La prévention des risques cyber auprès des plus jeunes, mais aussi des parents, est un véritable enjeu de société. C’est pour apporter une nouvelle solution de sensibilisation et d’accompagnement que le Centre de la Cybersécurité pour les Jeunes (CCJ) et le cabinet de conseil Wavestone – avec la contribution de Cybermalveillance.gouv.fr – lancent le kit de jeu “1,2,3 CYBER!”, une initiative ludique et participative.

Une approche ludique pour sensibiliser les plus jeunes aux dangers du net

Face au constat de l’exposition croissante des plus jeunes aux multiples visages de la menace cyber, l’association « Centre de la Cybersécurité pour les Jeunes » (CCJ) s’est rapprochée du cabinet de conseil Wavestone au début de l’année 2019. L’objectif : relever le défi de la création d’un jeu destiné à sensibiliser les 11-14 ans aux dangers du net tout en s’amusant, mais également outiller les éducateurs et les parents pour un accompagnement adapté à cette tranche d’âge. De cette collaboration est né le jeu « 1, 2, 3 Cyber ! ».

1,2,3 CYBER – un jeu de sensibilisation des plus jeunes au risque cyber

Le jeu de société met en avant 35 thématiques clés telles que le cyberharcèlement, l’ami virtuel, la vie privée, le hameçonnage, les mots de passe, le signalement, le chantage, le challenge, la cellule d’écoute, sans oublier les fake news…. Une session, qui peut compter de 6 à 12 joueurs, dure environ 1h15 (l’introduction, le temps de jeu et le bilan).

Le jeu est inspiré du Time’s Up, souvent connu et apprécié par la population visée, et se déroule en trois manches. Le but étant, à chacune de ces manches, de faire deviner un maximum de mots inscrits sur les cartes mises à disposition.

• Lors de la première manche, les joueurs doivent user de leur voix pour faire deviner les mots inscrits sur la carte. Si le jeu est trop simple et que les joueurs sont particulièrement sachants en la matière, il est possible d’apporter une complication : trois mots sont inscrits sur la carte qu’il ne faut pas prononcer, et ce sous peine de pénalité.
• Lors de la deuxième manche, les joueurs doivent faire deviner les mots grâce au dessin. Pour cela, il vous est conseillé de vous munir d’ardoises / feutres véledas.
• Enfin lors de la troisième manche, les joueurs ne peuvent prononcer qu’un mot afin de faire deviner celui inscrit sur la carte.

Les mêmes cartes sont utilisées pour les trois parties, et le niveau de difficulté est croissant pour assurer la bonne appropriation des termes par tous les participants. En déroulant le jeu, il est possible que les participants rencontrent des difficultés pour faire deviner certains mots. C’est notamment le cas de hameçonnage, vie privée, etc. Pas de panique pour autant, la difficulté permet de s’imprégner davantage de leur signification et les jeunes trouvent toujours un moyen de s’en défaire (rébus, devinette, etc.).

L’animateur joue un rôle clé dans ce jeu : à la fin de chaque manche, celui-ci doit déboucher sur un moment d’échange sur plusieurs mots. Il devra ainsi faciliter les échanges avec et entre les joueurs, orienter les discussions pour en déduire les bonnes pratiques à adopter sur Internet. Pour ce faire, un livret est mis à sa disposition. Il contient les règles du jeu détaillées ainsi qu’un guide leur permettant de rebondir sur certains termes clés et les bonnes pratiques qui devront être partagées.

Un jeu testé en conditions réelles à diverses occasions

La période de mai à juillet a été l’occasion de tester le jeu en conditions réelles à plusieurs dizaines de reprises, auprès de plusieurs tranches d’âge, potentiels joueurs ou animateurs (11-14 ans, 15-18 ans, etc.). Un franc succès, tant auprès des joueurs que des animateurs rencontrés ! Jusque-là, nous sommes ravis de l’engouement des jeunes et des animateurs pour ce jeu. Les premières sessions de test nous ont conforté sur le format qui permet d’échanger librement sur les usages d’Internet et les bonnes pratiques associées.

Nous avons notamment pu constater que la sensibilisation effectuée dans les écoles ou par les diverses organisations portent leurs fruits : beaucoup de jeunes sont d’ores et déjà à l’aise avec certains termes inscrits sur les cartes, ce qui constitue une base solide au développement d’une meilleure hygiène numérique. L’objectif de ce jeu sera ainsi d’approfondir ces connaissances, de découvrir de nouvelles notions mais surtout de leur permettre d’en retirer des bonnes pratiques concrètes, à mettre en application sans plus attendre.

Un jeu gratuit et accessible à tous

Pour une diffusion et une utilisation les plus larges possible, le kit 1, 2, 3 Cyber est en téléchargement libre et gratuit depuis début août sur la plateforme Github. Ainsi, tous les parents, éducateurs et toute autre personne ayant des jeunes de cette tranche d’âge dans leur entourage peuvent sans difficultés dérouler le jeu.

Pour répondre aux besoins de tous et continuer à le faire évoluer, le jeu est diffusé en licence libre : « la mise à disposition du jeu en open source n’est que le début, le but est que chacun puisse participer à son amélioration dans le temps ! » affirme Etienne Capgras, manager cybersécurité chez Wavestone. Création de nouvelles cartes de jeu, ajout d’informations pratiques spécifiques à d’autres pays que la France, traduction dans d’autres langues… Toute volonté de contribuer sera la bienvenue ! Pour cela, il suffit de se rendre sur la plateforme Github ou de contacter le CCJ (contact@cyberccj.com) et Wavestone (123cyber@wavestone.com).

* Sondage réalisé par questionnaire auto-administré en ligne du 13 au 14 février 2019 auprès d‘un échantillon de 1 003 personnes, représentatif de la population âgée de 18 ans et plus résidant en France métropolitaine.

Cet article Prévention des risques cyber : sensibiliser les plus jeunes par le jeu ! est apparu en premier sur RiskInsight.

La France finalise les textes pour se mettre en conformité avec la directive européenne NIS (Network and Information Security), avec trois textes qui transposent la directive dans le droit national Français, et un quatrième qui sera publié sous peu.

Quels ont été les choix de transposition de la directive NIS dans le droit national Français ? Et quelles seront les entreprises soumises à cette nouvelle législation et les impacts pour celles-ci ?

La transposition dans le droit national français

Pour entrer en vigueur, chaque Etat membre de l’Union européenne doit transposer la directive NIS dans son droit national, avec une date butoir fixée au 09 mai 2018 : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables…

La France respecte globalement ce calendrier, avec trois textes qui définissent en grande partie les modalités d’application de la directive NIS sur son territoire national :

• La loi n° 2018-133 du 26 février 2018 qui présente les mesures de transposition de la directive NIS dans la législation nationale,
• Le décret n° 2018-384 du 23 mai 2018 qui détaille les modalités d’application des obligations législatives, et liste les secteurs, les types d’opérateur et les services essentiels concernés,
• L’arrêté du 13 juin 2018 qui fixe les modalités de déclarations des incidents de sécurité.

Pour que la transposition de la directive européenne dans la législation Française soit complète, un dernier arrêté fondamental va être publié, et viendra préciser les mesures de sécurité à mettre en œuvre par les opérateurs de services essentiels. Il fera écho à la lettre de mise en demeure par la commission européenne, qui avait jugé la France en retard sur l’exhaustivité de la transposition dans le droit national, tout comme 16 autres Etats membres.

OSE et FSN : deux grandes typologies d’acteurs concernés

La loi française rappelle les deux grandes typologies d’acteurs concernés par la directive européenne : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).

Opérateurs de services essentiels : la France élargit la liste des secteurs concernés

Les OSE sont les entités qui délivrent des services essentiels au fonctionnement de la nation, notamment au travers de leur Système d’Information Essentiel (SIE). Le décret n° 2018-384 complète la liste de la directive, en y ajoutant les secteurs de l’assurance, de la logistique, des produits pharmaceutiques, des services sociaux (partie paiement des prestations), de l’éducation et de la restauration collective dans les environnements sensibles.

Liste des secteurs d’activités concernés pour les OSE

(L’icône  précise les secteurs ajoutés par la législation Française par rapport à la Directive NIS)

La désignation des OSE sera effectuée par arrêtés du Premier Ministre d’ici novembre 2018, en lien avec les OSE, les Ministères concernés et l’ANSSI. La liste des OSE sera par la suite régulièrement actualisée, à minima tous les deux ans.

Fournisseurs de services numériques : la France veille à la bonne désignation des représentants

Les FSN sont les entités qui fournissent directement des services en ligne, de type sites d’e-commerce, moteurs de recherche ou services cloud, notamment utilisés par les OSE. Les Etats membres n’ont pas vocation à dresser la liste des FSN à l’échelle de leur territoire, mais la France pose pour autant un cadre en indiquant que les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaire annuel n’excède pas 10 millions d’euros ne sont pas concernées.

Liste des secteurs d’activités concernés pour les FSN

En complément de la directive NIS, la France inscrit dans sa loi n° 2018-133 (Chapitre III, article 11) qu’un FSN établi hors de l’Union Européenne, qui offre ses services sur le territoire national et qui n’a désigné aucun représentant dans un autre Etat membre de l’Union européenne, procède à la désignation d’un représentant établi sur le territoire national auprès de l’ANSSI. La France se positionne ainsi en gardienne de la bonne application de la directive NIS en ce qui concerne les FSN, dans la mesure où un FSN qui tarderait à désigner un représentant en Europe serait donc légalement contraint de le faire en France.

Les exclusions : ne pas cumuler les exigences légales

Afin de ne pas surcharger de législations les acteurs déjà soumis à des règlementations plus contraignantes, la loi mentionne dans ses articles 2 et 5 la liste d’exclusions suivante :

• Les OSE ou les FSN soumis à des exigences sectorielles au moins aussi contraignantes que la présente législation, en particulier les OIV (Opérateurs d’Importance Vitale) sur leur SIIV (Système d’Information d’Importance Vitale) car déjà soumis aux exigences apportées par la Loi de Programmation Militaire,
• Les opérateurs de réseaux ou de services de communications électroniques, notamment car déjà soumis aux exigences du code des postes et des communications électroniques,
• Les prestataires de services de confiance soumis aux exigences du règlement eIDAS sur l’identification électroniques et les transactions électroniques.

Une législation plus stricte pour les OSE que pour les FSN

Le droit national Français traite des mêmes thématiques pour les OSE et les FSN, mais dans une approche différente : même si une base commune est définie, les OSE devront respecter une liste précise de mesures de sécurité, tandis que les FSN seront sur une approche par les risques (précisée par le règlement UE- 2018/151 du 30 janvier 2018), restant libres de prendre les mesures techniques et organisationnelles qu’ils jugent appropriées et proportionnées, et seront plutôt gérés à l’échelle européenne.

Une base commune d’obligations à respecter…

En premier lieu, l’identification d’un représentant de l’entreprise, qui sera le point de contact unique de l’ANSSI pour traiter les réceptions et les transmissions d’information,

Ensuite, la déclaration des réseaux et des systèmes d’information nécessaires à la fourniture du services essentiels / numériques, y compris ceux dont l’exploitation est confiée à des tiers. Au-delà d’un simple inventaire ou cartographie des actifs, les enjeux seront :

• De lister les éléments nécessaires à la délivrance des services essentiels / numériques, afin de ne pas imposer les mesures de sécurité sur un périmètre trop étendu de l’entreprise,
• D’exiger la mise en application de la règlementation sur les systèmes opérés par les tiers, en leur communiquant les mesures à implémenter, en révisant les contrats de sous-traitance, voir en auditant leur conformité.

Puis la déclaration des incidents de sécurité sans délai auprès de l’ANSSI (qu’il est conseillé de formaliser dans un processus), lorsqu’ils sont susceptibles d’avoir un impact significatif sur le service, en terme du nombre d’utilisateur impactés, de la zone géographique touchée, de la durée de l’incident… L’ANSSI pourra alors épauler l’entreprise sur le traitement de l’incident, notamment en activant le réseau des CSIRT.

Et enfin, l’obligation de se soumettre à des contrôles du respect des obligations ci-dessus, et qui devront faire l’objet de conventions et de rapports formalisés. Le 1^er ministre indiquera si ces contrôles seront effectués par l’ANSSI ou l’un des prestataires de services qualifiés PASSI (dans ce dernier cas, l’entreprise choisira le prestataire sur la liste qui lui sera communiquée).

… Mais des obligations complémentaires structurantes pour les OSE.

Contrairement à la liberté laissée aux FSN sur la manière de sécuriser leur services numériques, les OSE devront mettre en œuvre une démarche de sécurisation de leur SIE selon 4 grands principes imposés, qui seront bientôt détaillés par le futur arrêté :

• Gouvernance de la sécurité, via l’élaboration de politique de sécurité et d’homologation du SIE,
• Protection des SIE, avec la sécurité de l’architecture, de l’administration et des accès au SI,
• Défense des SIE, avec la détection et le traitement des incidents de sécurité,
• Résilience des SIE, notamment au travers de la gestion de crise.

Les opérations de contrôle pourront être déclenchées sans condition par le 1^er ministre pour les OSE, alors qu’elles ne seront menées chez les FSN que si le 1^er ministre est informé du non-respect d’une des obligations qui leur incombent.

Quels impacts financiers associés cette législation ?

Tout d’abord, la législation précise clairement que les OSE et les FSN devront financer leurs différentes actions de mise en conformité, mais également les contrôles demandés par l’ANSSI.

Ensuite, en cas de manquement à leurs obligations, les dirigeants des OSE et des FSN pourront écoper d’amendes, avec des montants supérieurs pour les OSE par rapport aux FSN :

L’ordre de grandeur et le principe des amendes sont quant à eux plus proches de ceux apportés par la Loi de Programmation Militaire que ceux du Règlement Général sur la Protection des Données (RGPD).

Quelles sont les prochaines étapes ?

La publication de l’arrêté qui précisera les règles de sécurité pour les OSE, indispensable pour compléter la transposition de la directive NIS dans le droit national Français. Il permettra de jauger le niveau de sécurisation souhaité par l’état Français, et d’en déduire l’effort de mise en conformité des SIE.

D’ici au mois de novembre, la désignation progressive des OSE, qui auront alors :

• Deux mois pour communiquer les coordonnées de leur représentant à l’ANSSI,
• Trois mois pour formaliser et transmettre la liste et la description des réseaux et systèmes d’information pour lesquels l’existence d’incidents pourrait gravement affecter la continuité des services essentiels au fonctionnement de la société ou de l’économie.

Pour les FSN, la désignation d’un représentant, avec deux cas possibles :

• Si le siège se situe en Union Européenne, déclaration auprès de l’autorité de l’Etat où se situe le siège,
• Si le siège se situe hors de l’Union Européenne, déclaration auprès d’une autorité d’un Etat membre où le FSN exerce son activité.

Les acteurs concernés par la directive NIS sont consultés en France et en Europe depuis plus d’un an et sont informés de leur potentielle désignation. Ils ne seront donc pas surpris le moment venu. Ces derniers peuvent d’ores et déjà lancer les premières actions de mise en conformité : identification du périmètre concerné, inventaire des réseaux et système d’information qui le composent, formalisation du processus de déclaration des incidents de sécurité aux autorités.

Des modalités de mise en œuvre qui restent à préciser aux niveaux national et local

Une fois que le dernier arrêté concernant les mesures de sécurité pour les OSE sera publié, le cadre législatif et règlementaire Français posera des bases claires d’application de la directive NIS, par ailleurs cohérentes avec les différentes règlementations déjà en place sur le sujet.

En revanche, des questions restent à trancher au niveau européen pour faciliter la gestion des acteurs transfrontaliers : rattachement d’un OSE à plusieurs Etats membres ? Désignation d’une autorité de référence ? Communications et hiérarchie entre autorités nationales ?… Autant d’enjeux à adresser rapidement par le groupe de coopération dédié à NIS, en place depuis février 2017.

Cet article Directive européenne NIS : quelle transposition dans le droit français et quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

Under the French Military Programming Act (MPL), certification is a mandatory procedure that applies to Vitally Important Operators (VOI). It helps to manage the issues and security levels for all Vitally Important Information Systems (VIIS)

Certification is a core issue to the MPL compliance strategy, because it provides a concrete and operational means of breaking down the MPL’s requirements while reducing security risks.

ANSSI—The French National Cybersecurity Agency—has produced a guide that describes the key steps in certification. These steps are:

• Defining a certification strategy (a scoping document describing how to achieve certification)
• Performing a risk analysis on a VIIS
• Conducting a certification audit
• The certification decision
• Post-certification monitoring

The approval decision must be made by the Certification Authority (CA), which is the legal entity responsible for certifying VIIS. It is assisted by the Certification Commission, an internal group of experts responsible for doing the preparatory work for the certification decision.

The information required to make the decision is compiled in the certification file. This allows the Certification Commission to attest to the level of security and accept the residual risks. Ultimately then, it is the Certification Commission that attests to the fact that the risks are being properly managed.

An approach to quickly assess existing VIIS

Retro-certification: how to certify VIIS already in production

For existing VIIS, the certification model is different, although the objectives remain the same. An assessment of existing VIIS is the starting point for certification, and performing a dry-run audit (or using a previous audit report) serves to speed up the gathering of information and the identification of risks.

Conversely, the security measures have to be applied to a history that can be challenging to transpose. Compensatory measures therefore have to be identified, prioritized, and implemented.

This retrospective certification, or retro-certification, must enable the business to consider the risks in an exhaustive fashion, and prioritize the actions, in order to reduce them to an acceptable level by making the necessary investments.

While it’s important to design the certification process such that it has the capacity to process future VIIS, it is mostly for existing VIIS that VOI are actually busy with, and retro-certification is, therefore, a priority.

Adopting a test & learn approach

In order to define and deploy a certification procedure within the framework of the MPL, VOI can define an initial pilot stage to test and refine the process before using it—at full scale—on a VIIS.

The objective of this pilot phase is to compare the methodology and the reality on the field, with the aim of validating the approach and the steps defined (procedures, people who need to be involved, etc.). Taking such approach highlights areas of difficulty (related to IS administration, partitioning, patch management, etc.), and enables a concrete and achievable remediation plan to be put together.

The choice of pilot VIIS is essential in anticipating the problems that will be encountered. It makes sense to choose a pilot VIIS that is representative of all the other VIIS (typical size, limited interactions, etc.).

Demonstrating the security level generated by the MPL

Among the various work streams and projects triggered by the MPL, it’s the certification program that enables security to be strengthened effectively. This can be achieved not just by highlighting security at high level both internally (with senior management and those with accountability for certification) and externally (with ANSSI and the government), but also by quantifying the degree of risk reduction required (through risk analysis) and achieved (through audit).

Achieving certification enables actual risks to be communicated, and the players involved to be made responsible and aware (particularly senior management—as a result of interactions with those accountable for certification).

All the activities undertaken for MPL compliance are compiled in a certification file, which gives them a practical reality. This includes observations about security, obstacles encountered, and an overview of the complexity involved in compliance.

The certification file must be made available to ANSSI. The file represents a showcase for ANSSI with respect to the VOI’s compliance with the MPL—and it pays not to cut corners! The VOI must demonstrate the gains made in security and the clear validation of the theoretical responses to compliance.

Maintaining a high level of security over time

Creating a certification mindset

Certification doesn’t end when the certification decision has been made and the system put into production. This only marks the start of the risk-management process. It’s then a question of maintaining momentum, increasing visibility, and ensuring the ongoing management of security. Certification must be renewed at least every three years, or during periods of major change to the VIIS, something that forces a reconsideration of whether the VIIS is actually secure in the way described in the risk analysis.

Therefore, for an existing VIIS, a process needs to be set up to monitor and identify security-related changes to it. This must be carried out in the context of an organizational structure, for example with a named person holding the responsibility to identify and assess any changes. This person, can, in particular, establish a list of key events, for example: changes to the level of exposure of the VIIS, the arrival of new Service Providers, functional developments in the VIIS, or modifications to infrastructure or operational management); these will provide a basis for assessing any requirements for the system to be overhauled.

The establishment of a certification governance committee ensures a degree of momentum in the certification process. Updating the methodology for integrating security into projects enables new projects to be taken into account, risk management to be applied from the beginning, and advance preparation for VIIS compliance.

Providing a clear and understandable framework for application owners

Application owners are key players in maintaining security and certification over time. This is not just because they have a good overview of their VIIS, but also because they are aware of developments to it. If their attitude is one of fear of the MPL, this can lead to a poor approach to security. Conversely, a good understanding of MPL issues, certification, and continuous improvement, can enhance VIIS security.

Special attention should be paid to supporting application owners, and raising their awareness about security in general, and the certification process in particular. To achieve a win-win approach, and improve security over time, you must bring application owners together and get their buy-in.

Security certification: an approach that enhances risk management over time

Beyond essential regulatory requirements, the MPL has to be seen as a catalyst that can enhance risk management within a VOI: from operational level, through application owners, right up to the senior management.

After taking the first step of overhauling and implementing risk-reduction measures on an existing VIIS, certification ensures that levels of security are maintained right across it. Given this, it’s vital that the players involved remain engaged over time to ensure that the initial momentum is maintained.

Cet article Security certification: the key to complying with the french military programming Law (MPL) est apparu en premier sur RiskInsight.

En particulier, le chapitre IV de la LPM donne plus de pouvoirs au Premier ministre et à l’ANSSI en matière de sécurité et de défense des systèmes d’information. Ce texte responsabilise pour la première fois les OIV quant à la sécurisation de leurs systèmes d’information d’importance vitale (SIIV).

Depuis mi-2016, les OIV se voient préciser secteur par secteur ce que l’État attend officiellement d’eux, via la publication d’arrêtés sectoriels. Les secteurs « produits de santé », « gestion de l’eau » et « alimentation » ont ainsi ouvert le bal le 23 juin dernier pour une entrée en vigueur le 1er juillet 2016, suivis le 11 août par le « transport terrestre », le « transport maritime et fluvial », le « transport aérien », l’ « énergie électrique », le « gaz naturel » et les « hydrocarbures pétroliers », pour une entrée en vigueur au 1er octobre. Le 28 novembre 2016, les secteurs « finances », « industrie », « communications électroniques » et « audiovisuel et information »ont clôturé l’année pour une entrée en vigueur au 1er janvier 2017. En six mois 13 arrêtés ont décliné la LPM, ne laissant plus que quelques secteurs et sous-secteurs à couvrir dans les mois à venir.

Cet article vise, en respectant le secret de la défense nationale, à partager nos retours d’expérience liés aux projets de mise en conformité qui ont marqué l’actualité ces derniers mois.

Cinq idées clés pour une mise en conformité à la LPM réussie

L’entrée en application de la LPM mène nécessairement à un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV sur leur périmètre, démontrer leur conformité à chacune des règles et aligner leurs processus et corpus documentaire sur le formalisme imposé par la LPM.

De par ses relations privilégiées avec l’ANSSI et son rôle sur la SSI au sein de son entreprise, le RSSI est l’acteur légitime pour piloter et animer cette mise en conformité. De la mobilisation des acteurs à la généralisation des principes de sécurité, en passant par le cadencement des chantiers et la construction de cibles acceptées par tous, quels sont les facteurs clés de réussite ?

1. Par où commencer ? Dresser la liste des SIIV

Tous les OIV doivent déclarer leurs SIIV à l’ANSSI dans un délai de 3 mois à compter de l’entrée en vigueur de l’arrêté les concernant. Il est important de noter que les exigences portent uniquement sur les SIIV, et non sur l’ensemble du SI de l’OIV. L’identification des SIIV doit par conséquent être un chantier réalisé avec le plus grand soin pour être conforme à la loi tout en limitant les impacts au maximum.

Au-delà des typologies de SI éligibles (proposées en annexe III de chaque arrêté), l’analyse doit partir des missions d’importance vitale (MIV) confiées par l’État à l’OIV. Elles sont listées dans les Directives Nationales de Sécurité (DNS), en possession de l’Officier de Sécurité de l’OIV puisque c’est un document classifié Confidentiel Défense. Des rencontres avec les métiers permettront ensuite d’affiner la compréhension des processus et de leur transcription sur le SI en termes d’applications.

L’enjeu est ici de définir une méthode systématique et une justification rigoureuse sur les critères d’inclusion et d’exclusion des applications potentiellement éligibles.

D’autre part, nos retours d’expérience sur l’identification des SIIV montrent que la logique « d’importance vitale » diffère entre une vision de l’entreprise (qui vise à assurer sa propre survie) et celle de l’État (qui vise à assurer la sécurité des citoyens). Concrètement, les systèmes commerciaux assurant les ventes ou la facturation, ne sont souvent pas répertoriés dans la liste des SIIV.

Les applications d’importance vitale représentent aujourd’hui au maximum 3% du parc applicatif de nos clients grands comptes sur le volet SI de gestion. Les SIIV sont quant à eux constitués de l’ensemble des applications concourant à un même processus d’importance vitale.

2. Recenser les écarts et dessiner des premières cibles

L’analyse d’écart doit elle aussi débuter au plus vite, sans attendre la stabilisation de la liste des SIIV.

Certes des subtilités techniques seront présentes, mais des tendances devraient rapidement apparaître sur les nombreux thèmes transverses tels que la supervision SSI, les cartographies, les principes d’authentification voire la gestion des correctifs de sécurité. Cela, en particulier sur les SI industriels, n’est pas sans poser des interrogations assez importantes.

Ici, l’enjeu est double : anticiper le macro-budget qui sera nécessaire à la mise en conformité et l’inscrire dans l’exercice de prévision budgétaire pluriannuel. Expliquer la LPM aux futurs porteurs d’actions et les mobiliser autour de l’identification de cibles qui pourraient répondre aux différentes exigences.

Il est crucial de ne pas traiter la mise en conformité règle par règle : selon les cas, certaines cibles d’apparence plus complexe permettent de couvrir plusieurs règles à la fois, diminuant ainsi l’investissement nécessaire au global. Ce constat est d’autant plus fort sur la protection des systèmes, où les principes de cloisonnement, les pratiques d’administration et les mécanismes d’authentification sont très liés.

3. Favoriser la pratique à la théorie

Les situations où il est difficile de faire converger les différentes approches sont légions dans ce type de programme. Aussi, le passage à la pratique est souvent le meilleur des alliés :

• La réalisation d’un audit à blanc technique et organisationnel permettra d’obtenir des réponses factuelles et détaillées et ainsi de débloquer les éventuelles analyses d’écart fastidieuses ;
• De même, la réalisation d’une homologation sur un SIIV pilote permettra à la fois de préciser le processus d’homologation et le contenu du dossier et fluidifiera d’autant les autres homologations ;
• Enfin, la mise en œuvre sur un SIIV pilote des principes de sécurisation retenus permettra de concrétiser les modalités d’implémentation spécifiques et transverses et d’affiner les modèles initialement retenus, avant généralisation. Il permettra en particulier d’identifier précisément les besoins relatifs aux systèmes transverses (administration, surveillance, contrôle d’accès…).

4. Paralléliser les chantiers

Les délais associés aux différentes règles sont très ambitieux. Aussi, il est indispensable de traiter en parallèle tous les sujets qui peuvent l’être.

C’est notamment le cas de la formalisation des guides de durcissement, des évolutions de la PSSI, des processus d’intégration de la sécurité dans les projets, des modifications au niveau des clauses contractuelles et des processus de sélection des fournisseurs, etc.

5. Tirer parti de la complémentarité des équipes

La LPM aborde le sujet de la cybersécurité au travers d’une loi et en l’inscrivant dans le dispositif SAIV. Les interlocuteurs sont donc tout aussi nombreux que variés : les dirigeants dans la mesure où la responsabilité pénale de l’OIV est engagée, les responsables de la sûreté garants du bon maintien du dispositif SAIV, les RSSI interlocuteurs habituels de l’ANSSI, les responsables de la conformité, les métiers en regard des missions d’importances vitales qu’ils peuvent porter, les DSI au vu des impacts potentiels sur le SI, les achats sur la gestion des fournisseurs, les équipes techniques opérant le SI au quotidien, etc.

Face à cette multitude d’interlocuteurs et d’approches parfois radicalement opposées, il est impératif de voir au-delà de la complexité apparente : cette situation est surtout l’occasion de mobiliser un nombre inédit d’acteurs autour de la cybersécurité et d’ainsi actionner des leviers jusque-là souvent inaccessibles. Il est notamment plus facile d’obtenir les ressources nécessaires à la bonne réussite du programme lorsqu’autant d’enjeux sont réunis.

Un paysage cybersécurité modelé en profondeur

Les cadrages menés jusqu’à présent par les OIV démontrent une forte volonté de prendre en compte la LPM le plus en amont possible, avec au sein des grands comptes que nous accompagnons, plusieurs dizaines de millions d’euros budgétés pour les années à venir.

Par ailleurs, la LPM a démontré l’intérêt de la cybersécurité à des décideurs historiquement peu mobilisés sur ce sujet, que ce soit au sein des OIV ou de leurs fournisseurs. Gageons que cette prise de conscience annonce une sécurisation pérenne des SIIV et des SI plus largement.

Un autre aspect structurant et positif de la LPM est à noter : afin de répondre aux besoins des OIV, le marché est incité à se structurer autour des thématiques cybersécurité. Il sera donc plus facile, pour les OIV mais aussi les autres entreprises d’avoir recours à des fournisseurs respectant les bonnes pratiques de sécurité.

Dans tous les cas, l’enjeu à venir pour les OIV est de ne surtout pas réduire la cybersécurité aux programmes LPM mais bien au contraire de les utiliser comme accélérateur pour leurs autres projets, sous peine de délaisser leurs SI critiques non considérés comme vitaux pour la survie de la nation (et ils sont nombreux). Cet équilibre est crucial pour assurer une cybersécurité servant à la fois l’État mais aussi les entreprises concernées.

Consultez notre synthèse LPM via le site officiel du cabinet, www.wavestone.com.

Cet article Réussir sa mise en conformité à la loi de programmation militaire est apparu en premier sur RiskInsight.

Clés de voute du cadre règlementaire posé en décembre 2013, que faut-il retenir de ces arrêtés émis par le Premier ministre, en coordination avec les ministères concernés et l’ANSSI ?

Des arrêtés très similaires et sans surprise

Ces arrêtés ne réservent aucune surprise à quiconque a participé aux réflexions sur la LPM ces derniers mois : planning, structure, règles, tout y est. Par ailleurs, c’est désormais officiel, le contenu des arrêtés est quasiment identique d’un secteur à l’autre.

Dès l’entrée en vigueur des arrêtés, tous les OIV seront tenus de déclarer à l’ANSSI leurs incidents de sécurité[1].

Dans un délai de 3 mois à compter de l’entrée en vigueur des arrêtés, tous les OIV devront déclarer leur SIIV à l’ANSSI[2] et communiquer les coordonnées de leur service de permanence SSI.

Enfin, tout OIV devra être conforme à 20 règles de sécurité, selon des délais variables d’une règle à l’autre et d’un secteur à l’autre. Ces règles sont les mêmes pour tous les secteurs à deux exceptions près, concernant les modalités d’accès à distance aux SIIV (authentification simple autorisée pour le sous-secteur des produits de santé et le secteur de l’alimentation) et la supervision SSI (pas de supervision obligatoire des systèmes assurant la sécurité physique et la gestion technique des bâtiments des point d’importance vitale pour le sous-secteur produits de santé).

Si les 20 règles détaillées en Annexe I de chaque arrêté sont publiques, ce n’est pas le cas des Annexes II, III et IV, marquées Diffusion Restreinte et notifiées par l’ANSSI aux seules personnes ayant besoin d’en connaître. Ces annexes précisent respectivement les délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité, les types de système d’information potentiellement SIIV, et les types d’incidents de sécurité à notifier à l’ANSSI.

20 règles pour promouvoir les bonnes pratiques et référentiels ANSSI

Les 20 règles couvertes par les arrêtés peuvent être regroupées de la manière suivante :

• Gouvernance (règles 1 et 20) : être doté d’une Politique de Sécurité du SI (PSSI) intégrant la notion de SIIV et posant notamment des exigences en termes de sensibilisation, de formation et de reporting à la Direction de l’OIV. Certains indicateurs SSI doivent également être générés (suivi des comptes, patch management, etc.).Ce volet correspond généralement à un chantier mineur de mise à jour du corpus documentaire et des processus déjà existants.

• Maîtrise des risques (règle 2) : l’OIV doit mener une homologation formelle de chacun de ses SIIV, afin d’identifier les risques portés et les mesures de sécurité à mettre en œuvre. La décision d’homologation est prise par une commission interne à l’OIV, en capacité de représenter l’OIV sur le plan pénal. Tout acte d’homologation sera précédé d’un audit SSI.Concrètement, les OIV doivent prévoir un audit d’homologation par SIIV, qui sera réalisé conformément au référentiel PASSI LPM[3], soit par un prestataire qualifié soit par une équipe interne de l’OIV. Le renouvellement de l’homologation est à prévoir à minima tous les 3 ans, pour prendre en compte l’évolution du contexte et des menaces.

• Maîtrise des SI (règles 3 et 4) : il est attendu de l’OIV qu’il connaisse à tout moment les composants constituant chacun de ses SIIV (cartographies à disposition de l’ANSSI sur demande) et qu’il sache y déployer tous les correctifs de sécurité nécessaires ou mettre en œuvre des mesures compensatoires appropriées.Si des inventaires et processus de veille et patch management sont déjà en place, l’enjeu est ici de les décliner concrètement sur chacun des SIIV fraîchement identifiés et surtout de s’assurer de leur pertinence et efficacité dans le temps.

• Gestion des incidents de sécurité (règles 5 à 10) : au niveau de la détection des incidents, les journaux d’événements clés doivent être activés, centralisés et archivés, puis corrélés et analysés sur une infrastructure dédiée et conformément au référentiel PDIS[4]. Des sondes réseaux qualifiées doivent être mise en place entre les SIIV et les réseaux tiers à ceux de l’OIV. Le traitement des incidents doit respecter le référentiel PRIS[5] et l’OIV doit posséder un service de permanence, communément appeler astreinte, pour assurer le traitement des alertes en 24/7. Enfin, une procédure de gestion de crise doit pouvoir être déclenchée sur demande du Premier Ministre afin d’assurer la cyber-résilience des SIIV et du SI de l’OIV.Bien que la détection et le traitement des incidents de sécurité soient pris au sérieux par les OIV, c’est un volet de la SSI qui reste assez récent et continue de se structurer. Aussi, la difficulté principale sera d’aligner les initiatives déjà en place sur les référentiels PDIS et PRIS et de les étendre aux SIIV. Les OIV les moins avancés sur le sujet auront l’avantage de pouvoir partir d’une feuille blanche.

• Protection des systèmes (règles 11 à 19) : chaque SIIV devra respecter les bonnes pratiques de sécurité sur l’authentification et l’habilitation des utilisateurs des SIIV, sur les principes et infrastructures d’administration, sur le cloisonnement des SIIV et la gestion des flux ainsi, sur les principes d’accès à distance, ainsi que sur le durcissement des composants à leur installation.Selon la taille et les typologies de SIIV, l’enjeu est ici de placer le curseur au bon endroit entre cloisonnement des SIIV et fluidité des opérations au quotidien. Des SIIV trop isolés vont entrainer un coût d’exploitation très élevé voire des dysfonctionnements métiers, tandis qu’une gestion trop centralisée maximisera les impacts d’une attaque réussie. Fort heureusement, des solutions permettant d’atteindre le bon compromis existent et sont déjà éprouvés chez certains OIV.

Finalement, cet ensemble de règles rappelle les bonnes pratiques de sécurité et exige qu’elles soient respectées à minima sur le périmètre des SIIV.

Ces arrêtés sont aussi l’occasion pour l’État de promouvoir les documents produits ces dernières années en lien avec la cybersécurité et la Sécurité des Activités d’Importance Vitale (SAIV) : référentiels PASSI / PDIS / PRIS, guides de sécurisation, stratégie d’homologation, méthodologie d’analyse de risques EBIOS, IGI 6600 sur les SAIV, IGI 1300 sur la protection du secret de la défense nationale, II 901 sur la protection des SI sensibles, etc. Les différents guides de bonnes pratique de l’ANSSI seront aussi à considérer pour construire ou faire évoluer les systèmes.

Des publications salutaires, mais encore de nombreuses incertitudes à lever de manière officielle

Après la phase d’identification des SIIV et de gap analysis d’ores et déjà amorcée et en cours de finalisation par la plupart des OIV, la publication des premiers arrêtés sectoriels va enfin permettre une diffusion plus large des règles. Au-delà des OIV et de ceux qui les accompagnent auourd’hui, l’ensemble du marché va ainsi pouvoir s’approprier ces règles et se structurer en conséquence (éditeurs, infogérants, fournisseurs, etc.) en pouvant échanger clairement et de manière plus ouverte sur ces sujets.

En parallèle, il est indispensable que l’ANSSI continue de lever officiellement les questions restantes en publiant le maximum d’éléments : listes de prestataires et produits qualifiés pour l’ensemble des référentiels, exemples d’architectures et configuration conformes, etc. Sur ce point, la récente création de la rubrique « OIV » sur le site de l’ANSSI va dans le bon sens.

D’ici-là, les OIV doivent continuer de mobiliser leurs dirigeants et leurs équipes sur cette mise en conformité, l’identification de cibles envisageables, leur chiffrage et leurs porteurs, sous peine de prendre un retard qui sera difficile à rattraper.

[1] Formulaire de déclaration fourni par l’ANSSI : http://www.ssi.gouv.fr/uploads/2016/04/declaration-incident-lpm-np1.pdf ; couvert par le secret de la défense nationale (Confidentiel Défense) une fois rempli, selon l’incident

[2] Formulaire de déclaration des SIIV fourni par l’ANSSI : http://www.ssi.gouv.fr/uploads/2016/04/declaration-siiv-lpm-np1.pdf ; liste et informations couverts par le secret de la défense nationale (Confidentiel Défense)

[3] PASSI LPM – extension du référentiel public PASSI encadrant la réalisation d’audits SSI (http://www.ssi.gouv.fr/uploads/2014/12/PASSI_referentiel-exigences_v2.1.pdf) ; PASSI LPM est en Diffusion Restreinte aux seules personnes ayant besoin d’en connaître

[4] PDIS – Prestataire de Détection des Incidents de Sécurité : http://www.ssi.gouv.fr/uploads/2014/12/PDIS_referentiel-d%E2%80%99exigences-v1.0.pdf

[5] PRIS – Prestataire de Réponse aux Incidents de Sécurité : http://www.ssi.gouv.fr/uploads/2014/12/PRIS_Referentiel-d%E2%80%99exigences-v1.0.pdf

Cet article Cybersécurité et Loi de Programmation Militaire : les premiers arrêtés sectoriels enfin publiés est apparu en premier sur RiskInsight.

Ce premier article vise, en respectant le secret de la défense nationale, à résumer le cadre législatif et réglementaire de la LPM : quel est le périmètre d’application de la loi ? Quels sont les principes à mettre en œuvre ? Quid de sa compatibilité avec les directives européennes ?

Un contexte réglementaire historique

Des LPM sont régulièrement votées en France depuis 1960. Elles permettent à l’État d’inscrire le financement de sa stratégie de défense militaire dans une logique pluriannuelle. La dernière LPM a notamment servi de véhicule législatif pour adresser le sujet de la cybersécurité des OIV. Elle traduit les orientations du livre blanc sur la défense et la sécurité nationale, publié en avril 2013. En particulier, son chapitre IV donne plus de pouvoirs au Premier ministre et à l’ANSSI en matière de sécurité et de défense des systèmes d’information. Ce texte responsabilise pour la première fois les OIV quant à la sécurisation de leurs systèmes d’information d’importance vitale (SIIV).

La notion d’opérateur d’importance vitale apparaît dans l’ordonnance n°58-1371 du 29 décembre 1958, tendant à renforcer la protection des installations d’importances vitales : « Les entreprises exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenues de coopérer à leurs frais dans les conditions fixées à la présente ordonnance, à la protection desdits établissements, installations et ouvrages contre toute tentative de sabotage ». La liste des opérateurs est confidentielle.

Jusqu’à la LPM, les exigences portaient exclusivement sur la protection physique des points d’importance vitale (PIV) vis-à-vis des actes de sabotage. Depuis, les principes de sécurisation de ces PIV et les interlocuteurs mobilisés (ministres, préfets, responsables de la sûreté, etc.) sont globalement restés les mêmes, tandis qu’en 2006 les OIV se sont vus structurés en douze secteurs d’activité, via le décret n° 2006-212 du 23 février 2006. Tout cela est résumé dans l’instruction générale interministérielle relative à la sécurité des activités d’importance vitale (SAIV), l’IGI n°6600 du 7 janvier 2014.

On peut donc retenir que la LPM vient compléter le dispositif SAIV existant et déployé chez les OIV par un volet cybersécurité. Elle apporte par la même occasion son lot de nouveaux interlocuteurs, avec en tête l’ANSSI et les RSSI des OIV, et nécessite de faire évoluer un existant en place souvent depuis plusieurs dizaines d’années.

De nombreuses exigences visant les SI d’importance vitale

Les OIV ne sont directement impactés que par l’article 22 de la LPM, et plus précisément par les sections du code de la défense qu’il vient créer et mettre à jour : les articles L. 1332-6-1 à L. 1332-7 traitant de la protection des installations d’importance vitale et dispositions spécifiques à la sécurité des systèmes d’information.

Le premier objectif est de sécuriser les SI d’importance vitale, les SIIV, dont la définition reprend celle des OIV : « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population ».

Plusieurs exigences sont imposées : respect de règles de sécurité spécifiques, recours à du matériel et des prestataires qualifiés pour la détection des événements de sécurité, notification obligatoire des incidents de sécurité, contrôles de sécurité réguliers commandités par l’ANSSI. Les sanctions pénales applicables aux OIV lorsqu’ils ne satisfont pas aux obligations prévues s’élèvent à 150 000 € pour le dirigeant de l’OIV et à 750 000 € pour la personne morale.

Il est important de noter que les exigences portent uniquement sur les SIIV, et non sur l’ensemble du SI de l’OIV. D’autre part, nos retours d’expérience sur l’identification des SIIV montrent que la logique « d’importance vitale » diffère entre une vision de l’entreprise (qui vise à assurer sa propre survie) et celle de l’État (qui vise à assurer la sécurité des citoyens). Concrètement, les systèmes commerciaux assurant les ventes ou la facturation, ne sont souvent pas répertoriés dans la liste des SIIV.

Décrets : répartition des responsabilités, classification et qualifications

Deux décrets ont précisé les conditions de mise en œuvre de la LPM. Le premier (Décret n° 2015-351 du 27 mars 2015) vient préciser les modalités pour chaque thème abordé par l’article 22 de la LPM et définit la répartition des responsabilités entre les acteurs (Premier Ministre, Ministres coordinateurs, ANSSI, OIV et prestataires), la classification des documents produits et les qualifications exigées.

En complément, le deuxième (Décret n° 2015-350 du 27 mars 2015) concerne la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. L’objectif de ce décret est de donner aux OIV les moyens de mettre en œuvre la LPM en s’appuyant potentiellement sur des prestataires et produits de confiance, évalués de manière impartiale dans le cadre de processus de qualification formels. On peut notamment citer PASSI[1] (audit), PDIS[2] (détection d’incident) et PRIS[3] (réaction aux incidents).

Et l’Europe dans tout ça ?

L’Europe, à travers la directive Network and Information Security (NIS), s’inscrit dans la même logique de protection de ses opérateurs essentiels. Elle pose un cadre européen, compatible avec la LPM, que chaque pays aura la responsabilité de décliner sur son territoire. A ce stade et pour les OIV, il suffit donc de retenir que la LPM est finalement une transposition avant l’heure de la directive européenne NIS.

Prochaine étape : publication des règles / arrêtés sectoriels

En définitive, les exigences qui devront concrètement s’appliquer aux SIIV sont celles rédigées par l’ANSSI en concertation avec les OIV depuis plus d’un an maintenant. Elles verront le jour sous la forme d’arrêtés sectoriels, applicables à compter du 1er juillet 2016. Les actions en cours actuellement chez les OIV visent à identifier les écarts de conformités et à budgéter les chantiers requis.

Suite à ce premier volet, un article analysant les arrêtés sectoriels a été publié.

[1] PASSI – Prestataire d’Audit de la Sécurité des Systèmes d’Information : http://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/

[2] PDIS – Prestataire de Détection d’Incidents de Sécurité : http://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-detection-dincidents-de-securite-pdis/

[3] PRIS – Prestataire de Réponse aux Incident de Sécurité : http://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiancequalifies/prestataires-de-reponse-aux-incidents-de-securite-pris/

Cet article Cybersécurité et Loi de programmation militaire : quel cadre réglementaire pour quelles exigences ? est apparu en premier sur RiskInsight.

Nous l’avons vu lors d’un précédent article, les banques ont mis en place un certain nombre de mécanismes pour protéger leurs services bancaires en ligne.

Face à l’évolution des techniques des cybercriminels – et face, aussi, à l’évolution des usages des clients – ces mécanismes montrent depuis quelques temps leurs limites. Dès lors, quels moyens sont à disposition des banques pour assurer la détection des activités illégitimes et une réaction efficace le moment venu ?

Mécanismes de protection : la ligne Maginot des services bancaires en ligne

Si l’on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l’amélioration continue du niveau de sécurité.

Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux (« listes noires d’IBAN »), mise en place de plafonds sur les virements, ajout d’un délai d’activation du bénéficiaire, etc.

Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu’elles sont victimes d’un type d’attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs ? Quelle communication vis-à-vis des clients fraudés et non-fraudés ? Comment revenir à une situation « protégée » tout en maintenant le service offert aux clients ? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque.

L’amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d’anticiper les plus prédictibles. En parallèle, il est crucial d’accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu.

Ce constat est d’ailleurs appuyé par la Banque Centrale Européenne, via ses « Recommandations pour la sécurité des paiements sur internet » publiées en février 2013, pour application dès le 1^er février 2015. Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maitrisés, l’accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d’alerte à destination des clients.

Le client au cœur du dispositif de détection de fraude

Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d’indicateurs de compromission à son niveau et l’analyse de son comportement.

Le client fraudé identifie la fraude avec certitude après consultation de l’état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d’information par les clients. Dans la mesure où l’interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L’escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus.

La présence d’indicateurs de compromission caractérise l’infection d’un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d’un logiciel à installer sur le poste du client, soit d’un composant à installer sur l’infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir.

L’analyse comportementale du client permet, sur la base d’indicateurs techniques et métiers, d’identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d’un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser.

Réaction : un enjeu fort, une maturité hétérogène

Comment réagir une fois les premiers diagnostics techniques menés si la détection n’est pas réalisée par le client lui-même ? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d’établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l’agence concernée, la solution la plus répandue est d’informer le conseiller pour qu’il assure un premier traitement.

L’existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d’une intervention, etc.

En complément,  les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l’ensemble des clients alors que seul un nombre réduit est infecté.

Afin d’éviter les sur-sollicitations et d’être plus efficace en cas d’incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre “préfiltrées” par des dispositifs techniques ou organisationnels.

Enfin, au-delà de l’efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d’entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication.

Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la « banque en ligne sécurisé 2.0 » mais les efforts doivent être maintenus dans la durée.

Vers une sécurité de bout en bout des opérations financières

58% des français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts.

De nombreux défis restent à relever, notamment sur l’identification de nouveaux mécanismes d’authentification qui doivent combiner résistance aux attaques sophistiquées,  compatibilité avec les situations de mobilité et facilité d’utilisation.

Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s’attendre dans les prochains mois à une uniformisation vers le haut tant dans l’outillage que les processus internes de gestion des fraudes.

Seule une imbrication poussée des filières Cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d’activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs.

Cet article Sécurité des services bancaires en ligne : combiner détection et réaction ! est apparu en premier sur RiskInsight.

La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d’abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d’image ensuite,  les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne.

Que font concrètement les établissements pour sécuriser leur banque en ligne ? Est-ce suffisant ?

Cet article Sécurité des services bancaires en ligne : où en sommes-nous ? est apparu en premier sur RiskInsight.