organisations nouvellement désignées.

Qui dit directive européenne ne dit pas règlement européen : il revient donc à chaque pays membre de transposer les exigences de la directive NIS dans son droit national. La Belgique a fait le choix d’un standard existant (la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche basée sur la définition d’un référentiel d’exigences précis mêlant à la fois des mesures techniques et de gouvernance (SI d’administration, cloisonnement, démarche d’homologation, etc.).

Intéressons-nous aujourd’hui à ce que ça implique pour les OSE belges, et plus largement pour toutes les organisations attirées par les normes internationales, de suivre les exigences de la norme ISO 27001.

La norme ISO 27001, adulée par certains et critiquée par d’autres

Des voix se lèvent contre la référence du milieu, fustigeant notamment son aspect bureaucratique et sa paperasserie qui, pourtant, peuvent aider à mettre en place un référentiel utile à la continuité des services et la formation des personnes via le partage des pratiques – surtout lorsqu’il est pensé avec pragmatisme. Les critiques vont également bon train sur le niveau de complexité ajouté, encore plus présent pour les plus petites structures. Là encore, la règle est au pragmatisme et les mesures doivent être adaptées à la taille de l’organisation et s’intégrer à l’existant pour éviter les structures ex nihilo trop lourdes à gérer.

Enfin, certains aprioris ont la vie dure et réduisent souvent une conformité ISO 27001 à une liste de cases à cocher, dépourvues d’implications réelles sur la sécurité de l’organisation. Mais la fameuse déclaration d’applicabilité (DdA), exigée par la norme ISO 27001 à tous ceux qui visent une certification, ne revient pas uniquement à lister tous les contrôles de la norme ISO 27002. Elle demande une véritable évaluation au regard des enjeux et des risques. De quoi apporter des éléments concrets pour la sécurité de l’organisation.

ISO 27001, ISO 27002, il y en a beaucoup comme ça ?

Dans la famille des ISO, beaucoup, vraiment beaucoup. En revanche pour la cybersécurité, ce sont bien ces deux-là qui sont les plus utilisées, avec l’ISO 27005 pour la gestion des risques (si c’est la protection des données qui vous intéresse, lisez aussi notre article sur la nouvelle venue ISO 27701).

La norme ISO 27001 apporte un cadre à la cybersécurité et vise à mettre en place un SMSI (Système de Management de la Sécurité de l’Information). Pour aider les organisations dans cette direction, elle est accompagnée de la norme ISO 27002 qui détaille les bonnes pratiques sécurité présentées dans l’annexe A de l’ISO 27001. La certification (le graal des OSE belges) porte sur la norme ISO 27001 mais les deux normes fonctionnent bien de pair.

La certification s’obtient sur un périmètre délimité d’un point de vue métier et IT sur lequel les principaux risques sont identifiés. Cette évaluation par les risques, mêlée à la prise en compte du contexte de l’organisation, aide à sélectionner les bonnes pratiques ISO 27002 pertinentes pour formaliser la Déclaration d’Applicabilité (DdA) et à exclure les contrôles qui ne sont pas applicables (attention à bien justifier ces exclusions : elles seront analysées par l’organisme de certification). Si on peut retirer des pratiques moins utiles, on peut aussi en rajouter d’autres : l’organisation peut ainsi compléter la liste existante des 114 mesures de sécurité au regard de ses risques. La norme ISO 27002 n’adresse pas l’exhaustivité des mesures de sécurité possibles. C’est là qu’une expertise cybersécurité prend tout son sens.

5 conseils pour trouver le bon équilibre et réussir sa mise en conformité ISO 27001

Bien entendu, vu dans son ensemble, un programme de mise en conformité à la norme ISO 27001 peut rapidement donner le vertige… Voici 5 réflexes à avoir en tête pour faciliter le lancement d’un SMSI et le maintien de ses performances dans le temps :

1. Identifier un sponsor investi au service de l’objectif de sécurisation. Comme pour le cinéma, il n’y a pas de film sans réalisateur, et pas de réalisateur sans le soutien du producteur. Le match parfait doit avoir pleine conscience de la valeur ajoutée de la mise en conformité à la norme ISO 27001 pour améliorer le niveau de sécurité, au-delà de la pure conformité au cadre légal. Il doit utiliser les cadres normatifs au profit d’un meilleur niveau de sécurité et doit donc voir ce projet comme un chantier de sécurisation plutôt qu’un chantier de conformité.

Implémenter un SMSI pérenne demande des ressources et moyens humains, organisationnels, physiques et financiers. Le pilotage du projet de mise en conformité ne fonctionnera que s’il est soutenu par un responsable qui a le pouvoir d’allouer les ressources et les moyens nécessaires pour piloter les risques et assurer un niveau de sécurité acceptable au regard des enjeux métier. Le respect de la directive NIS, à l’échelle européenne ou à l’échelle belge via une mise en conformité à la norme ISO 27001, constitue avant tout un moyen d’augmenter le niveau de sécurité et non une fin en soi.

2. Piloter par les risques. C’est la base de la sécurité ; le concept clé à toujours garder en tête. Ce pilotage permet d’identifier les risques du périmètre et de s’assurer que les enjeux métier sont bien pris en compte. La gestion des risques ne s’arrête pas à leur identification et au traitement initial. Elle demande la mobilisation des équipes et des activités pour traiter les risques existants et suivre l’évolution des risques (existants et nouveaux qui apparaissent) et leurs traitements, via une mise à jour périodique et lors d’évènements majeurs sur le périmètre.

Par la mise en place de cette démarche globale des risques, l’organisation s’assure une vision transverse des risques qui permet de focaliser les efforts des mesures de sécurité là où il y a le plus d’enjeux. Cette validation et cet arbitrage doivent se faire en concertation avec les propriétaires des risques (métier ou IT) qui portent la responsabilité du risque sur leurs périmètres et doivent se positionner sur les traitements possibles (acceptation, réduction, transfert ou évitement). Un pilotage affiné et resserré des risques permet ainsi de prendre de véritables décisions éclairées, par des acteurs parfois éloignés de la sécurité.

3. Constituer un référentiel documentaire pragmatique. Cette étape aide à définir et documenter les pratiques et ainsi favoriser la continuité des opérations, leur contrôle et leur amélioration continue. Cette documentation doit être le reflet de la réalité tout en assurant la cohérence avec les exigences de la norme ISO 27001 pour aider à définir les pratiques à mettre en œuvre et les gérer au quotidien (implémentation et mises à jour au gré des évolutions, etc.).

Les maîtres-mots lors de la constitution de ce référentiel sont pragmatisme et utilité : il doit s’intégrer à l’existant en complétant les procédures existantes et en en créant de nouvelles qui manquaient ; il ne doit pas compliquer inutilement la situation mais se baser sur une interprétation pertinente de la norme ; il doit être utile aux équipes qui assurent les activités pour permettre le maintien des opérations. Evitez donc les copier-coller des exigences des normes. Ils créent un référentiel inutile aux équipes terrain et attiseront la curiosité de vos auditeurs qui douteront alors de l’effectivité des mesures…

4. Évaluer régulièrement les performances. Tout système de management qui se respecte nécessite une boucle de contrôle pour évaluer ses performances et, dans le cas du SMSI, ses non-conformités à la norme ISO 27001 et au référentiel en place dans l’organisation (synthétisé dans la DdA). L’identification de ces non-conformités doit permettre de remonter jusqu’à leur source et d’initier la réflexion sur la meilleure manière de les gérer. La réflexion à mener doit porter sur la manière dont la non-conformité va être résolue pour assurer l’augmentation du niveau de sécurité tout en s’assurant que les mesures correspondent aux exigences de la norme et sont adaptées au contexte, aux risques et aux enjeux de l’organisation.

Les différents niveaux de contrôles (auto-contrôles par les équipes, audits internes/externes, revues de direction) doivent tous garder l’objectif d’amélioration du niveau de sécurité en tête en utilisant de manière pragmatique les exigences de la norme et le référentiel de l’entreprise, et au besoin faire évoluer ce dernier au regard de la réalité pratique de l’organisation. Il s’agit de trouver le bon équilibre entre le contexte de l’organisation et la gestion des risques identifiés. Si vos enjeux portent essentiellement sur la disponibilité d’une activité, focalisez vos efforts (mesures et contrôles) sur cet enjeu en priorité. Pour être pertinent, ce cycle d’évaluation doit distribuer les efforts sur les périmètres les plus pertinents pour l’organisation (selon ses risques et enjeux) et alimenter les prochaines étapes du cylce de vie du SMSI.

5. Engager les équipes. Un projet de mise en place d’un SMSI n’est pas uniquement l’apanage du RSSI ou d’une équipe de documentalistes. Il s’agit avant tout d’un projet d’envergure qui demande un large éventail d’expertises allant de la cybersécurité au business en passant par l’IT, le juridique, les achats, les ressources humaines, etc. C’est une véritable conduite du changement qui est à organiser avec l’implication pleine et complète des différentes équipes et du management de l’organisation pour assurer un SMSI qui sert l’amélioration durable du niveau de sécurité pour l’ensemble du périmètre.

La certification ISO 27001, oui mais pragmatique !

La véritable force de la certification ISO 27001 est avant tout d’enclencher une dynamique de sécurité dans l’organisation. La documentation peut certes alourdir les pratiques mais n’enlève rien de la philosophie d’amélioration continue du niveau de sécurité. Par l’apport d’un socle minimal pour la cybersécurité, sans définir des exigences strictes, la norme laisse à l’organisation le choix de placer le curseur sécurité à un niveau qui lui est adapté et d’obtenir des résultats positifs – à condition de s’entourer de bonnes personnes sensibilisées au sujet !

Traitée avec un regard critique et pragmatique, la norme apporte ainsi un cadre pour installer la gouvernance de la cybersécurité au sein de chaque organisation en mobilisant les concepts clés tout en laissant la marge nécessaire pour proposer des mesures complémentaires qui, ensemble, servent l’amélioration du niveau de sécurité.

Au-delà de l’approche traditionnelle de la conformité, la mise en conformité à la norme ISO 27001 doit servir de boîte à outils à toute les équipes et non constituer une fin en soi.

La liberté de mise en œuvre de la directive NIS au niveau européen offre un nouveau terrain d’expérimentation où se mêlent cultures différentes et visions divergentes de la cybersécurité. Seul l’avenir pourra nous dire ce qui fonctionne au niveau européen, mais l’approche belge démontre une nouvelle fois la culture du compromis entre cadre strict et liberté de mouvement. Pour les OSE belges comme pour les organismes de certification, l’inconnue demeure avant tout sur le positionnement du curseur entre les deux extrêmes.

Il leur faudra alors éviter une approche scolaire et mettre à profit une interprétation utile et pragmatique de la norme en gardant l’objectif final en tête : plus de cybersécurité.

Cet article OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ? est apparu en premier sur RiskInsight.

Organiser ou réorganiser la filière sécurité d’une grande entreprise – retours d’expérience

Matthieu Garin — Fri, 17 Jul 2020 12:00:35 +0000

Nostalgie, nostalgie… rappelez-vous des organisations sécurité il y a 20 ans. Impossible de faire plus simple ! L’équipe « type » était composée d’une quinzaine de personnes au sein des opérations de la DSI, toutes passionnées de technique : ça causait nombre de VLAN, filtrage internet, comparatif anti-virus… Les attaques étaient encore rares, la pression des régulateurs restait limitée, le top management ne maîtrisait rien… bref, les RSSI avaient une paix royale ! Certes, les premières réflexions sur le positionnement du RSSI dans l’organisation commençaient à émerger (équilibre des forces avec le DSI, rapprochement avec la Direction des Risques…) mais ces débats d’expert restaient encore très confidentiels.

20 ans après… la situation est totalement différente et la sécurité a pris une toute autre dimension dans les entreprises. Les chiffres parlent d’eux-mêmes : en France, on constate en moyenne 1 ETP sécurité pour 500 à 3000 employés, avec une moyenne tournant aux alentours de 1 pour 1000. Certains acteurs de la Finance peuvent même atteindre des ratios record de 1 pour 200 en intégrant les différentes lignes de défense. Je vous laisse faire le calcul : cela représente rapidement plusieurs centaines, voire milliers d’employés ! Les RSSI sont donc maintenant aux commandes d’un effectif pléthorique et sacrément diversifié. Les experts historiques ont été rejoint ces dernières années par des cargaisons de chefs de projet, PMO, COO, Directeurs de Programme, voire parfois par des acheteurs et RH spécialisés, qui apprennent progressivement à travailler ensemble. Tel un coach sportif, le RSSI doit désormais composer avec un tel effectif et trouver la bonne organisation, le bon système de jeu pour obtenir des résultats.

PAS DE REVOLUTION, LA FILIÈRE FONCTIONNELLE RESTE LA NORME

Les raisons qui poussent à se réorganiser sont toujours globalement les mêmes : manque de maîtrise, sentiment d’inefficacité, responsabilités diffuses… et le travail de remise à plat peut sembler colossal. Cela amène certains RSSI à envisager très rapidement des solutions en rupture, et en particulier celle du regroupement de toutes les ressources sécurité dans une seule et même équipe hiérarchisée. Ne perdons pas de temps et soyons très clairs : dans 95% des cas, cette solution n’est pas retenue. Un tel mouvement présente tout simplement trop de risques d’exclusion de la fonction sécurité, difficilement conciliable avec le besoin de proximité métier de certaines activités : accompagnement de projets métier, sensibilisation des populations spécifiques, négociations budgétaires… La filière fonctionnelle reste la norme : une équipe centrale et des relais (RSSI locaux, correspondants sécurité…) répartis partout dans l’organisation. Certains acteurs industriels ont toutefois récemment franchi le cap de la centralisation, mais le mouvement est davantage motivé par une volonté de rapprochement des ressources cybersécurité avec l’équipe sureté, particulièrement mature dans ce secteur.

Le rattachement du RSSI reste également un élément de débat, très largement relayé et commenté depuis des années. DSI, Direction des Risques, Direction Financière, CEO… on a parfois l’impression que c’est une course à qui sera le plus haut dans la hiérarchie ! Mais contrairement aux idées reçues, on ne constate pas forcément sur le terrain de tendance à la sortie de la DSI. Bien au contraire : 3 RSSI sur 4 rapportent au DSI dans les grandes entreprises et la plupart des réorganisations débouchent sur un tel rattachement. La raison est simple : c’est souvent un excellent point de chute pour être dans l’action, faire avancer ses sujets, obtenir du budget ! Attention : pour ceux qui décident d’un rattachement différent, rappelons-nous que 80% d’un budget cybersécurité tombe dans le périmètre de la DSI. Il est donc indispensable de nourrir une relation de qualité entre le RSSI et le DSI. J’ai pu assister à quelques rapports de force ces dernières années, et c’est rarement le RSSI qui gagne

Ça y est… on tient les principes de base : une filière fonctionnelle, souvent rattachée au DSI, avec des relais RSSI dans les grands pôles d’activité de l’entreprise. Il s’agit maintenant de répartir dans cette organisation toutes les activités de cybersécurité, et elles sont nombreuses : politiques, études, sensibilisation, Programme cybersécurité, accompagnement projets, audits, SOC, CERT…

CASSER LES SILOS ET RECHERCHER L’EFFICACITÉ OPÉRATIONNELLE

En tant que prestataire, je peux en témoigner : il est assez commun d’être sollicité plusieurs fois pour la même étude au sein d’un Grand Compte, dans plusieurs entités différentes. C’est tout à fait compréhensible : dans un modèle en filière, chaque entité / pays dispose d’une équipe sécurité, et sans règles du jeu clairement établies, la Direction locale a souvent le réflexe de renforcer son équipe au moindre besoin (étude spécifique, résultat d’audit…). C’est tout le piège d’une filière : elle présente de nombreux avantages mais crée de la complexité et des redondances. Et croyez-moi, lorsque le RSSI Groupe se retrouve à expliquer au top management pourquoi l’entreprise dispose de 3 SOC et de 4 cellules de réponse à incidents… c’est rarement la meilleure réunion de sa journée ;-).

Pour éviter ce genre de situation, la tendance est au regroupement de compétences et à la création d’offres de service cybersécurité centrales. Très concrètement, cela se traduit pour de nombreuses organisations par une mutualisation de 1. L’expertise cybersécurité (études, innovation, sensibilisation…) 2. La détection et la réponse (SOC, CERT, exercices de crise, Threat Intel…) 3. Les audits et contrôles (pentests, redteam, analyse de code…) 4. La gestion de projet et PMO (reporting, PMO, communication…). Ajoutez une entité gouvernance et stratégie, et vous n’êtes pas loin d’obtenir l’organigramme de beaucoup de RSSI Groupe ! Notons qu’il existe des alternatives : certaines organisations optent pour un modèle distribué, consistant à répartir les services dans les entités (par exemple : les USA sont dorénavant en charge du service de tests d’intrusion pour toute l’entreprise), et les très grandes entreprises optent souvent pour la création de Hubs intermédiaires (par région, par métier…) délivrant ces services. Quelle que soit l’organisation retenue, ce mouvement de consolidation est en cours : on estime à environ 40% le nombre d’employés de la filière travaillant sur des activités à portée transverse… et la progression est exponentielle ces dernières années.

Ce mouvement de centralisation permet de libérer les équipes locales (RSSI ou correspondants métier/pays/entité) qui peuvent ainsi consommer les services et se recentrer sur les activités nécessitant une forte proximité avec leurs métiers : évaluation des risques, intégration de la sécurité dans les projets, recettes de sécurité… Dans les filières sécurité, c’est ici que nous retrouvons encore aujourd’hui l’essentiel des effectifs (facilement 30 à 40%)… mais cette situation est très probablement transitoire ! La généralisation de l’agile impacte de plein fouet ces équipes qui se retrouvent à changer de métier du jour au lendemain car projetées dans les Feature Teams à former, coacher et outiller des « Security Champions » qui gagnent progressivement en autonomie. Résultat : les RSSI locaux s’industrialisent également et organisent leur équipe en centre de services à destination de ces Feature Teams (standards de développement, revue de code, méthodes d’analyse…) Suivez mon regard : le spectre de l’équipe sécurité unique, centralisée, risque de ressurgir assez rapidement dans les débats… et c’est la transformation agile qui accélère le processus !

ON PEUT DÉSORMAIS FAIRE UNE CARRIÈRE DANS UNE FILIÈRE SÉCURITÉ

Nous l’avons largement commenté : certaines filières sécurité sont passées de quelques dizaines de personnes, à plusieurs centaines voire milliers en l’espace de quelques années. Certes cela nécessite un brin d’organisation… mais c’est également une formidable opportunité pour tous les employés de la filière ! Gestion de projet, management d’équipe, expertise, communication… très peu de secteurs offrent une telle diversité, et la situation est idéale pour attirer et fidéliser les talents. Je ne peux que vous recommander de profiter d’une réorganisation cybersécurité pour mettre en lumière cette richesse et travailler sur la gestion des compétences : alignement des salaires, re/up-skilling, plans de formation/certification, responsabilités individuelles, processus de mobilité… les sujets à traiter sont nombreux pour booster le well-being et permettre aux employés de se construire une carrière pleine et enrichissante au sein de la filière !

Cet article Organiser ou réorganiser la filière sécurité d’une grande entreprise – retours d’expérience est apparu en premier sur RiskInsight.

L’escape game cybersécurité, le graal de la sensibilisation ?

Sylvain Werdefroy — Wed, 15 Jul 2020 09:00:27 +0000

Phishing, fuite d’informations, vols d’ordinateurs portables ou de smartphones, arnaque au Président… les utilisateurs sont des acteurs clés de la sécurité des systèmes d’information.

Pour autant, leur faire prendre conscience des risques et leur inculquer les bonnes pratiques de sécurité n’est pas un exercice facile : casse-tête pour le RSSI, sujet de désintérêt voire de crispation pour les utilisateurs qui ne perçoivent que l’aspect contraignant des mesures de sécurité, la sensibilisation à la sécurité de l’information doit en permanence se réinventer.

L’escape game va-t-il réussir à réconcilier les utilisateurs avec la cybersécurité ?

Une approche ludique pour sensibiliser les utilisateurs

Comme dans un escape game classique, les joueurs sont accueillis par un maître du jeu qui leur présente le contexte et les règles à respecter. Ils entrent ensuite dans la salle de jeu dans laquelle ils découvrent les objectifs à atteindre dans un temps limité.

Tout au long de la partie, le maître du jeu suit l’avancement à distance et intervient pour donner des indices si les joueurs sont en difficulté.

En fin de partie, le maître du jeu procède à un débriefing, au cours duquel il met en exergue les mauvaises pratiques de sécurité illustrées dans chaque phase du jeu et rappelle les bonnes pratiques.

Les objectifs à atteindre dans le jeu dépendent du scénario. Il peut par exemple s’agir :

En se faisant passer pour un candidat à un entretien de recrutement, de fouiller le bureau du Directeur Recherche et Développement d’une société concurrente, afin de voler les plans et les spécifications techniques d’un nouveau produit ;
Sous la pression d’un pirate menaçant de dévoiler des informations relatives à la vie privée des participants, de voler des documents confidentiels et de réaliser un virement bancaire au sein de leur propre entreprise ;
En profitant d’une invitation au domicile de la Directrice Générale de l’entreprise, de collecter les preuves de son implication dans des détournements de fonds.

Quelles sont les thématiques de sensibilisation abordées ?

L’escape game permet d’aborder de nombreuses thématiques telles que celles illustrées ci-dessous :

Sur la thématique des mots de passe par exemple, le jeu va confronter les joueurs à des mauvaises pratiques dont ils devront tirer parti pour atteindre leurs objectifs :

Utilisation d’un mot de passe trivial contenant des données personnelles (prénom, nom, année de naissance…) ;
Enregistrement des mots de passe dans le navigateur ;
Utilisation des mêmes mots de passe dans les sphères privée et professionnelle ;
Ecriture d’un mot de passe sur un post-it.

Les participants vont ainsi exploiter eux-mêmes les vulnérabilités volontairement mises en œuvre dans le jeu et ainsi plus facilement prendre conscience des risques associés que lorsqu’ils reçoivent de l’information descendante.

Toujours grâce aux mises en situation, l’escape game va leur permettre de comprendre le rôle qu’ils ont à jouer pour ne pas se rendre involontairement complice d’une cyberattaque : être discrets sur les réseaux sociaux, être vigilants lorsqu’ils sont sollicités par une personne inconnue, développer des réflexes pour détecter les indices dans un e-mail de phishing ou encore broyer systématiquement les documents confidentiels…

Comment réussir la construction d’un escape game cybersécurité ?

Dans un premier temps, il convient de définir le scénario global : quels sont les objectifs à atteindre ? Quels rôles les joueurs incarnent-ils ? Dans quel lieu le jeu se déroule-t-il ?

Ensuite, il s’agit de concevoir les sous-objectifs et le séquencement qui permet d’atteindre les objectifs principaux. Par exemple, pour atteindre un objectif tel que « voler le dossier de conception confidentiel », les joueurs devront successivement : reconstituer un document déchiré trouvé dans la poubelle, dans lequel ils trouveront la réponse à la question secrète permettant de réinitialiser le mot de passe d’un utilisateur, qu’ils utiliseront ensuite pour se connecter sur un espace de travail dans lequel ils trouveront le document.

Contrairement à un escape game classique qui fait appel à des énigmes ou des cachettes souvent improbables, l’idée de l’escape game cybersécurité est au contraire de reproduire des situations réelles et crédibles dans lesquelles les participants se reconnaîtront.

Il est également important de bien doser le niveau de difficulté des énigmes en fonction des populations ciblées. Si l’escape game est déployé sur une large population de collaborateurs de l’entreprise, les énigmes devront être accessibles à des personnes sans expertise informatique. Au contraire, s’il s’adresse à des populations plus techniques, il faudra alors complexifier les énigmes : les joueurs pourront par exemple avoir à réaliser une injection SQL simple sur une application pour accéder à des données confidentielles. Le mode opératoire de l’injection peut être mis à disposition sur un site web présent dans les favoris du navigateur du poste de travail.

Enfin, une fois l’ensemble de ces éléments spécifiés et mis en œuvre, quelques sessions de test seront nécessaires pour affiner la durée du jeu et mettre au point les indices que le maître du jeu donnera aux participants en cas de blocage : il est en effet important que les participants réalisent l’ensemble des objectifs afin que toutes les thématiques de sensibilisation soient abordées.

Une action très efficace à inscrire dans une stratégie globale de sensibilisation

Les mises en situation procurées par l’escape game permettent une véritable prise de conscience et garantissent ainsi une très bonne appropriation des messages. Les participants font spontanément le lien entre les situations auxquelles ils sont confrontés pendant le jeu et des situations vécues, ce qui rend la phase de débriefing très riche : les échanges sont nombreux et l’expérience montre que les participants s’intéressent réellement au fond des sujets abordés.

L’escape game ne se substitue cependant pas aux autres moyens de sensibilisation : il doit s’inscrire dans une stratégie globale, qui alterne les actions à fort impact (mais coûteuses…) et les actions moins onéreuses (mais également moins efficaces…) qui permettent d’entretenir la dynamique de sensibilisation dans la durée et avec un budget maîtrisé.

Enfin, et même si ce n’est pas son objectif premier, l’escape game cybersécurité constitue un excellent outil de teambuilding !

Cet article L’escape game cybersécurité, le graal de la sensibilisation ? est apparu en premier sur RiskInsight.

OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ?

Noëmie Honoré — Tue, 30 Jun 2020 13:00:16 +0000

La norme ISO 27001, adulée par certains et critiquée par d’autres

ISO 27001, ISO 27002, il y en a beaucoup comme ça ?

5 conseils pour trouver le bon équilibre et réussir sa mise en conformité ISO 27001

La certification ISO 27001, oui mais pragmatique !

Au-delà de l’approche traditionnelle de la conformité, la mise en conformité à la norme ISO 27001 doit servir de boîte à outils à toute les équipes et non constituer une fin en soi.

Il leur faudra alors éviter une approche scolaire et mettre à profit une interprétation utile et pragmatique de la norme en gardant l’objectif final en tête : plus de cybersécurité.

Cet article OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ? est apparu en premier sur RiskInsight.

Récit de la création du nouveau programme de sensibilisation interne de Wavestone (2/2)

Timoléon Tilmant — Fri, 26 Jun 2020 09:00:07 +0000

Retrouver toute l’histoire de la création de TRUST dans mon premier article.

Un lancement de campagne c’est bien, mais comment tenir dans la durée ?

La création de TRUST n’a pas été une finalité, mais un tremplin pour la suite.

Au démarrage du projet, nous avions tout de suite imaginé quel serait le rythme annuel de nos 2 plans de sensibilisation.

Nous devions avoir en tête de gérer la sensibilisation de 2 populations distinctes : les nouveaux et les anciens collaborateurs.

Pour les nouveaux, la solution est simple : planifier le lancement de tous les supports TRUST existants sur une année pour espacer les messages.

Pour tous les autres collaborateurs, c’est plus complexe. Comment faire à nouveau passer les messages sans donner un sentiment de déjà vu, de lassitude, voire d’overdose ?

Nous avons donc organisé notre plan de sensibilisation avec 3 grandes actions espacées temporellement.

Un nouveau rendez-vous mensuel : The Trust minute

Un film d’une minute diffusé sur tous nos canaux de communications pour présenter 5 messages différents par mois :

Un exemple anonymisé d’incident utilisateur ou avec un client
Un Trustee, nos outils de sécurité présentés dans l’article précédent
Un indicateur de sécurité (ex : le pourcentage de nouveaux ayant réalisé le e-learning, le nombre de démissionnaires détectés à télécharger des documents avant leur départ). Le fait de partager ces indicateurs permet de sensibiliser sur la problématique et de démontrer l’existence des contrôles.
Une astuce du quotidien donnée par notre amie Sofia
Une actualité cyber vulgarisée

Une nouvelle campagne de cybercoffee quizz car le résultat est au rendez-vous.

Evidemment, il faut se renouveler, changer les questionnaires (mais pas forcément les thèmes), changer le goodie, mais tout cela est facile et demande peu de préparation. Certes, je vous l’avoue, cette période de confinement a légèrement remis en cause notre plan initial. Cependant, cela a été l’occasion d’être imaginatif et de sortir, en partenariat avec mes collègues de la practice Cybersécurité & Digital Trust, la nouvelle série en vidéo TotalCyberAwakening sur le confinement.

Un évènement global annuel en octobre lors du mois de la cybersécurité.

En 2019, nous avions organisé un jeu concours à l’échelle du cabinet sur le thème de la protection de la vie numérique personnelle.

Chaque semaine, tous les collaborateurs recevaient une question par mail à laquelle ils pouvaient répondre directement via des boutons de choix (envoi d’une approbation à choix multiples via Power Automate). En fonction de leur réponse, ils recevaient un second email leur annonçant la réponse et différents conseils associés à utiliser à titre personnel.

La participation à une question et une bonne réponse alimentaient une cagnotte en euros. Plus de 2100€ ont ainsi été reversés à l’association ISSA à laquelle Wavestone s’est associée pour promouvoir la cybersécurité auprès des écoles et des enfants.

Ce premier jeu sur base de volontariat nous a permis d’atteindre plus d’un tiers des collaborateurs de Wavestone.

Nous sommes déjà en train de préparer celui d’octobre prochain et cette fois-ci nous irons plus loin, avec des vidéos, des jeux, des rencontres, des quizz sous un thème global inspiré d’une célèbre série TV. Et si cette fois-ci la nouvelle menace de Wavestone était le retour des marcheurs blancs ?

6 éléments clés à retenir

Pour résumer, les éléments clés de succès pour la création d’un programme de sensibilisation réussi sont les suivants :

Se fixer des objectifs chiffrables et atteignables
Définir un fil rouge (un thème, une marque) qui va permettre aux utilisateurs d’associer facilement vos messages à la sécurité
Définir une courte liste de messages à faire passer et s’y tenir
Diversifier les supports et les canaux (affiches, films, mails, e-learning, jeux) mais toujours conserver au moins un évènement permettant d’aller à la rencontre des utilisateurs
Utiliser dans un premier temps les outils déjà à votre disposition (PowerPoint, mails, PowerAutomate) avant d’acquérir si besoin de nouvelles solutions intéressantes mais pas forcément prioritaires pour démarrer
Faire preuve de créativité et utiliser l’humour pour faire passer vos messages (attention toutefois à prendre en compte les différences de culture dans le cadre d’un groupe international)

Cet article Récit de la création du nouveau programme de sensibilisation interne de Wavestone (2/2) est apparu en premier sur RiskInsight.

Récit de la création du nouveau programme de sensibilisation interne de Wavestone (1/2)

Timoléon Tilmant — Tue, 23 Jun 2020 09:00:12 +0000

Il y a un an est née l’idée de TRUST, nom du nouveau programme de sensibilisation au sein de Wavestone. Avec mon équipe, nous avons passé une année à réfléchir et à développer toute une nouvelle stratégie pour sensibiliser les collaborateurs de Wavestone. Pour information Wavestone, c’est 3500 collaborateurs présents dans 8 pays, dont le métier principal est le conseil (mais pas que !), plutôt jeunes (mais pas que !), qui connaissent l’IT et la cybersécurité (mais pas que !).

Cet anniversaire était l’occasion de réfléchir au bilan et à la suite que nous allons y donner. Au regard des retours très positifs que j’ai recueillis auprès de nos collaborateurs, je considère que ce programme est une réussite par rapport à nos objectifs et j’ai donc souhaité les partager pour vous expliquer comment il est possible de construire un programme et de développer des supports sans forcément disposer d’un budget astronomique. Bref, que la sensibilisation est à la portée de chaque entreprise, même les plus petites.

Tout commence par un bilan et des objectifs

Le constat en début 2019 était simple : j’avais déjà développé depuis plusieurs années divers supports de sensibilisation : un personnage visuel (Sofia), un module de e-learning, des campagnes de phishing, une charte utilisateur très design (mais dont je ne suis pas dupe sur son réel taux de lecture), des vidéos, une page intranet, des mails de sensibilisation, des outils de sécurité à disposition des utilisateurs… mais alors pourquoi nos utilisateurs continuaient toujours à faire comme s’ils ne savaient pas ?

En parallèle, dans le cadre du plan stratégique Wavestone 2021 et de son enjeu d’installer le cabinet dans le top 3 de sa catégorie en matière de RSE, nous nous sommes fixés comme objectif d’être un partenaire de confiance avec 100% de nos collaborateurs sensibilisés à la protection des données.

100% ! Alors que début 2019 je n’obtenais qu’un taux de participation de 70% des collaborateurs au e-learning sécurité.

Mais alors comment faire ? Qu’inventer de plus ?

Après plusieurs séances collectives, les idées étaient là :

Nos diverses actions étaient trop hétérogènes, il manquait un fil rouge : une marque !
Les supports digitaux c’est une bonne chose, mais rien ne remplace un échange verbal (par contre, on oublie la traditionnelle formation obligatoire en présentiel de 2H pour tous les nouveaux qui est très chronophage et a un impact limité du fait du grand nombre de messages passés en 2H. J’en ai tellement animées en tant que consultant…)
Nous communiquons toujours sur le risque et la menace, mais les collaborateurs ont besoin d’exemples plus concrets et bien adaptés au contexte de leur entreprise. Quelles erreurs peuvent-ils faire au quotidien et quel serait le véritable impact pour Wavestone ?
« De l’humour ! Il faut de l’humour ! » Oui mais pas toujours ! L’humour est un très bon outil pour accrocher vos cibles, pour les appâter, les rendre disponibles à votre écoute… mais ce qu’il faut réellement c’est du pragmatisme !
Il est difficile pour le collaborateur de savoir finalement ce qu’il doit faire parmi les nombreuses règles qui lui sont données. Au final, une grande partie de la protection des données reste la mission de la DSI en mettant en œuvre des outils de protection, des alertes et des contrôles. Par exemple : est-ce aux utilisateurs d’être plus vigilants face au phishing ou aux e-mails malveillant ? Pour ma part je pense que c’est plus à l’entreprise :

1. de mettre en œuvre une meilleure solution de protection de la messagerie,
2. un meilleur EDR qui inhibera l’action de la pièce vérolée,
3. des solutions pour éviter la propagation d’un ransomware ou faire des backups de données,
4. une solution de multi-facteur qui complexifiera fortement l’utilisation de logins et mots de passes volés via un faux e-mail de réinitialisation de mot de passe.

Il est plus important de travailler sur le fait de limiter les impacts d’un e-mail malveillant qui trouvera toujours une victime bienveillante plutôt que de concentrer son énergie à sensibiliser les utilisateurs sur ce sujet.

A partir de ce constat, quels sont les messages que je souhaitais faire passer ? Qu’est-ce qui est vraiment à la main du collaborateur Wavestone et non de la DSI ?

Ils se sont résumés à 5 messages (je vous les mets en anglais, vous comprendrez pourquoi) :

Transfer documents from your client’s ONLY WITH authorization: Lorsqu’on est un cabinet de conseil dont les collaborateurs passent autant de temps sur le SI de ses clients, le premier risque d’une non sensibilisation est de perdre un client car ses collaborateurs ont sorti des documents sensibles pour plus de simplicité à travailler avec ses postes de travail ou avec son chef de projet qui n’a pas d’accès au SI client (ou pas encore comme cela peut arriver souvent avec de longs processus de fourniture d’accès chez certains clients). Ce n’est pas un risque de sécurité en tant que tel pour Wavestone, mais plutôt un risque d’incident client qui se traite via la sensibilisation à la protection des données.
Respect the project confidentiality procedure: respecter les consignes de traitement des données clients. Par contre pour qu’elle soit efficace il faut que cette procédure soit très simple… pas plus de 2 ou 3 règles.
Use security tools to protect data : à condition qu’ils soient simples d’utilisation ! On en reparle un peu après.
Store personal data only if necessary and process only for the intended purpose : il fallait bien mettre un peu de message RGPD dans la recette.
Think twice before opening an attachment, clicking on the web link, and working in transport and public places : “mais il vient juste de nous dire que c’était le role de la DSI !” Oui, certes, vous avez raison, mais ça ne coutait rien de le rajouter à la fin. De toute manière, on oublie toujours le dernier conseil !

5 messages. Peut-être que les plus visuels d’entre vous l’ont remarqué… mais la concaténation des premières lettres de chaque ligne permet d’écrire…

Et voici la marque TRUST qui prend naissance, avec son logo, sa charte graphique et ses visuels.

Nous avons la marque ! Comme tout bon produit marketing, il faut dorénavant la décliner en multiples supports de promotion.

A partir du moment où nous avions notre fil rouge en termes de messages et de visuels, il ne restait plus qu’à le communiquer, mais pas en une seule action, en une déclinaison d’actions les unes liées aux autres pour à la fois multiplier les formats, les canaux, et les messages vis à vis des différentes catégories d’utilisateurs.

Production de la vidéo TRUST. Film de 5 minutes en 3 parties :

Une introduction pour poser le décor par des articles de presse ou radio fictifs présentant les conséquences pour Wavestone d’un incident de sécurité (perte de client, perte de chiffre d’affaire, baisse de l’action boursière,…)
5 messages : 5 saynètes humoristiques incluant un collaborateur Wavestone et un RSSI différent. Quoi de mieux que des RSSI pour jouer leur propre rôle ? J’ai eu la chance que les RSSI de 2 sociétés du CAC40, d’une grande entreprise publique française et d’une grande banque anglaise acceptent de se prêter au jeu de manière humoristique. Encore un grand merci à eux ! Chaque conséquence de la scène est ensuite expliquée par le directeur général de Wavestone M. Patrick HIRIGOYEN. Petit extrait de la vidéo ici.
Enfin une conclusion par un message de M. Pascal IMBERT, président directeur général de Wavestone, pour rappeler de manière plus solennelle, les risques encourus pour le cabinet et le besoin que chaque collaborateur se sente concerné et applique les mesures proposées.

Très bon retour des collaborateurs sur ce film humoristique qui a été largement diffusé à travers tous les canaux de communication du cabinet.

La marque TRUST a vite été identifiée. Mais ce film n’était que le produit de lancement, il en faut plus !

Création des cybercoffee quizz

Le principe est simple : réponds à minimum 3 questions de sécurité et obtiens un café gratuit et 1 goodie (un cache caméra TRUST pour cette année).

Une excellente occasion d’aller à la rencontre des collaborateurs à un moment où ils sont ouverts à la discussion : lors de leur pause café.

Pour cela, il faut du visuel : Des kakémonos, des polos spécifiques, des écrans avec des films de sensibilisation et 1 machine à café gratuite. Il ne faut pas nous rater !

Tous les 15 jours, mon équipe s’installait ainsi à une salle de pause différente dans nos locaux pour présenter TRUST, faire jouer les collaborateurs et répondre à leurs questions. Une initiative fortement appréciée des collaborateurs. Au-delà de l’appât du gain, ces derniers étaient ravis qu’on prenne du temps pour leur expliquer individuellement des choses qu’ils ne connaissaient pas ou mal et tous les éléments simples qui étaient à leur disposition. « Ce n’est pas si compliqué que cela en fait la sécurité ! »

Déclinés en format présentations dans des réunions management ou réunions d’équipes dans nos différents bureaux, ces quizzes nous ont permis de rencontrer physiquement plus de 1 000 collaborateurs en 9 mois, soit environ 1/3 du personnel. Certes chronophage, cette action reste l’une des plus impactantes pour se faire connaitre et faire connaitre les messages.

Astuce technique : concrètement, c’est très facile à mettre en œuvre :

Un formulaire de 3 questions, pour nous, réalisé sur Microsoft Forms,
Un QR code affiché sur un kakémono ou une affiche pour que depuis son smartphone, le participant ait facilement accès à ce formulaire (il suffit de sortir l’appareil photo, pas besoin d’application à installer)
Enfin un simple workflow (via Power Automate) pour enregistrer le résultat dans une base et envoyer automatiquement un mail récapitulatif au participant avec les messages clés et les liens vers les vidéos.

Le score et les corrections s’affichant directement sur le smartphone après validation, l’animateur peut directement échanger avec le participant pour lui expliquer ses erreurs et lui offrir son cadeau.

Et si les outils de sécurité étaient des superhéros ?

« Chiffre ton document », « Protège tes mots de passe », « Chiffre tes mails », tant de consignes données à des utilisateurs qui, malgré leur bonne volonté, se retrouvent souvent à dire « Je veux bien, mais comment faut-il faire ? »

Nous avions tout un catalogue d’outils installés sur les postes ou à disposition des collaborateurs qui étaient tous simplement méconnus de tous. Il nous fallait donc les sortir de l’ombre et leur permettre de révéler au grand jour leur existence et leur utilité. C’est ainsi qu’est née notre ligue des Trustees !

A chaque outil son super héros dont le devoir est de montrer à nos collaborateurs à quoi ils servent et comment il est si simple de les utiliser en moins de 1 minute :

« Je veux envoyer un document sécurisé à mon client » : Chiffre le avec 7zip !

« Je veux protéger les documents sur ma clé USB » : Chiffre la avec BitlockerToGo c’est sur ton poste !

Affiches et petits films de démonstration à l’appui ont permis de communiquer sur nos différents canaux et d’en faire la présentation lors de nos Cybercoffee quizzes.

Je n’irais pas à dire qu’ils sont dorénavant utilisés à tous les coups, mais à minimum qu’ils sont plus connus et donc toujours plus utilisés qu’ils ne l’étaient avant.

Astuce technique : saviez-vous qu’il n’y avait pas besoin d’un logiciel professionnel et un bac+5 en audiovisuel pour réaliser des petits films d’animation ?

Il existe des outils du type Powtoon ou Vyond qui vous permettent de réaliser des films de sensibilisation très facilement avec toute une série de personnages ou de décors déjà proposés. En 1 à 2 jours vous arrivez déjà à faire votre première vidéo d’une minute. Rapidement il ne vous faudra qu’une demie-journée de montage. Le plus complexe reste toujours l’écriture du script, étape dont la durée peut être très variable selon le message que vous souhaitez passer, votre contexte ou votre degré d’exigence (c’est ce dernier point qui me prend personnellement beaucoup de temps !)

Pour des films plus simples incluant des extraits de vidéos et du texte, personnellement, mon nouvel outil de montage de vidéo est devenu Microsoft PowerPoint ! Vous savez déjà tous l’utiliser pour mettre du texte, des animations, des transitions. Il ne vous suffit plus que d’utiliser les fonctions d’insertion vidéo, d’enregistrement d’écran et d’export en vidéo. 3 fonctionnalités qui vous simplifient la vie car habituellement il faut toujours trouver des outils tierces pour enregistrer son écran, couper les rushs, convertir les vidéos.

Vous pouvez même enregistrer vos films en format GIF pour les intégrer directement dans vos e-mails de sensibilisation ! Pas besoin de rediriger votre utilisateur vers un site de vidéos !

L’avantage ultime, c’est que vous pouvez faire faire vos vidéos par d’autres personnes, les modifier à posteriori par d’autres sans formation car la plupart de vos collaborateurs savent utiliser PowerPoint. La créativité devient votre seule limite.

3 nouveaux supports, c’est tout ?

Dès que nos nouveaux supports étaient prêts, nous en avons profité pour remettre aux couleurs de TRUST nos anciens outils de sensibilisation :

Le e-learning à destination de tous les nouveaux collaborateurs s’est vu repeindre des visuels TRUST avec l’intégration des films présentés précédemment et un recentrage des questions vis-à-vis de nos 5 messages. Ce côté plus ludique nous a permis d’atteindre notre objectif que 100% des collaborateurs arrivés en 2019 réalisent ce e-learning. C’est également grâce à une bonne énergie de relances et une persévérance que cet objectif a été atteint ! Pas si facile que ça le 100%…
La page Intranet a également fait l’objet d’un relooking pour centraliser tous ces supports et mettre en avant les messages.
Les alertes de sécurité à destination des collaborateurs sont également passées sous la marque TRUST. Il ne faut pas l’oublier mais ces alertes peuvent être un formidable outil de sensibilisation. Entre l’e-mail automatique indiquant « On t’a vu ce n’est pas bien, tu vas être puni » et le mail de prévention envoyé par le personnage de sensibilisation expliquant les bonnes manières de faire, le message passe différemment. Et je pense fortement qu’il est plus efficace… la preuve en est de la baisse observée de ces alertes depuis leurs implémentations.

Fin du premier article… comment tenir dans la durée et ma conclusion prochainement dans la partie 2.

Cet article Récit de la création du nouveau programme de sensibilisation interne de Wavestone (1/2) est apparu en premier sur RiskInsight.

Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation !

Gérôme Billois — Mon, 08 Jun 2020 11:00:06 +0000

Le sujet de la cybersécurité requiert une implication à tous les niveaux de l’entreprise, mais aussi et surtout avec le comité exécutif ! Evidemment le management doit montrer l’exemple mais c’est aussi ce comité qui va décider des investissements majeurs et qui saura déverrouiller les situations les plus complexes dans l’entreprise. C’est donc un enjeu clé pour tous les responsables cybersécurité que de créer une relation de confiance pérenne avec son COMEX ! Mais c’est aussi un exercice à haut risque, qui nécessite une approche graduée et de la constance dans les engagements.

Après avoir réalisé plusieurs dizaines d’interventions auprès de comité exécutif, de comités d’audit ou de conseil d’administration, je souhaitais partager avec vous les étapes essentielles pour faire progresser la relation dans la durée. La première phase de ce voyage devra permettre de créer un premier contact et à sensibiliser le comité exécutif aux enjeux de cybersécurité. Première étape, la sensibilisation ! L’objectif pour ces séances est souvent d’arriver à attirer l’attention pour pouvoir déclencher une réflexion plus approfondie dans l’organisation. Nous verrons plus tard les étapes suivantes : présenter un bilan, obtenir un budget, suivre la progression du niveau de sécurité…

Un pré-requis essentiel, savoir d’où l’on part et avec qui l’on va échanger !

Cela peut apparaitre comme un poncif, mais cet élément est certainement le plus important avant d’aller rencontrer un comité exécutif ou un conseil d’administration. Grâce à sa large couverture médiatique, le sujet de la cybersécurité est souvent déjà présent dans l’esprit des exécutifs. Mais leur degré de connaissance du numérique et leur niveau d’appétence pour le sujet peuvent changer complètement la manière d’aborder le sujet. Faudra-t-il être très didactique (en allant jusqu’à réexpliquer le principe de données, d’applications, si si) ou alors faudra-t-il tout de suite aborder des points complexes comme les dernières attaques observées et leurs méthodologies ? Vous seriez surpris de voir la diversité des niveaux entre les entreprises, mais aussi au sein d’un même COMEX. Et il est nécessaire d’intéresser chacun des acteurs, au prix d’avoir des commentaires peu amènes pendant l’intervention.

Il s’agit donc de bien préparer cette première réunion en échangeant avec d’autres membres du COMEX, leurs adjoints ou avec des personnes familières de cette enceinte pour déterminer le ton à adopter et le niveau du discours à tenir. Evidemment, les règles de fonctionnement devront aussi être connues : est-il courant que les questions soient posées au fil de l’eau ? Peut-on interpeller un membre ? Doit-on évoquer dès le début les sujets relatifs à l’entreprise ? Prévoyez de déminer le terrain en amont ! Et même s’il n’y a pas de recette parfaite, je vous livre ci-dessous les éléments que j’utilise le plus souvent pour faire de ces rencontres des moments utiles et efficaces.

Pour commencer, attirer l’attention en dévoilant les coulisses d’une attaque

Les sujets s’enchaînent rapidement durant les COMEX, les directeurs réfléchissent très très vite, il faut donc très rapidement être dans le concret et donner de la matière à réflexion, du vécu. L’élément que je trouve le plus efficace consiste à présenter une attaque récente, parue dans la presse ou ayant touché le secteur, et en décrypter les enjeux et les coulisses : quelle temporalité ? quelle motivation pour les attaquants ? quelles faiblesses dans l’entreprise ? quelle réaction en interne ? publique ? avec les autorités ? Cela aura pour effet de projeter mentalement les directeurs concernés dans leur rôle s’ils vivaient la même chose. Nous avons la chance chez Wavestone de gérer fréquemment des grandes crises cyber et nous utilisons ces éléments, à la fois sous forme de benchmark mais aussi en les anonymisant ou en accord avec les victimes, pour donner un sens très concret à nos retours d’expérience.

Enchaîner avec une généralisation sur la cybercriminalité

Une attaque, c’est bien mais ça n’explique pas tout ! Il s’agit après avoir zoomé sur un cas de le généraliser en expliquant quels sont les ressorts du fonctionnement de la cybercriminalité. Nous analysons alors les motivations des groupes criminels, leurs organisations, mais aussi et peut être surtout comment ils gagent de l’argent !

Pour un COMEX savoir que c’est une attaque DDoS ou un ransomware qui a fait des dégâts n’a que peu d’intérêt, il faut surtout leur montrer que les activités cybercriminelles sont rentables, voire très rentables. Nous avons calculé le ROI de plusieurs types d’attaques et je peux vous dire que quand vous expliquez une attaque à 600% de rentabilité comme un ransomware, les yeux des directeurs sont grands ouverts. Nous mettons alors en lumière très concrètement pourquoi leur structure pourrait être attaquée et surtout quelle quantité d’argent gagnerait les criminels. Cela met souvent un terme à la question « mais pourquoi serions-nous visés par une attaque ? Nous ne sommes pas connus/nous sommes petits/nous ne faisons rien de stratégique…».

Expliquer concrètement où en est l’entreprise

C’est le bon moment pour présenter la posture IT de l’entreprise et son organisation actuelle en terme de sécurité. Il s’agit alors de la présenter simplement, avec des images claires et parlantes : êtes-vous plutôt dans un modèle « château fort » à l’ancienne ? Ou avez-vous déjà ouvert vos portes suite à la transformation numérique et avez-vous adopter un modèle porche de l’aéroport ou la sécurité est renforcée plus on va vers des systèmes critiques ? Cela permettra de concrétiser la situation.

Après cette phase de mobilisation et d’explication, vient naturellement la phase d’interrogation par les membres du comité exécutif. « Mais alors nous, nous en sommes ou face à ce risque de cyberattaque ? ». Face à cette question, soit vous avez la chance d’avoir un bilan de maturité fin et vous pouvez tout de suite le présenter, soit vous pouvez amener des premiers éléments qualitatifs voire quantitatifs partiels et expliquer qu’aujourd’hui vous avez besoin d’avoir plus de visibilité. Les éléments qui parlent sont les derniers rapports d’audits, les derniers incidents, des éléments budgétaires.

S’il est difficile au début de la démarche de parler budget et de se comparer car les données manquent, il est possible d’utiliser un indicateur simple et efficace, celui de vos effectifs dédiés à la cybersécurité. Nous disposons d’une base de données sur ce point et nous pouvons rapidement montrer à un COMEX où il en est rien que par sa mobilisation sur le plan RH. C’est simple et efficace pour les convaincre !

Ne pas repartir bredouille

Le risque majeur de cette sensibilisation, c’est que tout se passe bien mais que rien ne bouge ! En effet, vous pouvez avoir un message positif, « merci et rendez-vous dans un an pour une mise à jour », vous serez content mais vous n’aurez pas débloqué pour autant la situation. Il faut alors bien préparer l’étape d’après en indiquant dès cette présentation les principaux points de faiblesses ou de force ressenti et de quelle manière vous souhaiteriez les évaluer de manière plus précise.

En effet la deuxième étape est souvent la réalisation d’un bilan de maturité dédié pour bien savoir comment se positionner ! Si à ce moment, la réunion s’est déroulé, le COMEX intrigué et intéressé par le sujet voudra en savoir plus et donnera un accord de principe. Attention cela ne sera peut-être pas directement un budget, il vous renverra certainement vers le DSI ou le directeur des risques pour l’obtenir, mais vous aurez avec leur accord un levier formidable pour passer à l’étape d’après ! Rendez-vous au prochain épisode.

Cet article Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation ! est apparu en premier sur RiskInsight.

La quantification du risque cybersécurité

Fr@Nc0isLuqu3t — Wed, 03 Jun 2020 12:49:19 +0000

A date, il est intéressant de noter que ce sont les attaques réelles elles-mêmes qui nous permettent le plus aisément de quantifier les risques cyber, et ce par l’estimation des coûts engendrés. On estime ainsi que NotPetya, le fameux malware à 1 milliard, aurait couté plus de 300 millions à des grandes entreprises, de type Fedex, Saint Gobain, et bien d’autres… Ces estimations restent cependant très approximatives et ne sont généralement faisables que plusieurs mois après une attaque. Dès lors, comment anticiper les risques liés aux attaques cyber ? Comment quantifier ce risque avec plus ou moins de fiabilité ?

Aujourd’hui, une attention forte est portée à la quantification du risque, et à juste titre. Il reste pour autant un sujet très complexe. Deux raisons évidentes à cela : nous manquons cruellement d’informations et de retours d’expérience précis sur le sujet ; mais aussi parce que les attaques cyber engendrent de nombreux impacts intangibles (réputation, désorganisation interne, préjudice stratégique, arrêt des opérations) ; ou à couts indirects (chute des ventes, pénalités contractuelles, baisse de valorisation de l’entreprise sur les marchés, etc.).

Nous distinguons aujourd’hui des pistes prometteuses pour quantifier le risque, et des premières solutions permettant d’automatiser cette quantification.

Pourquoi chercher à quantifier le risque cybersécurité ?

Que ce soit pour échanger avec les directions générales, les métiers, voire même les assureurs, il y a un véritable besoin de parvenir à évaluer les risques cyber de la manière la plus objective possible. L’enjeu est double : gagner en pertinence et en légitimité. L’une des pistes possibles est donc de traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’entreprise pour les rendre significatifs pour les décideurs.

Convaincre et démontrer l’efficacité des investissements auprès des comités exécutifs

L’un des véritables enjeux de la quantification des risques cyber réside dans la construction d’une relation de confiance avec les comités exécutifs sur le long-terme. Dans un premier temps, adopter un discours clair pour les convaincre et décrocher des investissements nécessaires au lancement de programmes de sécurité structurants. Pour ensuite démontrer l’efficacité des investissements menés et ainsi pérenniser la relation avec les comités exécutifs dans le temps : démontrer la réduction des risques de manière chiffrée et l’évolution du risque sur plusieurs années. Cela est clé, notamment à la suite de la crise COVID va déboucher sur une réduction et une optimisation des budgets cybersécurité au sein des entreprises. Il sera donc primordial de quantifier le risque cyber pour un contrôle plus fort sur le ROI des investissements cybersécurité.

Sensibiliser et ainsi embarquer les métiers dans la démarche de cybersécurité

La démarche de sécurisation du système d’information d’une entreprise ne peut se faire sans l’instauration du Security by Design, et en ce sens, ne peut se faire sans embarquer les métiers. Parler le même langage est donc nécessaire.

Adapter les plans d’assurance sécurité (PAS) pour ne pas être pris au piège

Enfin, afin de ne pas se retrouver au pied du mur en cas d’attaque, il est primordial pour les entreprises d’anticiper les potentiels coûts d’une attaque afin d’adapter les provisions et les assurances. Cette quantification leur permet de réaliser cela.

Quelles sont les principales difficultés à date ?

Des impacts qui restent pour la plupart intangibles, ou indirects

Compte tenu de leur nature intangible, il parait de prime abord complexe d’évaluer objectivement certains impacts d’attaques cyber. C’est par exemple le cas de l’impact sur l’image de marque, sur la réputation d’une entreprise ou encore le préjudice stratégique, la désorganisation interne. D’autres risques sont bel et bien tangibles mais indirects, ce qui complexifie encore la tâche des entreprises souhaitant quantifier leurs risques, c’est par exemple le cas de la perte de parts de marchés, de la baisse de valorisation de l’entreprise sur les marchés, etc

Une difficulté à estimer avec certitude le degré d’exposition d’une entreprise au risque cyber

Il n’existe pas de formule universelle pour calculer l’impact d’une attaque sur une entreprise. Cela dépend de nombreux paramètres : taille de l’entreprise, niveau de complexité et d’ouverture du système d’information, maturité cyber, etc. Le niveau d’exposition d’une entreprise dépend essentiellement de son niveau de maturité cyber sécurité. Il existe des référentiels tels que NIST, ISO, CIS, etc. pour estimer le niveau de maturité en cybersécurité, mais encore peu d’entreprises parviennent à les mettre en œuvre ou à les utiliser pleinement.

Un cruel manque d’informations sur les attaques les plus récentes et leur coût

Les entreprises souhaitant quantifier leurs risques cyber sont confrontées à une absence de base de données statistiques sur le coût des cyber-attaques. Bien sûr, la plupart des entreprises communiquent peu, voire pas à ce sujet, probablement pour ne pas effrayer leurs clients et leurs partenaires. Et pourtant, la collaboration serait clé face à des attaquants toujours plus astucieux : tant pour augmenter leur cyber-résilience que pour faciliter la quantification du risque. Par exemple, les entreprises Altran et Norsk Hydro ont été touchées par des ransomwares similaires en provenance du même groupe d’attaquants !

Quelques premières pistes pour quantifier le risque cybersécurité

Christine Lagarde, présidente du FMI, s’est d’ores et déjà emparée du sujet et a publié un billet et une méthodologie de quantification des risques s’appliquant au secteur bancaire, utilisée au sein du FMI. Alors comment étendre la quantification aux autres secteurs ?

Les prérequis à une quantification des risques optimale

La méthodologie FAIR est l’une des plus répandues pour quantifier les risques. Une quantification des risques efficace induit :

Une bonne connaissance de ses risques les plus critiques. En effet, vu la complexité de FAIR, il ne vaut mieux pas s’éparpiller et se concentrer sur les scénarios de risque les plus importants. Encore faut-il les connaître ! Un travail de cartographie des risques est à prévoir dans lequel la mobilisation des métiers sera nécessaire ;
Une bonne compréhension des mesures de sécurité existantes pour estimer sa capacité à résister à des attaques et les impacts résiduels ;
Une première ébauche d’un référentiel des coûts types (honoraires d’avocats, de cabinet de communication, etc.), que sera complété dans le temps, ce qui nécessite une expertise métier pour identifier et estimer les coûts.

Aussi, l’estimation du coût des risques, du fait de sa nature transverse appelle à la collaboration de nombreux acteurs de l’entreprise (RH, juridique, etc.), ce qui peut être complexe à mettre en place.

La méthodologie FAIR, une approche qui vient préciser certaines phases de l’analyse et du traitement des risques

Introduction à la méthodologie FAIR (Factor Analysis of Information Risk)

En 2001, Jack Jones était le RSSI de Nationwide Insurance. Il était lui-même confronté aux interrogations persistantes de sa direction générale lui demandant des données chiffrées sur les risques auxquels était exposée l’entreprise. Face à l’insatisfaction causée par le flou de ses réponses, Jack Jones a mis en place une méthodologie pour estimer, de manière chiffrée, les risques pesant sur son entreprise, c’est la méthodologie FAIR.

Concrètement, comment celle-ci se différencie d’une méthodologie d’analyse des risques, tel que EBIOS ?

La méthodologie FAIR ne vient en aucun cas remplacer l’analyse de risque : FAIR est une méthodologie permettant d’évaluer les impacts et les probabilités d’un risque de manière plus fiable. Les impacts sont toujours traduits en pertes financières afin de rendre tangible l’évaluation réalisée. Les compléments apportés sont illustrés par le schéma ci-dessous.

Schéma 1 : FAIR, une approche qui précise certaines phases de l’analyse et du traitement des risques

Habituellement, l’évaluation du risque cyber se traduit par plusieurs types d’impact (impact d’image, financier, opérationnel, juridique, etc). La particularité de la méthodologie FAIR est de transposer chaque impact à un coût financier (coûts direct, indirects, tangibles et intangibles). Par exemple, si un scénario de risque présente un impact sur l’image de l’entreprise, FAIR traduit ce risque sous forme de risque financier en évaluant le coût de l’agence de communication que l’on mobilisera afin de redresser l’image de l’entreprise notamment. Si le directeur général d’une entreprise est mobilisé dans le cadre d’une gestion de crise, alors il faudra estimer le temps passé à gérer cette crise et monétiser celui-ci.

Comment appliquer la méthodologie FAIR ?

Un risque quantifié en euro est le facteur de la fréquence d’attaque réussie (loss event frequency) et le coût de l’attaque réussie (loss magnitude). Le schéma ci-dessus présente la démarche utilisée par la méthodologie FAIR afin d’estimer ces deux caractéristiques.

Schéma 2 : les critères pris en compte par la méthodologie FAIR pour estimer les risques (traduction non disponible à date)

Calcul de la « Loss Event Frequency »

Le « contact frequency » représente la fréquence à laquelle la menace (« threat agent ») entre en contact avec le bien à protéger. Par exemple, il peut s’agir de la fréquence à laquelle a lieu une catastrophe naturelle à endroit donné.

La « probability of action » est la probabilité que la menace agisse de manière malveillante sur le système une fois le contact effectué. Celui-ci ne s’applique que lorsque le threat agent est un être vivant (ne s’applique pas dans le cas d’une tornade par exemple). Cela se déduit du gain, de l’effort et du coût de l’attaque et des risques.

De ces deux paramètres en découle la « threat event frequency ».

La « threat capability » consiste à estimer les capacités du threat agent tant en matière de compétences (expérience et savoir) qu’en matière de ressources (temps et matériel).

La « resistance strength » est la capacité de resistance de l’entreprise face à ce scénario d’attaque. la resistance threat se calcule à partir du niveau de maturité cyber de l’entité par exemple avec une analyse d’écart à NIST.

De ces deux paramètres en découle la « vulnerability », puis la « loss event frequency ».

Calcul de la « Loss Magnitude »

Les « primary loss » constituent le coût des pertes directes. Cela comprend notamment : l’interruption des opérations, les salaires versés aux employés alors que les opérations sont interrompues, le coût de la mobilisation de prestataires pour pallier l’attaque (restaurer les systèmes, mener les investigations), etc.

Les « secondary loss » constituent les pertes indirectes, provenant des réactions d’autres personnes impactées, et sont plus difficiles à estimer. Par exemple, les « secondary loss » peuvent couvrir la perte de part de marché engendrée par la dégradation de l’image de l’entreprise, les coûts de notification d’une attaque via une agence de communication, le paiement d’une amende auprès d’un régulateur ou encore des honoraires d’avocat pour se défendre en justice, etc. Celle-ci se calcule en multipliant la « secondary loss event frequency » et la « secondary loss magnitude » pour chacun des coûts indirects.

Une solution qui accompagne les entreprises dans la mise en application de cette méthodologie

Au-delà de la description théorique de la méthodologie, des solutions se développent pour permettre aux entreprises d’appliquer la méthodologie de manière concrète. C’est le cas de la start-up Citalid qui, par exemple, propose une plateforme de quantification des risques cyber en s’appuyant sur la méthodologie FAIR. Celle-ci permet au RSSI d’affiner et de rendre cohérente la quantification des risques grâce à de la threat intelligence (pour le suivi des attaquants dans le temps). Pour utiliser la solution, l’entreprise doit renseigner des éléments relatifs à son contexte et, pour chacun des scénarios de risque à quantifier, compléter un questionnaire NIST (50 questions pour le plus basique ou 250 pour un niveau de granularité plus fin) et le reste est calculé automatiquement.

Quelles sont les avantages et les limites de la méthodologie FAIR ?

La méthodologie FAIR apporte principalement les éléments suivants :

Elle permet à l’entreprise d’identifier et d’évaluer plus précisément les risques les plus importants. Pour chacun des scénarios de risque choisis, la méthodologie permet une estimation des pertes financières moyennes et maximales et une fréquence estimée. Par exemple : « la probabilité de perdre 150 millions d’euros en raison de la propagation d’un ransomware destructif de type NotPetya exploitant une faille 0-day Windows est de 20% ».
Elle permet l’estimation des coûts-avantages du plan d’actions de réduction des risques. En jouant avec la « resistence strength », il est possible d’estimer le retour sur investissement (ROI) des mesures de sécurité à mettre en place.
Elle transpose tous les risques cyber en un risque financier ce qui permet une meilleure compréhension du risque par les dirigeants de l’entreprise.

Cependant, l’application de FAIR n’est pas sans contraintes car elle demande des ressources parfois importantes (tant en nombre de jours hommes que de connaissance du contexte de l’entreprise). La quantification du risque ne couvre par ailleurs qu’un périmètre restreint (1 scénario de risque). Aussi, la quantification du risque avec la méthodologie FAIR nécessite d’être affinée avec des abaques types de coûts associés à un impact cyber. Cela peut par exemple se faire en capitalisant sur les analyses post-mortem d’un crise cyber qui permettent souvent de donner une illustration réelle des impacts financiers.

Ainsi, la méthodologie FAIR est une piste prometteuse mais qu’il faudra se l’approprier dans le but d’en tirer des bénéfices concrets.

Cet article La quantification du risque cybersécurité est apparu en premier sur RiskInsight.

Définir une stratégie cybersécurité dans une grande entreprise – Retours d’expérience

Matthieu Garin — Wed, 27 May 2020 15:04:38 +0000

Le schéma directeur SSI est la mission de conseil par excellence ! En 15 ans de conseil, pas un seul mois sans un appel d’offres sur ce sujet de la part d’un grand compte. Certes, le nom n’est pas toujours le même : schéma directeur, modèle de sécurité, plan d’actions, feuille de route… mais sur le fond il s’agit toujours de fixer un ensemble de chantiers permettant de converger vers une cible de sécurité à 3-4 ans, partagée et compréhensible par le top management. 15 ans de schémas directeurs, c’est 15 ans d’introductions à base d’accélération de la menace, de durcissement des régulations, d’accompagnement des transformations… les raisons pour établir une stratégie cyber sont toujours globalement les mêmes Mais c’est bien le seul point commun entre une stratégie 2005 et une stratégie 2020 ! La méthode pour concevoir un schéma directeur cyber a très largement évolué, et c’est ce que nous allons tenter d’expliquer dans cet article, sur la base de retours terrain concrets.

Il y a 10-15 ans, la vie était simple.

Un schéma directeur pouvait se construire en quelques entretiens avec le RSSI et son équipe, « à dire d’experts ». Pour apporter une logique, on se basait sur un modèle imagé type château fort ou aéroport qui servait de (bon) prétexte à la mise en place des fondamentaux et permettait d’expliquer les choix… Les attaques semblaient encore lointaines, la cyber était moins dispersée qu’aujourd’hui et tous les schémas directeurs se ressemblaient plus ou moins (une manière plus élégante de dire que tout le monde partait à peu près de zéro). Rappelez-vous, c’était la grande époque des PKI, des premiers SOC, du cloisonnement Datacenter, des débats IDS vs IPS, du BYOD… pour ne citer que ces sujets. Bien sûr, les chantiers étaient in fine justifiés par une couverture de risques (fraude, fuite d’information, propagation de malware…), mais soyons honnêtes : cette justification était souvent effectuée a posteriori, pour rassurer. Avec un peu de recul, ces stratégies cyber ont surtout eu un vrai rôle de sensibilisation / formation du top management, progressivement impliqué dans les choix et les discussions.

En 2020, le contexte a beaucoup changé. Le simple « dire d’expert » ne suffit plus : certains grands comptes investissent désormais des centaines de millions d’euros par an pour la cybersécurité, et les comités exécutifs exigent davantage de preuves quant à l’efficacité de la stratégie déployée. D’autant plus que les « fondamentaux » (patching, bastion…) sont désormais complétés par un arsenal de mesures toutes plus spécifiques les unes que les autres qui interrogent sur la pertinence d’une stratégie unique, pour une grande entreprise. Il est clair par exemple qu’entre une banque de détail focalisée sur la fuite de données client, et une banque d’investissement craignant surtout des indisponibilités sur certaines chaines de trading… les priorités sont différentes. La crise actuelle risque très certainement de renforcer cette tendance : les stratégies doivent désormais s’adapter beaucoup plus finement aux métiers.

Une stratégie pragmatique et agile, alignée sur les priorités business

Les premiers mois de travail sont toujours consacrés à la méthode qui amènera rigueur et crédibilité auprès du management et des régulateurs. Très concrètement, il s’agit de définir le Framework cyber de l’entreprise et une méthode permettant à chaque entité de définir son Target Profile (cible à atteindre sur le Framework). Terminée la stratégie trop monolithique, place à une stratégie différenciée par entité !

Les grandes entreprises ne se posent plus trop de questions sur le Framework : NIST et ses 110 contrôles s’impose définitivement comme le leader du marché. Les 5 fonctions (protect, detect…) sont très parlantes auprès du management, le rythme de mise à jour (3 ans) est acceptable… et surtout sa popularité favorise le Benchmark. Mais après tout, peu importe le Framework retenu : ISO ou CIS peuvent très bien faire l’affaire… l’essentiel est de se caler sur une référence du marché. Notons que la plupart des entreprises ne se privent pas de préciser les contrôles pour les rendre plus pragmatiques : EDR, SOAR, sécurité AD, anti-fraude… le Framework agit tout simplement comme une bibliothèque de contrôles potentiels sur laquelle l’entreprise va s’appuyer pour établir sa stratégie.

Il est maintenant temps de définir la cible à atteindre sur le Framework ! Dans les grandes entreprises, le Groupe impose souvent un premier niveau de sécurité pour tous, correspondant à la poursuite des fondamentaux : SOC, bastion, patching… La plupart des attaques systémiques exploitent encore ces faiblesses, et le risque de propagation inter-entités doit être géré de manière transverse. Cette cible commune est assez similaire d’une entreprise à l’autre, et est en général établie à partir de benchmarks fournis par le marché du conseil. Plus challenging, chaque entité est ensuite amenée à définir sa propre cible, selon ses enjeux propres. Attention, la mécanique de mapping et de pondération entre les contrôles du Framework et la cartographie des risques peut s’avérer complexe… ce n’est pas pour rien que certaines start-ups comme Citalid se positionnent sur ce marché. La clé est souvent de sortir de la filière cyber et travailler conjointement avec la Direction des Risques !

Ça y est… le plus dur est fait : le Framework est construit et les entités ont défini leur cible. Il s’agit maintenant de prendre du recul pour identifier les grands projets à lancer et rendre la stratégie compréhensible par tous !

Les incontournables du moment : sécurité de l’AD et IAM

Les chiffres issus des stratégies cyber des grandes entreprises françaises ont de quoi donner le tournis : 10-20M d’investissement en moyenne par an dans le secteur de l’industrie, et jusqu’à 100-150M par an pour les Services Financiers. Chaque stratégie est différente – c’est tout l’objet de l’approche par les risques – mais les retours d’expérience récents montrent que les budgets s’équilibrent plutôt équitablement entre 4 natures de chantiers : 1. Les fondations sécurité (patching, sensibilisation, sécurité des admins…) 2. La protection des environnements sensibles (LPM, sécurité AD, data protection…) 3. La convergence zero-trust (inventaires, IAM, risk-based authentification, conformité…) 4. La cyber-résilience (détection, gestion de crise, reconstruction, continuité métier…). Il y a quelques années, le SOC et la LPM ressortaient définitivement comme les sujets les plus prioritaires. Ils sont aujourd’hui très largement concurrencés par la sécurité de l’Active Directory et l’IAM… Il suffit de se pencher sur les modes opératoires des attaques récentes pour obtenir une explication à cette tendance.

Nous en sommes tous convaincus : une stratégie cyber est un outil essentiel pour donner le cap, fédérer les actions et impliquer le management. Mais pas seulement ! Établir un schéma directeur pluriannuel est une formidable opportunité pour embarquer les équipes autour d’un objectif commun. Certaines filières sécurité sont passées de quelques dizaines de personnes, à plusieurs centaines voire milliers en l’espace de quelques années, et de nombreux employés sont actuellement en quête de sens (cela fera probablement l’objet d’un prochain blogpost). Je ne peux que vous recommander de profiter de ce « moment » qu’est la création de la stratégie pour créer une aspiration, un enthousiasme, un vrai esprit d’équipe dans la filière… c’est le moment idéal : multipliez les groupes de travail, impliquez un maximum de collaborateurs, adoptez une démarche transparente, faites challenger les équipes par le top management… bref, transformez cette construction de stratégie un événement de filière ! Vous verrez, c’est encore plus sympa comme çà

Cet article Définir une stratégie cybersécurité dans une grande entreprise – Retours d’expérience est apparu en premier sur RiskInsight.

Comment évaluer efficacement sa maturité en cybersécurité ?

Anthony GUIEU — Wed, 20 May 2020 12:34:41 +0000

Analyser le retour sur investissement de son programme de cybersécurité, reprioriser son budget, comparer son niveau de sécurité par rapport aux autres acteurs du secteur ou aux référentiels de cybersécurité (ISO27001/2, NIST…), mesurer son exposition aux attaques récentes… Les RSSI nous sollicitent souvent pour évaluer leur maturité en matière de cybersécurité.

Mais ces projets ne sont pas uniquement à l’initiative des RSSI ! Le lancement de tels projets peut également émaner de comités exécutifs, désirant une vision à 360° de la sécurité de leur organisation pour mieux évaluer le risque auquel ils sont confrontés.

Quels sont les facteurs clés de succès et qu’avons-nous observé sur le terrain ?

Etape 1 : savoir qui va être le destinataire de l’évaluation et quelles sont ses attentes

Les évaluations peuvent être d’un niveau de profondeur radicalement différent ! D’une interview haut niveau avec le RSSI d’une organisation à une évaluation en profondeur des mécanismes et processus sécurité de toutes les filières d’un groupe multinational, chacun peut mettre le curseur où il le désire et avancer pas-à-pas.

Notre premier conseil est de garder en tête les objectifs de votre évaluation : cela vous permettra de vous orienter vers les bons référentiels de cybersécurité (NIST, ISO 27001/2…) et surtout de définir avec cohérence la profondeur de l’évaluation. Voulez-vous uniquement mesurer le niveau de maturité de votre filière SSI ou également son efficacité ? Des processus sécurité parfaitement documentés et une certification ISO 27001 peuvent malheureusement masquer des problèmes de terrain qui vous exposent à des vulnérabilités… Il peut être judicieux de combiner un test technique (pentest, red team…) à l’évaluation pour éviter le piège des indicateurs pastèques !

Etape 2 : trouver et mobiliser les bons interlocuteurs au bon niveau, facile à dire…

La prochaine difficulté que vous pouvez rencontrer dans votre évaluation est de réussir à rencontrer les bons sachants. D’expérience, nous vous conseillons de confirmer et figer aussi tôt que possible la liste des interlocuteurs.

En toute logique, cette liste dépendra fortement de la granularité de l’analyse (figure ci-dessus) mais également de l’organisation de l’entreprise ! Par exemple, les interlocuteurs diffèrent si les effectifs sécurité sont au niveau groupe et fonctionnent comme un centre de service ou alors s’ils sont fondus dans chaque entité et service.

Ainsi, si vous désirez avoir dans un premier temps une estimation haut niveau, il peut suffire d’échanger pendant une demi-journée avec le RSSI, qui dispose généralement d’une vision globale et suffisante du sujet.

Le second stade d’analyse peut être atteint en recueillant des informations auprès de l’ensemble des acteurs cybersécurité (SOC, CSIRT…) à l’échelle du groupe. Dans cet ensemble, il peut être intéressant de rencontrer une grande partie des effectifs cybersécurité présents dans des équipes de la DSI (Cloud…).

Enfin, quand l’évaluation doit être poussée et exhaustive, il devient nécessaire d’élargir la liste des interlocuteurs à l’ensemble des entités concernées. Evidemment, il faut s’attendre à une charge de travail en aval d’autant plus grande, ne lésinez pas sur la préparation et l’utilisation d’outil pour vous en sortir ! C’est peut-être également le bon moment pour réfléchir au format de restitution : présentiel, distanciel, stratégique, opérationnel…

Etape 3 : L’outillage, trouver l’équilibre entre trop et pas assez

Place maintenant au choix des outils, un des principaux challenges de l’évaluation auquel vous devez faire face. Au plus elle sera complète, au plus elle nécessitera un outillage pour simplifier et assurer la cohérence de l’ensemble. En effet, pour les grandes évaluations, la consolidation et la restitution des résultats font partie des grandes difficultés rencontrées ! En particulier les principaux outils ne prennent pas en compte la complexité organisationnelle des grands groupes ou encore l’efficacité des moyens octroyés. C’est pour ces raisons que nous avons choisi de notre côté de développer un outillage particulier.

Un bon outil vous permettra également de vous positionner vis-à-vis de vos concurrents et de comprendre votre exposition aux tendances d’attaques actuelles, des points auxquels votre COMEX est particulièrement sensible et vous permettant de légitimer l’évaluation.

C’est parti, c’est l’heure de mettre les mains dans le cambouis pour démarrer la collecte des informations ! En définitive, une phase assez classique, en totalité faisable à distance, ce qui est utile dans la situation actuelle. Soyez conscient et transparent sur les limites de l’exercice : les personnes questionnées auront parfois l’impression que l’évaluation est trop théorique et c’est normal, suivant ses objectifs. Durant cette phase, il faudra également savoir jongler entre les différents imprévus car il n’est pas rare d’avoir des interlocuteurs finalement absents pendant de longues durées, des périmètres ajoutés, des changements de méthodologie … Mettons un point d’honneur à rester agile.

Etape 4 : restituer au bon niveau pour agir, tout est une question de vue !

La bonne habitude à garder, est de franchement adapter chaque support de restitution à chaque personne. Entre les synthèses managériales où on parlera sans trop de détail des tendances, de ce qui va bien, ce qui ne va pas bien et c’est tout, et de l’autre côté les présentations pour les équipes techniques où il ne faudra pas lésiner sur la description des risques de compromission, adapter le discours est donc l’enjeu essentiel pour réussir à faire passer les bons messages.

Usuellement, nous démarrons la restitution par le positionnement de l’organisation évaluée sur l’angle du budget et des effectifs dédiés à la cybersécurité. Ces points très concrets permettent d’attirer l’attention et de pouvoir ensuite analyser la situation selon 4 vues différentes :

Conformité globale par rapport aux référentiels de cybersécurité (ISO/NIST)
Evaluation du niveau de maturité des différentes entités évaluées comparé à celui du secteur et du marché
Quantification de l’effort à fournir sur chacune des thématiques pour atteindre le niveau du marché et/ou le niveau demandé par les référentiels de cybersécurités
Evaluation du niveau de robustesse de l’organisation face aux dernières cyberattaques connues.

La restitution va souvent se focaliser avec la direction générale sur des sujets d’organisation et de gouvernance. Toutefois, il arrive d’avoir de sacrées surprises ! Dans des contextes d’entreprises déjà touchées par de violentes cyberattaques, nous avons déjà eu des questions étonnamment précises et techniques par des membres du COMEX, demandant par exemple « Comment est sécurisé mon Active Directory ? » ou des précisions sur les algorithmes de chiffrement… Assez étonnant !

Lancez-vous

Comme mentionné plus tôt, l’évaluation de maturité est un formidable moyen pour mesurer l’efficacité et l’avancement de votre roadmap cybersécurité ! Ainsi, même si vous ne voulez pas tout de suite franchir le cap d’une évaluation impliquant tous les éléments SSI de votre entreprise et sollicitant des dizaines d’équipe, nous vous conseillons de vous familiariser avec l’approche et son utilité en démarrant sur un périmètre et une profondeur plus modeste !

Chez Wavestone, fort de ces différents retours d’expérience, nous avons construit le W-Cyber-Benchmark, remplissant ces usages et contenant déjà l’évaluation de plusieurs dizaines de clients. On comprend que vous ne croyez pas sur parole, alors n’hésitez pas à nous contacter pour en discuter !

Cet article Comment évaluer efficacement sa maturité en cybersécurité ? est apparu en premier sur RiskInsight.

OSE belges : comment réussir votre mise en conformité NIS et obtenir votre certification ISO 27001 ?

Noëmie Honoré — Tue, 12 May 2020 15:02:51 +0000

Félicitations ! Vous faites partie des élus, votre organisation a été désignée Opérateur de Services Essentiels (OSE) par son autorité sectorielle. Bienvenue au club des futurs certifiés ISO 27001. Maintenant que l’information est digérée vous vous demandez : qu’est-ce que cela implique concrètement ? Comment m’y prendre ? Dans quels délais ? Pas de panique, dans cet article, on vous propose tous les éclaircissements nécessaires pour débuter votre mise en conformité aux exigences de la loi NIS belge.

OSE, acteur clef des services essentiels économiques et sociétaux belges

Si votre organisation a été désignée comme OSE, c’est parce qu’elle fournit un ou plusieurs services essentiels au maintien d’activités sociétales et économiques critiques, pour la Belgique, et plus largement pour l’Union Européenne (UE). En effet, la Directive Européenne NIS publiée en 2016 (security of network and information systems – UE 2016/1148), a pour objectif d’assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’UE. Cette directive a été transposée dans le droit belge en mai 2019 et permet de désigner une entité publique ou privée comme OSE si elle répond aux critères suivants :

Depuis novembre 2019, les notifications de désignation s’établissent dans les secteurs de l’énergie, du transport aérien et de la finance. Le secteur de la santé, quant à lui, a annoncé qu’aucun OSE ne sera désigné en 2020.

Votre entreprise coche toutes ces cases ? Sachez que l’autorité sectorielle peut ajouter des critères spécifiques afin de juger du degré de criticité des services : par exemple, la part de marché de l’entreprise, ou l’ampleur de la zone géographique susceptible d’être touchée par un incident. (Loi 2019-04-07/15. Art.13).

Quelles obligations après sa notification ?

Être désigné OSE implique de protéger les systèmes d’information qui permettent la fourniture du ou des services essentiels identifiés. Sécuriser un service essentiel revient à s’assurer de la disponibilité, la confidentialité et l’intégrité des systèmes d’information dont il est tributaire (Loi 2019-04-07/15. Art.24). Pour ce faire, la Belgique demande aux OSE de faire certifier leurs systèmes d’information critiques à la norme ISO 27001 (Loi 2019-04-07/15. Art.22). Cette norme demande la création d’un Système de Management de la Sécurité de l’Information (SMSI) avec la mise en œuvre de processus et de mesures de sécurité.

Les principales étapes et échéances de la loi NIS belge

La Loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, dite Loi NIS belge, prévoit un délai de mise en conformité en 3 ans et 2 mois et demi maximum après la notification de désignation de l’OSE. La loi prévoit ainsi différentes étapes et échéances précises :

3 mois après la désignation, l’OSE doit fournir :

Une description détaillée des systèmes d’information dont ses services essentiels sont tributaires. La toute première chose à faire est donc de délimiter le périmètre des services essentiels au niveau business et IT, (Loi 2019-04-07/15. Art.16)
Un point de contact (Loi 2019-04-07/15. Art.23)

Au plus tard 12 mois après la notification de désignation : l’OSE initie une Politique de Sécurité Informatique (PSI) (rt.21) et réalise un premier audit interne sous 3 mois.

24 mois après le premier audit interne (soit environ 3 ans après la notification de désignation), c’est le grand jour : un audit externe doit être conduit en vue de l’obtention de la certification ISO 27001.

Comment se déroule une mise en conformité ISO 27001 ?

Comme tout système de management, le SMSI doit garantir l’application de la méthode PDCA « Plan-Do-Check-Act », aussi appelée « Roue de Deming », pour assurer l’amélioration continue des performances. 6 activités fondamentales se dégagent de la norme ISO 27001 :

De manière pragmatique, la norme ISO 27001 requiert des livrables et des validations à plusieurs étapes clefs du processus de mise en conformité. Ci-dessous, nous vous proposons une chronologie des actions à réaliser avec les livrables associés, ainsi qu’une estimation du temps nécessaire pour chaque étape du parcours de mise en conformité.

Plus précisément, les étapes se déroulent comme suit :

1 – Définition du périmètre (sous quelques semaines) : c’est la première étape clef pour déterminer le domaine d’application sur lequel les exigences de la norme vont porter. L’étendue du service essentiel est alors définie d’un point de vue business et IT, détaillant les activités, les équipes et les systèmes concernés.

2 – Phase de cadrage du SMSI (entre 2 et 6 mois) :

2.1 – Réaliser le bilan de conformité en comparant, sur le périmètre identifié, les pratiques réalisées aux exigences des normes ISO 27001 et ISO 27002 afin de relever les écarts. Le résultat de cette étape donne à la fois le niveau global de maturité de sécurité du périmètre et la feuille de route de mise en conformité par volet sécurité.
2.2 – Conduire l’analyse de risques. Cette étape se concrétise en trois actions.
A – Définir la méthodologie de l’analyse de risques (si celle-ci n’existe pas). Afin de pouvoir piloter les risques dans la durée, elle doit être reproductible (mise à jour annuelle et en cas de changement majeur sur le périmètre). La méthodologie définit des échelles de probabilité, d’impact, et des seuils d’acceptation des risques en fonction des enjeux business et IT présents sur le périmètre du service essentiel.
B – Conduire la 1ère analyse de risques sur le périmètre du service essentiel. Sur la base d’entretiens avec des interlocuteurs business et IT, l’analyse permet à la fois d’identifier les enjeux, les menaces et les vulnérabilités pour déterminer les risques du périmètre et permettre la définition du plan de traitement des risques.
C – Déterminer le Plan de Traitements des Risques (PTR) destiné à organiser l’implémentation des mesures de sécurité. En collaboration avec l’équipe sécurité, les propriétaires de risques sont identifiés et doivent, pour chaque risque, décider du traitement (réduction, transfert ou acceptation) et valider le plan d’action associé. L’ensemble de ces mesures identifiées constitue le Plan de Traitement des Risques (PTR), établissant les traitements prioritaires à réaliser, en estimant notamment les ressources nécessaires et le planning de mise en oeuvre. Après validation des actions du PTR, le niveau de risques résiduels est alors complété dans l’analyse de risques.
2.3 – Valider le périmètre de certification. Cette étape met fin à la phase de cadrage et se concrétise par deux livrables : un descriptif précis du service essentiel du point de vue business et IT et la déclaration d’applicabilité (DdA). La DdA correspond à la liste des mesures de sécurité de la norme ISO 27002 retenues pour répondre aux besoins de mise en conformité du SMSI selon les enjeux et les risques identifiés. Pour les mesures non retenues, l’OSE doit justifier l’exclusion de ces mesures. La DdA sert par la suite de référentiel pour les audits.

3 – Phase d’implémentation (entre 9 mois et 2 ans selon le périmètre défini et le niveau de maturité de sécurité existant)

3.1 – Définir la PSI (Politique de Sécurité des Systèmes et des Réseaux d’Information). Ce document a deux fonctions : il sert à la fois à lister les grands objectifs de sécurité de l’information établis par l’organisation sur un périmètre donné ainsi que les mesures à mettre en place pour les réaliser, mais il fait aussi office de preuve d’engagement de l’entreprise à satisfaire les exigences de la norme et à œuvrer pour l’amélioration continue du SMSI. Ce document, une fois émis, doit être disponible et diffusé au sein de l’organisation et doit également être mis à disposition de toutes les parties prenantes.
3.2 – Définir, documenter et mettre en œuvre les processus clefs ISO 27001 : gestion des risques, gestion de l’exploitation, gestion des incidents, communication et sensibilisation, gestion du référentiel documentaire, gestion de l’amélioration continue, etc. Des pratiques à définir avec une attention particulière à les intégrer dans le contexte existant pour une meilleure appropriation par les équipes.
3.3 – Mettre en œuvre les chantiers sécurité selon le PTR
3.4 – Conduire un premier cycle de contrôle, à savoir : suivre les indicateurs de performance dans un tableau de bord et mesurer l’atteinte des objectifs de sécurité, réaliser des audits internes sur les périmètres à forts enjeux afin d’identifier les écarts entre les pratiques et les exigences de la norme et du référentiel du SMSI. Enfin, assurer la ou les premières revues de direction pour présenter les résultats du SMSI, valider les orientations et prendre les décisions pour traiter les non-conformités et opportunités d’amélioration continue (agenda prévu par la norme)
3.5 – Piloter l’amélioration continue du SMSI jusqu’à l’audit externe : au fur et à mesure des incidents, des résultats du tableau de bord et de ceux des audits internes, l’OSE identifie les non-conformités résiduelles et détecte les opportunités d’amélioration continue à faire valider par l’équipe SMSI

4 – Audit externe : c’est l’évaluation décisive pour l’obtention de la certification. Cette étape se décompose de façon prévisible en 3 actions : préparer les équipes à l’audit externe, participer à l’audit externe et… obtenir la certification !

L’audit externe est mené par un organisme de certification qui examine, sur la base des référentiels de la loi NIS belge (Loi 2019-04-07/15), de la norme ISO 27001, de la PSI et de la DdA validée par l’OSE, que les pratiques et la documentation sont bien conformes aux exigences indiquées et effectivement appliquées selon le principe de l’amélioration continue des systèmes de management.

Vous en savez désormais plus sur la Loi NIS belge et la norme ISO 27001, on espère que vous vous sentez plus armé pour mettre en oeuvre votre SMSI. Dans un prochain article, vous découvrirez quelques conseils issus de nos retours d’expérience pour réussir votre certification ISO 27001 et la maintenir dans la durée.

Cet article OSE belges : comment réussir votre mise en conformité NIS et obtenir votre certification ISO 27001 ? est apparu en premier sur RiskInsight.

La cyber n’échappera pas à la réduction des coûts

Matthieu Garin — Wed, 22 Apr 2020 10:50:49 +0000

Ne nous mentons pas : on a parfois l’impression que la cyber vit dans une bulle. Les RSSI sont abreuvés de benchmarks (10% du budget de la DSI, 1 ETP pour 400 employés…) qui les amènent à multiplier les grands programmes d’investissement, parfois à coûts de centaines de millions de dollars. Il n’est plus rare aujourd’hui de croiser des filières sécurité atteignant plusieurs centaines, voire milliers d’employés…

Mais depuis quelques temps, certains comités exécutifs ne sont plus aussi généreux et exigent davantage d’efforts de la part de la filière SSI. On le sait : prouver l’efficacité des moyens engagés n’est pas aisé, et certains RSSI se retrouvent à batailler pour ne serait-ce que maintenir leur budget annuel. La situation post-COVID risque de ne rien arranger, et mon petit doigt me dit qu’il n’y a aucune raison pour que la cyber échappe aux impératifs d’économies à venir.

Sur le terrain, les trois leviers suivants peuvent présenter des opportunités pour optimiser les coûts d’une filière SSI : 1. La revue de l’Operating Model, 2. la massification des contrats, 3. l’automatisation et le recours à l’offshore.

1/ La revue de l’Operating Model

Pour optimiser un Operating Model SSI, il faut rapidement se poser la question des redondances. Le constat est souvent le même d’une entreprise à l’autre : la filière SSI a grandi très rapidement, et différentes équipes ont des missions très proches voire redondantes. Beaucoup de prestataires peuvent en témoigner : il est assez classique d’être sollicité plusieurs fois pour la même étude au sein d’un Grand Compte, dans plusieurs entités différentes. Même si quelques entreprises envisagent de traiter ce sujet par une centralisation complète de l’équipe sécurité (quelques exemples récents dans l’industrie), la clé est plutôt de regrouper a minima l’expertise cyber en central et de structurer des offres de service consommables par tous : pentests, SOC, redteam, rédaction de politiques, awareness…

Attention, cela peut représenter un changement de posture fort pour de nombreuses équipes RSSI, qui passent ainsi d’un rôle de prescripteur à un rôle d’offreur de service avec toutes ses facettes (SLA, mesure de la qualité, voire pénalités). Mais c’est une excellente manière de supprimer les redondances, optimiser les coûts et clarifier au passage les responsabilités !

2/ La massification des contrats

Les contrats d’achat représentent souvent plus de la moitié des dépenses de la filière SSI et peuvent évidemment présenter d’excellentes pistes d’optimisation. De nombreuses entreprises ont multiplié le déploiement tactique de solutions de sécurité et il n’est pas rare de se retrouver en production avec 4 types d’IPS, 3 EDR et 3 SIEM… Une solution simple pour reprendre le contrôle et optimiser les coûts est de revenir au bon vieux catalogue de solutions avec prix négociés en central : maximum 2 produits référencés par techno et obligation pour toutes les entités de taper dans le catalogue ! Les résultats peuvent être spectaculaires en jouant sur les effets de volume.

Même approche pour les prestations : il s’agit d’éviter l’éparpillement des contrats et de faire jouer la concurrence. Sur le terrain, on constate typiquement une tendance à la massification des contrats ne nécessitant pas d’expertise cyber pointue : gestion de projets, PMO, conduite du changement… D’expérience il est assez simple d’aller chercher 10%-15% sur les taux journaliers, le panel des sociétés étant beaucoup plus important pour ce type de tâche ! Mais attention à ne pas perdre en valeur : il ne s’agit pas de baisser la garde sur l’expertise ou la stratégie cyber.

3/ L’automatisation et le recours à l’offshore

L’automatisation peut également être une piste d’optimisation à explorer à moyen terme. D’autant plus que le mouvement est déjà en marche : solutions SOAR pour le traitement des incidents, apprentissage automatique pour la détection d’anomalies, déploiement de mesures dans le Cloud… de nombreuses activités de la cybersécurité cherchent actuellement à gagner en rapidité en tirant partie de l’automatisation des tâches répétitives. Les résultats ne sont évidemment pas immédiats, mais la conjoncture actuelle risque clairement de booster les projets de ce type !

Une stratégie d’offshore peut en revanche présenter des résultats beaucoup plus immédiats, mais attention aux projets menés dans la précipitation. L’offshore d’activités sécurité est tout sauf tactique et nécessite un gros travail de cadrage pour comprendre les spécificités de chaque pays, établir une proximité avec le management local, et surtout intégrer sans couture l’offshore dans l’operating model SSI… Les opérations d’offshore réussies embarquent jusqu’à 20% des effectifs de la filière en offshore. La clé pour atteindre de tels volumes est de privilégier la fourniture de services standardisés en offshore (opérations, scans de vulnérabilités, traduction…), et de limiter les équipes étendues qui peuvent s’avérer séduisantes sur le papier mais souvent contre-productives car complexes à piloter.

Cet article La cyber n’échappera pas à la réduction des coûts est apparu en premier sur RiskInsight.

Cybersécurité à l’heure du deepfake – Comment agir face à de fausses informations de plus en plus crédibles ? (2/2)

Carole Meyziat — Fri, 17 Apr 2020 09:00:32 +0000

Nous avons vu dans la première partie de l’article les risques que présentent les deepfakes pour les entreprises. Dans cette partie, nous allons traiter des stratégies pour s’en prémunir et des actions concrètes à mettre en place dès maintenant pour réduire les risques que présentent les deepfakes.

Différentes stratégies pour se prémunir des deepfakes

En parallèle du cadre légal, les organisations publiques et privées s’organisent pour proposer des solutions permettant de détecter et d’empêcher la diffusion malveillante de deepfakes. On peut distinguer quatre stratégies pour s’en prémunir.

1/ La détection d’imperfections

Détecter les deepfakes par leurs imperfections est l’une des principales méthodes existantes. Certaines irrégularités restent présentes dans les contenus générés, comme le manque de clignements des yeux et de synchronisation entre les lèvres et la voix, les distorsions du visage et des accessoires (branches de lunettes), ou encore l’inexactitude du contexte (météo, localisation).

Les deepfakes sont cependant construits pour apprendre de leurs erreurs et générer un contenu de plus en plus proche de l’original, rendant les imperfections moins perceptibles. Les outils utilisant cette stratégie de détection des deepfakes peuvent être efficaces mais nécessitent d’être sans cesse améliorés pour détecter des anomalies de plus en plus légères.

On peut citer dans cette catégorie de protection Assembler, un outil à destination des journalistes développé par Jigsaw (branche d’Alphabet, maison-mère de Google). Il permet de vérifier l’authenticité des contenus en les analysant via cinq détecteurs dont les anomalies de motifs et de couleurs, les zones copiées et collées, et les caractéristiques connues d’algorithmes de deepfakes.

2/ Le screening et l’analyse comparative

Comparer les contenus à une base de données de vrais ou en cherchant des contenus similaires sur les moteurs de recherche pour voir s’ils n’ont pas été manipulés (par exemple, en trouvant la même vidéo avec un visage différent) est une autre stratégie permettant de se prémunir des deepfakes.

En 2020, la AI Foundation devrait rendre disponible un plug-in, Reality Defender, à intégrer aux navigateurs et à insérer à terme aux réseaux sociaux. Celui-ci permettra de détecter les manipulations des contenus, ciblant dans un premier temps les politiciens. Les utilisateurs seront amenés à régler la sensibilité de cet outil, selon les manipulations qu’ils voudront détecter ou non pour ne pas être notifiés à chaque manipulations de média, notamment pour les manipulations les plus courantes (retouches d’une photo de la page Web faite sur Photoshop par exemple).

3/ Le tatouage numérique (watermarking)

Une troisième méthode consiste à marquer les contenus d’un tatouage numérique pour faciliter le processus d’authentification en en renseignant la source et en suivant les manipulations réalisées sur ces contenus.

Une équipe de l’Université de New York travaille sur un projet de recherche de création d’un appareil photo embarquant une technologie de watermarking destinée à marquer les contenus photographiés, afin non seulement d’authentifier la photographie d’origine, mais aussi de marquer et suivre toutes les modifications opérées sur la photographie pendant son cycle de vie.

4/ L’implication du facteur humain

Impliquer les utilisateurs dans le processus de détection permet à la fois de mitiger les impacts des deepfakes en faisant prendre conscience que l’altération des contenus accédés est possible, et de réduire leur occurrence en leur permettant de reporter leurs suspicions de deepfakes.

Le plugin Reality Defender déjà évoqué offrira la possibilité aux utilisateurs de signaler les contenus qu’ils jugent faux pour en informer les autres utilisateurs – qui en plus de l’analyse réalisée par l’outil verront si les contenus ont été signalés par d’autres utilisateurs, offrant un second niveau de signalisation.

Des initiatives portées par des coopérations d’acteurs multisectoriels combinent ces quatre stratégies pour une efficacité maximale contre les deepfakes. Certaines sont déjà utilisées ou testées par des journalistes. C’est le cas de InVID, initiative développée dans le cadre du programme de l’Union Européenne Horizon 2020 de financement de la recherche et de l’innovation, utilisé par l’Agence France-Presse.

Des solutions et stratégies émergent donc, le marché se construit, et de nouvelles solutions innovantes devraient apparaitre très prochainement avec les résultats du Deepfake Detection Challenge. Ce concours anti-deepfake a été lancé par Facebook à l’approche des élections présidentielles américaines, et plus de 2600 équipes s’y sont inscrites. Résultats le 22 avril !

Ci-dessous un tableau présentant des exemples d’initiatives combinant différentes stratégies pour se prémunir des deepfakes.

Différents moyens pour protéger son activité

Le risque présenté par les deepfakes pour les entreprises est bien réel et voici quelques actions clés à lancer pour s’en protéger et mitiger ses impacts dès maintenant.

Evaluer son exposition : Les cas d’usage des deepfakes et le worst-case scenario de leur utilisation doivent être déterminés sur les périmètres de l’entreprise, en considérant les risques de fraude et de déstabilisation, et en identifiant la ou les stratégies de sécurité adaptées.

Sensibiliser : Les collaborateurs doivent être sensibilisés à la détection des deepfakes (pour éviter les cas de fraudes) mais aussi à la limitation des contenus partagés sur les réseaux sociaux pouvant être réutilisés pour produire des deepfakes (pour éviter la déstabilisation). A l’image des campagnes de faux phishing, cette sensibilisation porte à la fois sur la détection des défauts techniques (forme) des deepfakes (bien qu’elles seront amenées à disparaître avec le perfectionnement des techniques), mais surtout sur la détection du caractère suspect des informations (fond), invitant à la méfiance, au recoupement des informations et à la notification de suspicions aux équipes compétentes (que faire si je vois une vidéo suspecte de mon responsable communication sur les réseaux sociaux pendant le week-end ? Que faire si je reçois un message vocal de mon chef me demandant de réaliser une opération ponctuelle un peu hors de mon périmètre ?).

Adapter ses processus de vérification : Les plans anti-fraude existants peuvent être repensés pour s’appliquer aux deepfakes. Par exemple, pour une fraude au président via deepfakes, une des recommandations est de proposer à son interlocuteur de raccrocher et le rappeler (si possible sur un numéro déjà connu, et après des vérifications internes). Pour les scénarios de fraudes les plus sensibles, ces processus de réactions doivent être définis très finement et les collaborateurs concernés régulièrement formés aux réflexes à adopter. Des outils tels que définis précédemment peuvent également être utilisés pour vérifier tout ou partie des médias consommés par les collaborateurs.

Protéger ses contenus : Les contenus représentant des collaborateurs partagés en interne et en externe par l’entreprise peuvent être contrôlés pour éviter qu’ils ne soient réutilisés pour produire des deepfakes. Les entreprises peuvent limiter la diversité des données potentiellement utilisables par des personnes malintentionnées (angles de vues des personnes et types de médias) et jouer sur la qualité numérique (définition) des contenus partagés. En effet, plus les attaquants bénéficient de contenus divers et de bonne qualité représentant des collaborateurs, plus il est facile de les réutiliser pour générer des deepfakes. De plus, les entreprises peuvent limiter leurs moyens de communication à une chaine officielle, des réseaux sociaux vérifiés et leurs sites web officiels – ce qui crée des habitudes de consommation de contenus par l’audience, qui verra sa méfiance éveillée par toute diffusion sortant de ces habitudes.

Anticiper les crises : Les besoins de communications en cas d’incident avéré lié aux deepfakes doivent être prévus, et la gestion du cas du deepfake doit intégrer les scénarios de communications « génériques » adressés dans les plans de communication de crise.

Cet article Cybersécurité à l’heure du deepfake – Comment agir face à de fausses informations de plus en plus crédibles ? (2/2) est apparu en premier sur RiskInsight.

Cybersécurité à l’heure du deepfake – Comment agir face à de fausses informations de plus en plus crédibles ? (1/2)

Carole Meyziat — Wed, 15 Apr 2020 13:00:55 +0000

Les médias en ligne et réseaux sociaux élargissent la surface d’attaque utilisable par des acteurs malveillants, et le deepfake en est l’arme ultime. Bien connu comme instrument de désinformation de la société, le deepfake engendre d’autres risques à prendre en compte, cette fois, par les entreprises.

Les récents évènements liés au COVID-19 ont démontré la nécessité d’accès à de l’information fiable et véridique par l’ensemble de la société. En plus de l’épidémie, nous avons été sujets à une « infodémie », propagation rapide d’informations fausses ou trompeuses sur les réseaux sociaux, posant la question de la confiance accordée aux plateformes de relai de contenu et de l’authenticité des informations qu’elles relayent.

L’usage des deepfakes est un phénomène d’actualité touchant d’abord le grand public. Il est intrinsèquement lié à l’importance qu’ont pris les réseaux sociaux et médias en ligne dans notre vie quotidienne.

En septembre 2019, on comptait près de 15.000 vidéos deepfake en ligne, soit deux fois plus qu’en décembre 2018. Si 96% étaient des deepfakes pornographiques postés sur des sites spécialisés, l’étendue des sujets touchés augmente pour atteindre tous les réseaux sociaux populaires (Youtube, Vimeo, Dailymotion). Parmi les deepfakes postés sur YouTube, 20% représentaient déjà des politiciens, hommes d’affaires et journalistes[1]. Leur pouvoir de désinformation sur le grand public leur permet d’exercer une influence sur des évènements politiques et sociétaux majeurs dès lors que des personnalités connues y sont représentées.

Et ceux-ci ne cessent de se perfectionner, alors que les outils permettant de les générer se démocratisent (comme Lyrebird, pour les deepfakes audios, ou Zao, pour les face-swapping, et le plus récent Avatarify, intégré à Zoom et Skype, pour la vidéo). Leur pouvoir de nuisance pèse de plus en plus non seulement sur les acteurs et organisations publics, mais également privés, et doit être étudié dans chaque secteur d’activité.

Un risque à prendre en compte par les entreprises

Les deepfakes peuvent également être utilisés contre les entreprises. Ils offrent en effet un nouveau terrain de jeu pour les acteurs malveillants, avec notamment deux moyens d’action :

Perfectionnement des attaques par fraude au président, dont les impacts et la probabilité sont augmentés avec les deepfakes. La fraude est rendue plus vraisemblable par des photos, vidéos et audios copiant la personne dont l’identité est usurpée. Les collaborateurs ciblés prennent ainsi ces contenus comme une authentification en soi de l’interlocuteur, et les chances de réussite des attaques sont augmentées – ce qui les encourage à demander des sommes plus importantes. De plus, certains outils de généreration de deepfakes étant accessibles au grand public, le recours à ces fraudes par des personnes malintentionnées augmente.
La déstabilisation de l’entreprise via de fausses informations relayées peut fortement détériorer son image, entrainant un certain nombre de conséquences, notamment financières et juridiques. On peut se demander quels impacts pourrait avoir le discours vidéo d’un membre du CoMex d’une entreprise diffusant de faux résultats ou orientations stratégiques sur le cours de son action ou la confiance de ses prospects ; ou encore quels seraient ceux d’une révélation d’anomalie produit sur les prises de commandes directes. Qui plus est, le démenti de rumeurs est rendu plus difficile lorsque des deepfakes sont utilisés. Et aujourd’hui les entreprises se sentent pour beaucoup encore loin du sujet : combien se sont déjà demandées quels seraient les impacts que pourrait avoir un deepfake sur leurs activités ?

Un cadre légal en construction

Les Etats commencent à s’organiser pour répondre à l’enjeu des deepfakes et à légiférer pour encadrer leur diffusion. Certains pays comme la Chine criminalisent la diffusion de deepfakes sans en notifier l’audience (depuis le 1^er janvier 2020). Aux Etats-Unis, le traitement de la question des deepfakes s’accélère à l’approche des élections présidentielles de novembre 2020 et se fait à la fois au niveau fédéral (lois interdisant la diffusion de deepfakes en Californie, Virginie et au Texas), et national (le DEEPFAKE Accountability Act[2] est en discussion au congrès pour « combattre la propagation de désinformation à travers des restrictions sur les deepfakes »). En France, la question des deepfakes est intégrée à la loi du 22 décembre 2019 relative à la lutte contre la manipulation de l’information et n’est donc pas encore traitée explicitement.

Ces cadres légaux restent naissants et hétérogènes, et ne représentent qu’une partie de la réponse à apporter à cette technologie. Plus que condamner leur utilisation malveillante, l’enjeu est surtout de pouvoir les détecter et les empêcher.

Dans cette première partie, nous avons donné une vision des risques que présentent les deepfakes pour les entreprises. Dans la seconde partie de l’article, nous traiterons des moyens techniques et organisationnels à disposition aujourd’hui pour s’en protéger.

[1] Etude réalisée par Deeptrace en Septembre 2019.

[2] Defending Each and Every Person from False Appearances by Keeping Exploitation Subject to Accountability Act.

Cet article Cybersécurité à l’heure du deepfake – Comment agir face à de fausses informations de plus en plus crédibles ? (1/2) est apparu en premier sur RiskInsight.

[COVID-19] Martine fait du télétravail !

Ris4InsigHt — Fri, 03 Apr 2020 17:27:17 +0000

Aujourd’hui, près de la moitié de l’humanité est confinée durant une crise sanitaire inédite. C’est une situation sans précédent depuis des décennies. C’est également une situation différente pour chacun, suivant son positionnement géographique, la composition de son foyer, la nature même de son travail et de ses interactions avec ses collègues de travail.

Alors que le fonctionnement des entreprises doit s’avérer plus résilient que jamais, l’augmentation globale du télétravail devient un défi majeur pour les équipes sécurité ! L’ouverture massive des connexions à distance et l’exposition accrue d’applications vers l’extérieur créent des opportunités pour les cybercriminels. Dans ce climat d’urgence et de stress, l’ingénierie sociale s’en retrouve également facilitée. Enfin, il s’ajoute à ces éléments les difficultés et tracas du quotidien, qui freinent la réactivité des équipes chargées de superviser les systèmes et d’intervenir en cas d’incident.

Ainsi, nous tenions en particulier à partager la campagne de sensibilisation que nous avons créé dans ce contexte. Retrouvez ci-dessous, la chronique « Martine fait du télétravail pendant le COVID-19 » !

Saison 1

Hors-série « Chiffrer un document »

Saison 2

Hors-série « Détecter le phishing »

Episode final

Cet article [COVID-19] Martine fait du télétravail ! est apparu en premier sur RiskInsight.

Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ?

Gérôme Billois — Wed, 29 Jan 2020 13:58:45 +0000

Après avoir présenté le radar du RSSI 2020 et sa méthodologie de construction, les chantiers majeurs à lancer durant l’année ont été exposés. Il est temps désormais d’analyser les tendances pour l’avenir de la filière cybersécurité.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ?

Gérôme Billois — Tue, 21 Jan 2020 13:50:13 +0000

Nous avons précédemment présenté le Radar du RSSI 2020 ainsi que sa méthodologie de construction. Issus des travaux du radar du RSSI, une sélection des chantiers majeurs a été identifiée. Ils sont évidemment à adapter en fonction de la maturité de votre organisation et de votre contexte.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant !

Gérôme Billois — Sun, 12 Jan 2020 13:19:54 +0000

Dans la dernière édition du radar, nous prévoyions une accélération forte de la transformation du système d’information des organisations, entre migration vers le cloud, ouverture du SI et API-fication, mise en place de la méthodologie agile, etc. La révolution est belle et bien en marche et le RSSI est propulsé au centre de cette transformation. Elle continuera à marche forcée en 2020 mais de nouveaux éléments sont à prendre en considération afin d’adapter au mieux son plan d’action.

Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

Prévention des risques cyber : sensibiliser les plus jeunes par le jeu !

3tienneC@pgras — Mon, 09 Sep 2019 11:59:29 +0000

Un sondage IFOP*, publié en début d’année 2019, révélait que 22% des jeunes avaient déjà fait les frais de « cyber harcèlement » et, selon l’association e-enfance, qui gère le numéro Net Écoute, 2 à 3 enfants par classe seraient concernés… Des chiffres alarmants qui s’inscrivent plus largement dans les nouvelles menaces présentes sur Internet : chantage en ligne, challenges tels que le « blue whale challenge » ou le « momo challenge », prédateurs sur internet, contenu inadapté, usurpation d’identité, etc. Autant de dangers virtuels qui ont des conséquences bien réelles et parfois dramatiques.

La prévention des risques cyber auprès des plus jeunes, mais aussi des parents, est un véritable enjeu de société. C’est pour apporter une nouvelle solution de sensibilisation et d’accompagnement que le Centre de la Cybersécurité pour les Jeunes (CCJ) et le cabinet de conseil Wavestone – avec la contribution de Cybermalveillance.gouv.fr – lancent le kit de jeu « 1,2,3 CYBER! », une initiative ludique et participative.

Une approche ludique pour sensibiliser les plus jeunes aux dangers du net

Face au constat de l’exposition croissante des plus jeunes aux multiples visages de la menace cyber, l’association « Centre de la Cybersécurité pour les Jeunes » (CCJ) s’est rapprochée du cabinet de conseil Wavestone au début de l’année 2019. L’objectif : relever le défi de la création d’un jeu destiné à sensibiliser les 11-14 ans aux dangers du net tout en s’amusant, mais également outiller les éducateurs et les parents pour un accompagnement adapté à cette tranche d’âge. De cette collaboration est né le jeu « 1, 2, 3 Cyber ! ».

1,2,3 CYBER – un jeu de sensibilisation des plus jeunes au risque cyber

Le jeu de société met en avant 35 thématiques clés telles que le cyberharcèlement, l’ami virtuel, la vie privée, le hameçonnage, les mots de passe, le signalement, le chantage, le challenge, la cellule d’écoute, sans oublier les fake news…. Une session, qui peut compter de 6 à 12 joueurs, dure environ 1h15 (l’introduction, le temps de jeu et le bilan).

Le jeu est inspiré du Time’s Up, souvent connu et apprécié par la population visée, et se déroule en trois manches. Le but étant, à chacune de ces manches, de faire deviner un maximum de mots inscrits sur les cartes mises à disposition.

Lors de la première manche, les joueurs doivent user de leur voix pour faire deviner les mots inscrits sur la carte. Si le jeu est trop simple et que les joueurs sont particulièrement sachants en la matière, il est possible d’apporter une complication : trois mots sont inscrits sur la carte qu’il ne faut pas prononcer, et ce sous peine de pénalité.
Lors de la deuxième manche, les joueurs doivent faire deviner les mots grâce au dessin. Pour cela, il vous est conseillé de vous munir d’ardoises / feutres véledas.
Enfin lors de la troisième manche, les joueurs ne peuvent prononcer qu’un mot afin de faire deviner celui inscrit sur la carte.

Les mêmes cartes sont utilisées pour les trois parties, et le niveau de difficulté est croissant pour assurer la bonne appropriation des termes par tous les participants. En déroulant le jeu, il est possible que les participants rencontrent des difficultés pour faire deviner certains mots. C’est notamment le cas de hameçonnage, vie privée, etc. Pas de panique pour autant, la difficulté permet de s’imprégner davantage de leur signification et les jeunes trouvent toujours un moyen de s’en défaire (rébus, devinette, etc.).

L’animateur joue un rôle clé dans ce jeu : à la fin de chaque manche, celui-ci doit déboucher sur un moment d’échange sur plusieurs mots. Il devra ainsi faciliter les échanges avec et entre les joueurs, orienter les discussions pour en déduire les bonnes pratiques à adopter sur Internet. Pour ce faire, un livret est mis à sa disposition. Il contient les règles du jeu détaillées ainsi qu’un guide leur permettant de rebondir sur certains termes clés et les bonnes pratiques qui devront être partagées.

Une synthèse des bons comportements à partager aux joueurs

En cas de doute sur les intentions d’un message reçu, le plus simple est de ne pas donner suite. Si ce doute arrive dans un second temps, il n’est jamais trop tard : parlez-en autour de vous à des personnes de confiance. Selon les cas, un signalement sur le site internet-signalement.gouv.frpeut être fait et de l’aide peut être apportée via le site www.cybermalveillance.gouv.fr.
De manière plus générale : vous n’êtes pas seuls ! Victime ou témoin de comportements anormaux, il est nécessaire et important d’en parler pour trouver des solutions : vos parents, le signalement, les cellules d’écoute
Restreindre aux seules personnes de confiance les informations personnelles ou sensibles que vous ne voudriez pas voir diffusées sur Internet : ne pas communiquer ces informations à des inconnus, configurer ses paramètres de sécurité et confidentialité sur les réseaux sociaux, désactiver la géolocalisation des photos partagées publiquement, etc.
Protéger l’accès à vos comptes : vos mots de passe doivent rester secrets en toute circonstance, compliqués à deviner pour les autres et faciles à retenir par vous. Ils ne doivent pas être partagés et doivent régulièrement être changés, par précaution. Pour qu’ils soient plus sécurisés, préférez les mots de passe longs aux courts et faîtes une combinaison de lettres minuscules, majuscules, chiffres et caractères spéciaux.

Un jeu testé en conditions réelles à diverses occasions

La période de mai à juillet a été l’occasion de tester le jeu en conditions réelles à plusieurs dizaines de reprises, auprès de plusieurs tranches d’âge, potentiels joueurs ou animateurs (11-14 ans, 15-18 ans, etc.). Un franc succès, tant auprès des joueurs que des animateurs rencontrés ! Jusque-là, nous sommes ravis de l’engouement des jeunes et des animateurs pour ce jeu. Les premières sessions de test nous ont conforté sur le format qui permet d’échanger librement sur les usages d’Internet et les bonnes pratiques associées.

Nous avons notamment pu constater que la sensibilisation effectuée dans les écoles ou par les diverses organisations portent leurs fruits : beaucoup de jeunes sont d’ores et déjà à l’aise avec certains termes inscrits sur les cartes, ce qui constitue une base solide au développement d’une meilleure hygiène numérique. L’objectif de ce jeu sera ainsi d’approfondir ces connaissances, de découvrir de nouvelles notions mais surtout de leur permettre d’en retirer des bonnes pratiques concrètes, à mettre en application sans plus attendre.

Un jeu gratuit et accessible à tous

Pour une diffusion et une utilisation les plus larges possible, le kit 1, 2, 3 Cyber est en téléchargement libre et gratuit depuis début août sur la plateforme Github. Ainsi, tous les parents, éducateurs et toute autre personne ayant des jeunes de cette tranche d’âge dans leur entourage peuvent sans difficultés dérouler le jeu.

Pour répondre aux besoins de tous et continuer à le faire évoluer, le jeu est diffusé en licence libre : « la mise à disposition du jeu en open source n’est que le début, le but est que chacun puisse participer à son amélioration dans le temps ! » affirme Etienne Capgras, manager cybersécurité chez Wavestone. Création de nouvelles cartes de jeu, ajout d’informations pratiques spécifiques à d’autres pays que la France, traduction dans d’autres langues… Toute volonté de contribuer sera la bienvenue ! Pour cela, il suffit de se rendre sur la plateforme Github ou de contacter le CCJ (contact@cyberccj.com) et Wavestone (123cyber@wavestone.com).

* Sondage réalisé par questionnaire auto-administré en ligne du 13 au 14 février 2019 auprès d‘un échantillon de 1 003 personnes, représentatif de la population âgée de 18 ans et plus résidant en France métropolitaine.

Cet article Prévention des risques cyber : sensibiliser les plus jeunes par le jeu ! est apparu en premier sur RiskInsight.

Cyberrisk Management & Strategy - RiskInsight

Sécuriser les agents IA : pourquoi l’IAM devient central

L’essor des agents IA redéfinit les enjeux de sécurité du système d’information

Des assistants conversationnels aux agents IA : comment ils interagissent avec le SI

Par quels mécanismes un agent IA peut-il agir sur une application ?

Un mode de fonctionnement opaque

Une technologie émergente qui pose des défis de sécurité

Défi 1 : Recenser les agents IA

Défi 2 : Attribuer et gouverner les droits des agents IA

Défi 3 : Authentifier un agent IA

Défi 4 : Tracer les actions réalisées par les agents IA

L’IAM comme cadre de référence pour sécuriser les agents IA

Les grands principes IAM restent inchangés

Une trajectoire de sécurisation en quatre étapes

1. Recenser les cas d’usage et les agents

2. Introduire un type d’identité spécifique pour les agents IA

3. Rattacher l’authentification et la gestion des droits à un fournisseur d’identité unique et à l’utilisateur final

4. Mettre en place une approbation humaine avant certaines actions initiées par les agents

Une cible claire, mais encore freinée par plusieurs limites

Obstacles fonctionnels

Un marché encore fragmenté, qui complique la sécurisation

Le MCP peut-il s’imposer comme standard de marché ?

Vers des registres d’agents IA

Quand s’attaquer à l’IAM des agents IA ? Maintenant !

Résilience par design : Les impératifs stratégiques pour les assureurs généraux et de réassurance au Royaume-Uni (2025 – 2030)

Cadre du Minimum Viable de l’Entreprise (EMV)

Tendances réglementaires : perspectives 2025–2030

Liste de vérification de la résilience pour les conseils d’administration

Radar des solutions de sensibilisation à la cybersécurité 2025 : comment trouver la solution adaptée à mes besoins ?

Un radar de +100 solutions de sensibilisation à la cybersécurité

Un outil d’aide à la décision

Un benchmark pour une solution adaptée

Les critères d’intégration au benchmark

Notes

La cryptographie post-quantique est là : quelles conséquences et actions pour les grandes organisations ?

Les nouvelles post-quantiques de l’été : ce qu’il faut retenir

Les intégrations commencent : les éditeurs et développeurs en action

Aux grandes organisations d’agir !

Risques et timeline : à partir de quand agir ?

Naviguer dans le labyrinthe de la gestion des talents en cybersécurité : un guide pour les passionnés de la gestion des talents

Développer un Career Path pour Offrir des Perspectives de Croissance aux Talents

Exemple concret basé sur une mission client…

Conseils pour Diversifier Votre Pool de Recrutement

Offrir des formations pour réduire les écarts de compétences au sein de votre organisation

Exemples concrets basés sur une mission client…

Améliorer la Rétention Grâce à une Collaboration Efficace avec les Ressources Humaines

Framework A²BCⁿ : Un Framework pour Prendre Soin de vos Talents et Sécuriser votre Organisation

Mise à jour : Chronologie de la Réglementation CMMC 2.0 et le Phénomène du « Midnight Rulemaking »

Chronologie du processus réglementaire CMMC

Le 32 CFR est le coup de départ pour la course au CMMC

Le phénomène de « Midnight Rulemaking » et CMMC 2.0

Pourquoi ne faut-il pas attendre le coup d’envoi pour commencer votre parcours de conformité CMMC ?

Nous proposons les services d’accompagnement à la conformité CMMC 2.0 suivants :

Le DoD Contre-attaque : Comment Renforcer la Cybersécurité de la Chaîne d’Approvisionnement avec le CMMC 2.0

Bug Bounty: Observations et benchmark sur les secteurs bancaire et public 2024

Présentation de la Recherche

Aperçu du secteur bancaire

Luxembourg : Etude de cas

Analyse et réglementation du secteur public

Conclusion et perspectives

La Quête des Ecureuils Violets de la Cybersécurité : Comment les Trouver et les Garder

Prenez le temps d’analyser les forces et les faiblesses de votre équipe afin d’identifier les compétences complémentaires que vous devez rechercher…

Cultiver l’équipe aujourd’hui, attirer demain : La recette pour des équipes cyber durables

Maîtriser l’art de prendre soin de son équipe

La cybersécurité : un volet essentiel de la Due Diligence

Des besoins cyber à géométrie variable

Un contexte métier à prendre en compte dans le choix de la méthode Due Diligence cyber

A chaque opération, sa Due Diligence cyber

IA : Découvrez les 5 questions les plus fréquemment posées par nos clients !

Question 1 : L’IA générative n’est-elle qu’un effet de mode ?

Personnalisation du marketing et de l’expérience client

Solutions no-code et amélioration du support client

Veille documentaire et outil de recherche

Question 2 : Quelle est la réaction du marché à l’utilisation de ChatGPT ?

Les pragmatiques (65%)

Les visionnaires (25%)

Les sceptiques (10%)

Question 3 : Quels sont les risques liés à l’IA générative ?

Altération et dénaturation du contenu

Menaces de tromperie et de manipulation

IA : Découvrez les 5 questions les plus fréquemment posées par nos clients !