Reminder of what  an Azure subscription is 

An Azure subscription is a container for cloud resources and services associated with a tenant, which enables the management of billing, access, and the deployment of Azure resources. 

Azure resources architecture

Operation of the attack 

On Microsoft Azure, the following initial situation is considered : 

• There is a legitimate organization (the victim tenant), which may or may not contain a subscription
• There is a malicious organization (the attacker’s tenant) under the attacker’s control

The attack then follows these four steps: 

Steps of the attack on Azure

1. The attacker must be present in both organizations: they therefore compromise an internal administrator in the victim tenant to have their external account invited into the tenant, or they convince a non compromised administrator to invite them under some pretext. In both cases, the administrator invites them into the victim tenant
2. The attacker targets an existing subscription or creates a new one themselves (which requires permissions), associated with an existing billing account in the victim tenant
3. The attacker obtains the Owner role on the targeted subscription. If they created it themselves, they already have this role by default; otherwise, they must receive it from an administrator
4. The attacker transfers the subscription from the original organization to the destination organization

The subscription is now under the full control of the attacker’s organization and can continue billing the former billing account.  

Why is this attack dangerous ? 

This attack is potentially very dangerous because it can be carried out instantly if the conditions are met, gives the attacker full control over the resource and any of its content, and is irreversible without support intervention. 

An instantaneous attack 

By default, any user with the Owner role on an Azure subscription who is also present in another tenant can perform the transfer without restriction. 

Multiple and potentially irreversible consequences 

The subscription comes under the control of the malicious tenant that has taken it over. They can therefore: 

• Having full control over it while the original user no longer has access 
• Extract all resources or information from it 
• Use it while charging the usage of the former billing method belonging to the legitimate owner 

Note: A purpose of subscription hijacking is to bring the resources into the attacker’s own environment, outside the control of the legitimate owner, to use them for their own benefit or to bill new usage to the former owner. However, even simple transfer without any use already causes major consequences: the user will have lost their subscription, and thus will have lost all resources, but also the structure (roles, assignments, rules), which can be very time‑consuming to rebuild. 

If the legitimate owner can block billing once they realize what is happening, there is, however, no way to recover the subscription if the attacker has removed all former Owners from it. The only remaining option is to turn to Microsoft support. 

The following article by Derk van der Woude describes a case of cryptocurrency mining carried out using stolen subscriptions and billed to the former owner: 

https://derkvanderwoude.medium.com/azure-subscription-hijacking-and-cryptomining-86c2ac018983 

How to be protected against it ? 

To protect against an illegitimate subscription transfer, there are preventive measures that can be applied to mitigate each step of the attack: 

Preventive measures 

1. Attacker’s access to resources : conditional access policies 

Conditional access policies based on risk automatically strengthen security by adapting controls according to the level of risk detected during a sign‑in or associated with a user. For example, they can block suspicious access or require multi‑factor authentication (MFA). Thus, the access of a suspicious guest could be blocked. 

     2. Privilege escalation/obtaining the Owner role: privileged identity management 

Privileged Identity Management (PIM) allows high‑privilege roles to be granted only when needed, through temporary, approved, and justified elevation. It reduces risks linked to excessive permissions through control, monitoring, and activation notifications. 

     3. Subscription transfer : subscription policy 

A subscription policy makes it possible to block the transfer of an Azure subscription to or from the tenant to prevent hijacking. It is implemented through Azure Policy by defining and then assigning a rule that restricts transfer actions, with regular reviews to ensure its effectiveness. It applies to all subscriptions within its assignment scope. 

Detection solutions 

Certain solutions can detect this attack on Microsoft Azure: 

• UEBA (Sentinel) : detects abnormal behavior (unusual sign‑ins, access to sensitive resources, unexpected changes). This helps quickly identify a compromised account before it can hijack a subscription. 
• Privileged Identity Management (PIM)​ : monitors privilege elevations and can trigger alerts when a privileged role is activated. 
• Custom Sentinel Alert : can specifically monitor events indicating a subscription transfer. The rule regularly analyzes Azure Activity logs and immediately triggers an alert when a suspicious operation like the moving of a subscription is detected. 

Resilience strategy 

The resilience strategy to be implemented is a backup of resources that allows them to be restored in the event of an actual subscription hijacking. 

1. Isolate Azure Backup backups in a dedicated subscription reserved for backups with strict security rules 
2. Protect backups: enable soft delete (no immediate permanent deletion), reversible deletion, immutability (prevents modification or deletion for a set period), and anti‑deletion locks 
3. Create multiple copies, potentially to another tenant 
4. Back up governance as well (Entra ID configurations via Microsoft 365 DSC, infrastructure configuration with Terraform) 
5. Automate reconstruction with infrastructure‑as‑code (Blueprints, ARM, Terraform) 
6. Regularly test backups 

Response to the attack 

Suffering a subscription hijacking means losing control of your Azure subscription. In that case, options are limited. You should very quickly: 

• Block the attacker’s access and revoke any secrets potentially compromised during the attack 
• Contact Microsoft Billing support to stop billing 
• Contact Microsoft technical/Azure support to attempt to recover the subscription 

And on other providers? (AWS and GCP) 

Once this attack has been identified on Azure, the question arises as to whether it also exists (or if an equivalent exists) on AWS and GCP. The concept of a subscription does not exist as such with these two cloud providers; however, equivalent hierarchical units play the same role. If it were possible to migrate them to another AWS or GCP organization in an illegitimate way, this would constitute the equivalent of subscription hijacking on those platforms.  

AWS : an existing equivalent with distinct conditions 

On AWS, the hierarchical equivalent of an Azure subscription is the AWS account: an AWS account, located within an organization, contains IAM users, resources, and is the level at which billing is handled if it is not consolidated by the management account. 

The goal of an attacker would therefore be to have this AWS account migrated to another organization. 

Steps to follow 

The steps to follow are : 

Steps of the attack on AWS

An AWS account contains: 

• A unique root user, who has all rights on the account 
• IAM users with assigned IAM permissions 

From there, two strategies are possible for the attacker: either compromise the root user (which would allow any action) or succeed in escalating privileges on a regular IAM user. However, root approval is still required for step 1 (for example, the attacker may have manipulated the root user into performing this action). Moreover, if guardrails or Service Control Policies are enforced, the root user must still validate the operation. As a result, an IAM user, even with elevated rights, cannot always migrate an account on their own. 

Similar consequences to the Azure attack ? 

It is established that on Azure, transferring a subscription results in a total loss of control over it. Here, on AWS, two nuances must be introduced: 

• First, as shown in thepreviousdiagram, billing must be changed (to an independent billing mode) to allow the account to migrate to another organization, which eliminates the risk of being charged for services used by the attacker after the migration
• Second, in the theoretical case where it is a non‑root IAM user who performed the migration (having gathered all the necessary permissions), this user does not have full control over the account, even if they leave it standalone or make it join an organization under their control. AWS accounts are highly independent, and simply having an account within one’s organization does not allow arbitrary actions (accessing certain resources,deletingthe account) without possessing the root user

Conclusion 

If the attack seems possible on AWS in theory, it requires more conditions and results in fewer definitive negative consequences than on Azure. Ultimately, the only way to take full control of an AWS account remains to obtain its root user. 

GCP : a possible equivalent but more difficult to realize 

On GCP, the architecture is closer to Azure. The equivalent of an Azure subscription is the GCP project. Here, the attacker’s goal would therefore be to migrate a project from one GCP organization to another.  

Steps to follow 

The steps to follow are : 

Steps of the attack on GCP

Similar consequences to the Azure attack ? 

The consequences of migrating a GCP project are the same as for an Azure subscription: a total loss of control over the asset, and the risk of being billed for the attacker’s usage if billing has not been modified. 

Conclusion 

A resource hijacking scenario similar to Azure subscription hijacking is therefore theoretically possible on GCP. However, the stricter conditions required make this case less likely, though it must still be considered. 

Summary of the consequences 

Summary of the consequences

Conclusion 

The subscription hijacking must therefore be considered a major attack with severe and high‑impact consequences for affected organizations or companies. Protecting the hierarchical units that manage billing and resources against any illegitimate move or migration (with measures that vary depending on the cloud provider) and establishing remediation and backup processes in case of loss is crucial for an organization’s security. 

Cet article Subscription hijacking on Microsoft Azure  est apparu en premier sur RiskInsight.

Malicious uses of deepfakes can be grouped into three main categories: 

• Disinformation and enhanced phishing: Falsified videos with carefully crafted messages can be exploited to manipulate public opinion, influence political debates, or spread false information. These videos may prompt targets to click on phishing links, increasing the credibility of attacks. Such identity theft has already targeted public figures and company CEOs, sometimes encouraging fraudulent investments. 
• CEO fraud and social engineering: Traditional telephone scams and CEO fraud are harder to detect when attackers use deepfakes to imitate an executive’s voice or fully impersonate someone (face and voice) to obtain sensitive information. Such live identity theft scams, especially via videoconferencing, have already resulted in significant financial losses, as seen in Hong Kong in early 20241.  
• Identity theft to circumvent KYC solutions2 : Increasingly, applications, especially in banking, use real-time facial verification for identity checks. By digitally altering the facial image submitted, malicious actors can impersonate others during these verification processes.

The rapid growth of generative artificial intelligence has led to a steady increase in both the number and sophistication of deepfake generation models. It is increasingly common for companies to suffer such attacks (as evidenced by our latest CERT-W annual report ) and increasingly difficult to detect and counter them.  

Figure1 – Increase in deepfake technologies and resulting financial losses

Humans remain the primary target and therefore the first line of defense in the information system against this type of attack. However, we have seen a significant evolution in the maturity of these technologies over the past year, and it is becoming increasingly difficult to distinguish between what is real and what is fake with the naked eye.  

After supporting many companies with employee training and awareness, we saw the need to analyze tools that could strengthen their defenses. Having reliable deepfake detection solutions is no longer just a technical issue: it is a necessity to protect IT systems against intrusions, maintain trust in digital exchanges, and preserve the reputation of individuals and companies. 

Our Radar of deepfake detection solutions presents about 30 mature providers we have tested rigorously, allowing us to identify initial trends in this emerging market. 

For our technical tests, some stakeholders provided versions of their solutions deployed in environments similar to those used by their customers. We then built a database of multiple deepfake content of various types: media type (audio only, image, video, live interaction); format (sample size, duration, extension) and deepfake tools used to generate these samples: 

To best extract market trends from these tests, we considered three distinct evaluation criteria: 

• Performance (deepfake detection capability, accuracy of false positive results, response time, etc.) 
• Deployment (ease of integration into a client environment, deployment support and documentation) 
• User experience (understanding of results, ease of use of the tool, etc.) 

An emerging market that has already proven itself in real-world conditions 

Two different technologies to achieve the same goal  

We first categorized the different solutions offered according to the type of content detected: 

• 56% of solutions detect based on visual media data (image, video) 
• 50% of solutions opt for detection based on audio data (simple audio file or audio from a video)  

This balanced distribution of content types enabled us to compare the performance of each technology. While most of the solutions developed rely on artificial intelligence models trained to classify AI-generated content, the processing of a visual file (such as a photo) or an audio file (such as an MP3) differs greatly in the types of AI models used. We could therefore expect differences in performance between these two technologies. 

However, our technical tests show that the accuracy of the solutions is relatively similar for both image and audio processing. 

We also identified leading providers developing live audio and video deepfake detection, capable of processing sources in under 10 seconds, which addresses today’s most dangerous attack vectors. 

These solutions, which mainly process audio, achieved an accuracy score of 73% of deepfakes detected as such. This shows the potential for improvement for these young players in detecting state-of-the-art live attacks. 

From PoC to deployment at scale, a step already taken by some

The maturity of solutions also varies on our radar. While some providers are start-ups emerging to meet this specific need, others are not new to the market. In fact, some of the companies we met had their core business in other areas before entering this market (we can mention biometric identification, artificial intelligence tools, and even AI-powered multimedia content generators!). These players therefore have the knowledge and experience to offer their customers a packaged service that can be deployed on a large scale, as well as post-deployment support. 

Younger startups are also maturing and moving beyond the PoC phase by offering companies a range of deployment options: 

• API requests, which can be integrated into other software, remain the preferred way to call on the services of tools that enable deepfake detection. 
• Comprehensive SaaS GUI6 platforms. Some of these platforms have already been deployed on-premises in certain contexts, particularly in the banking and insurance sectors. 
• On-device Docker containers, which allow plug-ins to be added to audio and video devices or videoconferencing software for integration tailored to specific detection needs. 

Use cases for deepfake detection solutions: trends and developments 

Use cases specific to critical business needs that require protection 

To meet diverse market needs, solution providers have specialized in specific use cases. In addition to answering the question “deepfake or original content?”, some providers are developing and offering additional features to target specific uses for their solutions. 

We have grouped the various offerings from providers into broad categories to help us understand market trends: 

• KYC and identity verification: in banking onboarding or online account opening processes, deepfake detection makes it possible to distinguish between a real video of a user and an AI-generated imitation. This protects financial institutions against identity theft and money laundering. These solutions will be able to give “liveness” scores or match rates to the person being identified in order to refine detection. 
• Social media watch and source identification: To prevent fake media or information from damaging their clients’ reputations, some solution providers have deployed watch on social media or multimedia content analysis tools for email attachments to enable rapid response. The features of these solutions make it possible to understand how and by which deepfake model this malicious content was produced, helping to trace the source of the attack. 
• Falsified documents and insurance fraud: A number of players have turned their attention to combating insurance fraud and false identity documents. Their solutions seek to detect alterations in supporting documents or photos of damage by highlighting how and which parts of the original image have been modified. 
• Detection of telephone scams and identity theft in video calls: these types of attacks are on the rise and rely on the creation of realistic imitations of a manager’s voice or face, in particular to deceive employees and obtain transfers or sensitive information. Most detection systems targeting these attacks have developed capabilities for full integration into video call software or sound cards on the devices to be protected. 

Each solution is designed with specific features aligned with market needs to maximize the relevance and operational effectiveness of detection solutions. 

Open source as the initiator, proprietary solutions to take over 

While proprietary solutions dominate, open-source approaches also play a role in this field. These initiatives play an important role in academic research and experimentation, but they often remain less effective and less robust in the face of sophisticated deepfakes. 

While some offer very good results on controlled test benches ( up to 90% detection performance7 ), proprietary solutions offered by specialized publishers generally offer better performance in production. They also stand out in terms of support: regular updates, technical support, and maintenance services, which are essential for critical environments such as finance, insurance, and public sector. This difference is gradually creating a gap between open source research and commercial offerings, where reliability and integration into complex environments are becoming key selling points. 

False positives: the remaining challenge 

Many vendors emphasize their deepfake detection capabilities. We felt it was important to extend our testing to understand how these solutions perform on false positives: is real content detected as natural content or as deepfake content? 

 The evaluations we conducted on several detection solutions highlight contrasting results depending on the type of content.  

• For images and video: nearly 40% of the solutions tested still have difficulty correctly managing false positives. With these solutions, between 50% and 70% of the real images analyzed are considered deepfakes. This limits their reliability, especially when they are subjected to large amounts of content.  
• On the audio side, the solutions stand out with more robust performance on false positives: only 7%. Only a few particularly altered (but non-AI) or poor-quality samples were detected as deepfakes by some solutions. 

To address these issues, some vendors are combining image/video and audio processing. Currently, these modalities are usually scored separately, but efforts are underway to integrate their results for greater accuracy. Some publishers are working on ways to use these two scores more complementarily to limit false positives. 

What does the future hold for deepfake detection? 

Current solutions are effective under most present conditions. However, as technologies and attack methods rapidly evolve, vendors will face two major challenges.  

The first challenge is detecting content from unknown generative tools. While most solutions handle common technologies well, their performance drops with newer, less-documented methods.  

The second challenge is real-time detection. Currently, only 19% of solutions offer this feature, and their performance is still insufficient to meet future needs. In contrast, notable progress is already being made in audio detection, which is emerging as a promising advance for enhancing security in critical scenarios involving phishing or CEO fraud via deepfake audio calls. 

The market maturity of these cutting-edge technologies is accelerating, and there is every reason to believe that detection solutions will quickly catch up with the latest advances in deepfake creation. The next few years will be decisive in seeing the emergence of more reliable, faster tools that are better integrated with business needs.  

Cet article Anti-Deepfake Solutions Radar: An Analysis of the AI-Generated Content Detection Ecosystem  est apparu en premier sur RiskInsight.

Attacks targeting these supply chains have opened a new perimeter of risk in information systems. Breaches can lead to intellectual property theft, tampering with source code, service disruption, and privilege escalation into more critical parts of the IT landscape. 

What are the new attack vectors in CI/CD pipelines, and how can they be contained? This article reviews real-world compromise scenarios and provides recommendations to defend against them. 

What risks for CI/CD pipelines? 

The 2020 SolarWinds breach is very often cited as CI/CD compromise, as it revealed the true scale of that such an attack can cause. After supposedly stealing FTP credentials left in plaintext in an old GitHub repository, attackers poisoned SolarWinds’ supply chain by inserting a C2 beacon into Orion, its network management software, before the signing process. 

This backdoor gave adversaries months of undetected access to the internal networks of U.S. government agencies and private companies. 

Incidents like this, along with more recent ones such as Log4Shell, Codecov, and XZ Utils, highlight not only the need for stronger CI/CD security but also for a more adaptive incident response. OWASP published a dedicated overview for CI/CD Security in their Top 10, mapping out the most common areas of risk. 

Figure 1 – Top 10 OWASP CICD-Sec 

Field insights @ Wavestone

Audits and penetration tests help identify vulnerabilities proactively before attackers can exploit them. By simulating real-world attacks, these assessments provide concrete visibility into how systems can be compromised. 

Our recent client engagements have led to clear findings: 

• In nearly all Cloud and CI/CD audits, vulnerabilities are always discovered in pipelines, often enabling full control of the pipeline, its artifacts, or even underlying infrastructure. 
• In CERT and Red Team interventions, CI/CD pipelines frequently act as accelerators in attack paths. 

Here are two examples observed in the field. 

Example 1: Full AWS compromise through CI/CD abuse 

In this first grey-box example, we compromised an entire AWS Cloud environment (600+ accounts) starting from standard DevOps accounts. 

Figure 2: Full AWS compromise through CI/CD abuse 

Attack path: 

• An attacker pushed malicious code into a GitLab repository, triggering a GitLab CI pipeline that deployed the code into a generic Kubernetes pod. 
• The code opened a reverse shell, giving the attacker remote access to the Kubernetes environment. 
• From there, the attacker exploited excessive privileges granted to the node’s service account (ability to patch tokens in the cluster) and replaced the admin node’s token. 
• On redeployment, the malicious pod lands on the former admin node, still holding admin rights. 
• The attacker escalated privileges and pivoted into AWS, compromising the entire Elastic Kubernetes Service (EKS) cluster and its resources. 

Example 2: Chained attacks across pipeline components 

Figure 3 -Summary of real chained attacks across pipeline components 

In another case (presented at DefCon & BSides 2022), we demonstrated how multiple components of a CI/CD pipeline can be chained together in compromise scenarios. [Video]. 

Recommendations to secure a CI/CD 

CI/CD pipelines have now become systemic components of information systems and can be leveraged to compromise an organization’s most critical resources. 

Our recommendations for securing the CI/CD chain can be grouped into three main themes: identity and access management (IAM), better pipeline design, and continuous monitoring. These align with the ANSSI DevSecOps guidance. 

Figure 4 – Three main recommendations to secure a CI/CD 

Identity and Access Management (IAM) 

Figure 5 – IAM recommendations 

Identity management 

Beyond the traditional rules for managing identity lifecycles, it is strongly recommended to systematically use Single Sign-On (SSO) combined with Multi-Factor Authentication (MFA). This significantly reduces the risk of intrusion into the CI/CD chain, by ensuring that any user accessing code repositories, signing commits, or performing other privileged actions is properly authenticated. 

Access control 

User and service account permissions must be strictly limited to what is necessary for their role within the CI/CD chain, always applying the principle of least privilege. This should be enforced through Role-Based Access Control (RBAC). For example, a developer working on a specific project generally should not have write access to the overall pipeline configuration. 

It is also advisable to segment projects using separate code repositories, and to ensure that the orchestrator account of one project does not hold excessive rights over the deployments of projects it is not associated with. 

Secrets management 

In CI/CD, “secrets” refer to sensitive data such as passwords, API keys, certificates, or access tokens. Since these secrets often enable privileged actions within pipelines, they must be retrieved in an automated and controlled manner. 

Vendors such as HashiCorp provide dedicated secret management solutions that make it possible to store sensitive data centrally, while ensuring encryption in transit and at rest. 

CI/CD pipeline design 

Figure 6 – Design recommendations 

Environment segmentation 

Segregation between users, applications, and infrastructure is essential to minimize the impact of a compromise. In line with ANSSI’s guidance, actions performed by the production CI/CD chain should be treated as administrative actions, and the number of users authorized to access it should be kept to an absolute minimum. Furthermore, communication between environments must be protected with end-to-end encryption. 

Integration of third-party tools 

As the SolarWinds attack demonstrated, many supply-chain compromises originate from a third-party component integrated into a CI/CD pipeline. These tools are indispensable for supply-chain operation: they may be as small as a development add-on, or as central as a version control system or orchestrator. 

Because these tools are often granted high privileges—access to sensitive resources or the ability to perform critical actions within the pipeline—a vulnerability that is left unpatched can be catastrophic. In many cases, the ability to remediate will depend on the vendor, limiting the organization’s own control. A strict governance framework and a Third-Party Cyber Risk Management (TCPCRM) process for third-party tools is therefore necessary. 

Artifact management 

To avoid the risk of distributing malicious artifacts, it is recommended to sign artifacts as early as possible in the pipeline, and to verify those signatures at deployment time to guarantee their integrity. Similarly, regular Software Composition Analysis (SCA) should be performed to prevent the introduction of malicious libraries. 

Monitoring and supervision 

Figure 7 – Monitoring recommendations 

Logging and detection 

Maintaining a high level of visibility and control over all pipeline components is critical for easier maintenance and faster response to attacks. 

A tailored logging strategy should be implemented: logs must contain only the data needed to ensure traceability and accountability in the event of an incident, should be stored securely, and must not contain secrets in plaintext. Logs should be shared effectively with the organization’s Security Information and Event Management (SIEM) system. 

Regular audits and penetration tests are also required to reassess the security posture and identify potential new compromise paths within the CI/CD pipeline. 

Incident response 

Finally, CI/CD pipelines must be included in incident response plans just like any other perimeter of the information system. This means ensuring that source code and configurations are backed up, and that business continuity plans exist in case of a tool failure. 

In conclusion 

CI/CD pipelines have become a genuine cornerstone of modern information systems. They are now systemic components, indispensable for developing and deploying applications. Yet their critical role within IT also makes it necessary to implement appropriate security measures so that they do not themselves become attack vectors. 

Figure 8 – Some systemic CI/CD components 

Beyond the recommendations detailed in this article, further preventive measures can be implemented in the form of hardening guides tailored to specific tools within the pipeline. In addition, adopting a robust training strategy for users, together with structured change management, is essential to ensure the success of these transformations. 

Thanks to Jeanne GRENIER for her valuable contribution to the writing of this article.

Cet article CI/CD: the new cornerstone of the Information system?  est apparu en premier sur RiskInsight.

In recent years, regulators have consistently urged insurers to adopt holistic strategies that extend far beyond traditional disaster recovery—embedding resilience throughout business operations and the entire software development lifecycle.

This paper aims to offer a comprehensive perspective on resilience, bringing together operational continuity, cyber defence, and third-party risk management. It can serve as a strategic guide for CxOs, outlining how to identify the Minimum Viable Company (MVC), market insights into sector-wide impact tolerance, and anticipate the evolving landscape of regulatory and cyber resilience through 2030.

Minimum Viable Company (MVC) framework

The FCA’s Operational Resilience Policy Statement (PS21/3) challenges insurers to pinpoint their Important Business Services (IBS) and develop strategies for maintaining these during severe disruptions. Though MVC is not named explicitly in PS21/3 (FCA’s Policy Statement on Building Operational Resilience, published in March 2021) organizations are advised to define their “minimum operational footprint,” closely aligning with MVC principles.

Think of the MVC as your organisation’s lifeline: those indispensable services, processes, technologies, and teams that maintain trust and financial stability, even when everything else must be paused.

Most organizations keep their MVC lean, just 15–17% of total business activity, backed by robust lists of mission-critical applications, core infrastructure, key data, and vital third-party relationships. This isn’t just compliance: it’s about identifying a modular, scalable foundation that lets your business isolate issues, recover fast, and keep delivering during systemic risks.

Informed by our extensive work with top UK and global insurance organisations, an indicative list of Core Services typically is:

Further examination of trends in impact tolerance, detailing standard timeframes observed and strategic rationale for core services identified within MVC.

Note: The following ranges are intended as guidance, reflecting our market study and regulatory advisory. Actual tolerances may vary based on factors such as the jurisdictions involved, the organization’s risk profile, and its financial capacity.

Regulatory trends: 2025–2030 outlook

As the insurance industry navigates evolving operational demands, it is equally crucial to anticipate the shifting regulatory landscape that will define the coming years. The following outlook highlights the major regulatory trends projected for 2025 through 2030, outlining key compliance requirements and anticipated changes that will shape the UK insurance sector’s risk management and reporting frameworks.

It is important to recognise that as regulations in this area continue to develop, UK regulators such as the FCA and PRA are moving towards greater alignment with major European frameworks, including the EU Digital Operational Resilience Act (DORA) and the Network and Information Security (NIS) Directive.

This alignment reflects a recognition of the interconnectedness of financial markets and critical services across borders, and the need for consistent, elevated standards of operational and cyber resilience.

The FCA and PRA have issued consultations and guidance signalling their intent to integrate core DORA and NIS principles—such as enhanced third-party risk management, harmonised incident reporting obligations, and sector-wide resilience testing—into the UK’s regulatory regime. This convergence ensures that UK financial institutions, insurers, and service providers are prepared not only for domestic regulatory expectations but also for the demands of operating within a global and digitally integrated market.

Boardroom resilience checklist

In light of these forthcoming regulatory changes and strategic reforms, it is essential for boardrooms to evaluate and reinforce their organisational resilience frameworks. The following checklist is designed to guide leadership teams in proactively assessing their preparedness, ensuring robust governance, and embedding resilience into core decision-making processes.

• MVC coverage: Is your Minimum Viable Company (MVC) clearly defined, mapped, and stress-tested across operations to maintain delivery of essential services
• Impact tolerance benchmarking: Have you validated realistic impact tolerances through scenario analysis, and benchmarked them against peer institutions and regulatory frameworks
• Third-Party risk visibility: Do you maintain real-time insight into key external dependencies, supported by contingency planning and contractual resilience provisions
• Integrated resilience functions: Are your operational resilience, cyber security, third-party risk, and enterprise risk teams aligned in strategy, decision-making, and board reporting to support a cohesive resilience posture
• Incident Response preparedness: Do you have robust mechanisms for multi-channel incident reporting (internal and external) and active regulator engagement, supported by rehearsed playbooks
• Cyber insurance alignment: Is your cyber insurance coverage tailored to your specific risk landscape, and tested against evolving threat scenarios across business-critical assets
• Board accountability: Have board members been trained in resilience and security oversight, and do they receive regular briefings from integrated risk functions to ensure informed governance
• Resilience culture: Is a resilience-aware culture embedded across the organization —from executive leadership to operational teams — fostering proactive risk ownership and continuous improvement
• Regulatory awareness & horizon scanning: Are we tracking global and local regulatory developments (e.g. EU DORA, FCA SS1/21, SEC cyber rules), and ensuring readiness and board-level awareness of compliance obligations

The UK insurance and reinsurance sector is well-capitalised, digitally evolving, and strategically positioned for growth. But resilience (operational, cyber, and third-party) remains the defining factor for long-term success. 

By thoughtfully harmonizing operational resilience strategies across function with leading global standards, organizations can elevate their industry standing and secure enduring stakeholder confidence. This proactive approach not only ensures compliance with a rapidly evolving regulatory landscape but also fortifies the ability to mitigate cross-border risks and respond decisively to unforeseen disruptions. In a world where digital threats and supply chain vulnerabilities transcend geographic boundaries, developing internationally recognised resilience is both a regulatory imperative and a cornerstone of successful, forward-looking business strategy.

In conclusion, executives must embed robust, integrated resilience frameworks for sustained growth and stability. By cultivating a culture of proactive risk management and regulatory awareness, institutions can position themselves at the forefront of operational excellence, prepared not just to withstand challenges, but to transform them into opportunities for long-term success.

Cet article Resilience by design: strategic imperatives for UK General & Reinsurance Insurers (2025 – 2030) est apparu en premier sur RiskInsight.

The projected impact of agentic AI is significant. By 2028, it could automate 15% of routine[1] decision-making and be embedded in a third of enterprise applications, up from virtually none today. At the same time, perceptions of risk are shifting. In early 2024, Gartner surveyed 345 senior risk executives and identified malicious AI-driven activity and misinformation as the top two emerging threats[2]. Yet despite these concerns, organisations are accelerating adoption. By 2029, agentic AI could autonomously resolve up to 80% of common customer service issues, reducing costs by as much as 30%[3]. This tension, between the growing promise of agentic AI and the expanding risk surface it introduces, raises a critical question:

“How can organisations securely deploy agentic AI at scale, balancing innovation with accountability, and automation with control?”

This article explores that question, outlining key risks, security principles, and practical guidance to help CISOs and technology leaders navigate the next wave of AI adoption.

An AI agent is an autonomous AI system in the decision-making process

In AI systems, agents are designed to process external stimuli and respond through specific actions. The capabilities of these agents can vary significantly, especially depending on whether they are powered by LLMs.

Figure 1: A diagram to show the different constituent parts of an LLM-enabled agent, showing 1) external stimuli, 2) the agents core processes (reasoning and tools) and 3) the agent’s actions

Traditional agents typically follow a rule-based or pre-programmed workflow: they receive input, classify it, and execute a predefined action. In contrast, agentic AI introduces a new dimension by incorporating LLMs to perform reasoning and decision-making between perception and action. This, with only few words to configure it. This enables more flexible, context-aware responses, and in many cases, allows AI agents to behave more like human intermediaries.

As illustrated in Figure 1, the agentic AI workflow unfolds in several stages:

1. Perception: The AI agent receives external stimuli, such as text, images, or sound.
2. Reasoning: These inputs are processed through an orchestration layer, which transforms them into structured formats using classification rules and machine learning techniques.

Here, the LLM plays a central role. It adds a layer of adaptive thinking that enables the agent to analyse context, select tools, query external data sources, and plan multi-step actions.

3. Action: With refined data and a reasoning layer applied, the agent executes complex tasks, often with greater autonomy than traditional systems.

This architecture gives agentic AI the ability to operate across dynamic environments, adapt in real time, and coordinate with other agents or systems, a key differentiator from earlier, more static automation.

In summary, AI agents with LLM capabilities can perform more complex actions by applying “AI reasoning” to transformed and refined data, making them more powerful and versatile than traditional agents.

Field insights on Agentic AI use-cases in client environments

Businesses have rightfully recognised the potential of these AI agents in a variety of use cases, ranging from the simple, to the more complex. We will now take a deeper look at some of the different common use cases across these different levels of agent autonomy.

Basic Use Cases: Chatbot/Virtual Agents

AI agents can be configured to provide instant answers to complex questions and can be designed to only answer from certain information repositories. This allows them to smoothly and effectively guide users through extensive SharePoint libraries or other document repositories. Acting as both a search function and an assistant, these agents can dramatically improve the productivity of employees by reducing the time spent searching for information and ensuring that users have quick access to the data they need. For example, a chatbot integrated into SharePoint can help employees locate specific documents, understand company policies, or even assist with onboarding processes by providing relevant information and resources. These agents have no autonomy, and only directly respond to requests as they are made by users.

Intermediate Use Cases: Routine Task Automation

Agents can be used to streamline repetitive tasks such as managing scheduling, processing customer enquiries, and handling transactions. These agents can be designed to follow specified processes and workflows, offering significant advantages over humans by reducing human error and increasing productivity. For instance, an AI agent can automatically schedule meetings by coordinating with participants’ calendars, send reminders, and process routine customer service requests such as order tracking or account updates. This automation not only saves time but also ensures consistency and accuracy in task execution. Additionally, by handling routine tasks, AI agents free up human employees to focus on more complex and strategic activities, thereby contributing to higher efficiency and productivity within the organisation.

Advanced Use Cases: Complex data analysis & vulnerability management

Agents can also be used for more complex use cases, specifically in a security context. For example, Microsoft has recently announced the release of AI agents as part of their security copilot offering, with previews releasing in April 2025. One particularly interesting use case is regarding vulnerability remediation agents. These agents will work within Microsoft Intune to monitor endpoints for vulnerabilities, assess these vulnerabilities for potential risks and impacts, and then produce a prioritised list of remediation actions. This provides a large increase in productivity for security teams, as they can then focus on the most critical issues and streamline the decision-making process. By automating the identification and prioritisation of vulnerabilities, these agents help ensure that security teams can address the most pressing threats promptly, reducing the risk of security breaches and improving overall security posture.

The promise of intelligent automation and cost efficiency is compelling, but it also introduces a strategic trade-off. CISOs will face the growing challenge of securing increasingly autonomous systems. Without robust guardrails, organisations expose themselves to operational disruption, governance failures, and reputational damage. Transparency, asset visibility, and cloud security are areas which will also require heightened vigilance and a proactive security posture. The benefits are clear, but so are the risks. Without a security-first approach, agentic AI could quickly become a liability for organisations as much as an asset.

Risks mainly known but with increased likelihood and impact

Agentic AI introduces a new level of security complexity. Unlike traditional AI systems, where threat surfaces are generally limited to inputs, model behaviour, outputs, and infrastructure, agentic AI systems operate across dynamic, autonomous chains of interaction. This covers exchanges such as agent-to-agent, agent-to-human, and human-to-agent, many of which are difficult to trace, monitor, or control in real time. As a result, the security perimeter expands beyond static models to encompass unpredictable behaviours and interactions.

Recent work by OWASP on Agents’ security[4] highlights the breadth of threats facing AI systems today. These risks span multiple domains:

• Some are traditional cybersecurity risks (e.g., data extraction, and supply chain attacks),
• Others are general GenAI risks (e.g., hallucinations, model poisonning),
• A third emerging category relates specifically to agents’ autonomy in realising actions in real world.

In addition to traditional risks, agentic AI systems introduce new security threats, such as data exfiltration through agent-driven workflows, unauthorised or unintended code execution, and “agent hijacking,” where agents are manipulated to perform harmful or malicious actions. These risks are amplified by the way many agentic AI applications are built today. Around 90% of current AI agent use cases rely on low-code platforms, prized for their speed and flexibility. However, these platforms often depend heavily on third-party libraries and components, introducing significant supply chain vulnerabilities and further expanding the overall attack surface.

Agentic AI represents a shift from passive prediction to action-oriented intelligence, enabling more advanced automation and interactive workflows. As organisations deploy networks of interacting agents, the systems become more complex, and their exposure to security risks increases. With more interfaces and autonomous exchanges, it becomes essential to establish strong security foundations early. A critical first step is mapping agent activities to maintain transparency, support effective auditing, and enable meaningful oversight.

Security Best Practices

1. Activity Mapping & Security Audits

Since AI agents operate autonomously and interact with other systems, mapping all agent activities, processes, connections, and data flows is crucial. This visibility enables the detection of anomalies and ensures alignment with security policies.

Regular audits are vital for identifying vulnerabilities, ensuring compliance, and preventing shadow AI where agents act without oversight. Unauthorised agents can expose systems to significant risks, and shadow AI, especially unsanctioned models, pose major data security threats. Auditing decision-making processes, data access, and agent interactions, along with maintaining an immutable audit trail, supports overall accountability and traceability.

To mitigate these risks, organisations should adopt clear governance policies, comprehensive training, and effective detection strategies. These practices should be backed by a strong library of AI controls and data governance policies. However, audits and governance alone aren’t enough. Robust access controls for AI agents are necessary to restrict actions and protect the system’s integrity.

      2. AI Filtering

To avoid the agent performing inappropriate actions, the first step is to ensure that its decision-making system is protected. One of the most efficient ways is by filtering potentially malicious inputs and outputs of the Decision-Maker, often composed of an orchestrator & an LLM.

Several technical ways to perform AI filtering:

Keyword filtering – Medium-Low Efficiency: Prevent the LLM from considering any input containing specified keywords and from generating any output containing these keywords.

• Pro: Quick win, particularly on the outputs, for example preventing a chatbot from generating any rude words.
• Con: Can easily be bypassed by using obfuscated inputs or requiring obfuscated outputs. For example, “p@ssword” or “p,a,s,s,w,o,r,d” can be ways to bypass the keyword “password”

LLM as-a-judge – High Efficiency: Ask to the LLM to analyse both inputs & outputs and identify if they are malicious.

• Pro: Extend the analysis to the whole answer.
• Con: Can be bypassed by overflowing the agent’s inputs, so it has trouble dealing with the whole input.

AI Classification – Very-High Efficiency: Define categories of topic that the LLM can answer or not. It can be done through whitelisting (the LLM can answer to only some categories of topics) and blacklisting (the LLM cannot answer to some precise categories of topics). Use a specialised AI system to analyse each input and output.

• Pro: Ensure the agent’s alignment by not letting it receive inputs on topics it should not be able to answer.
• Con: High cost, as it requires additional LLM analysis.

These filtering actions need to be performed for the users’ inputs, but sometimes also for the data retrieved from external sources (they can be poisoned).

      3. AI-specific Security Measures

Human-in-the-loop (HITL) oversight is essential for ensuring the responsible and secure operation of agentic AI. While AI agents can autonomously perform tasks, human review in high-risk or ethically sensitive situations provides an extra layer of judgment and accountability. This oversight helps prevent errors, biases, and unintended consequences, while allowing organisations to intervene when AI actions deviate from guidelines or ethical standards. HITL also fosters trust in AI systems and ensures alignment with business objectives and regulatory requirements. To maximise the benefits of automation, a hybrid AI-human approach is critical, supported by ongoing training to address compliance and inherent risks.

Some actions may be strictly forbidden to the agent, some should require human validation, and some could be done without human supervision. These actions should be determined through classical risk analysis, based on the agent’s impact & autonomy.

Triggers should be set-up to determine if and when human validation is needed. This can be set-up in the LLM Master Prompt, and access can be restricted by using an appropriate IAM model.

      4. Access Controls & IAM

As AI agents take on more active roles in enterprise workflows, they must be managed as non-human identities (NHIs), with their own identity lifecycle, access permissions, and governance policies. Accordingly, this requires integrating agents into existing identity and IAM frameworks, applying the same rigor used for human users.

Managing AI agents introduces new requirements. When acting on behalf of end-users, agents must be constrained to operate strictly within the permissions of those users, without exceeding or retaining elevated privileges. To achieve this, organisations should enforce key IAM principles:

• Just Enough Access (JEA): Limit agents to the minimum set of permissions required to complete specific tasks.
• Just in Time (JIT) access: Provision access temporarily and contextually to reduce standing privileges and exposure.
• Segregation of duties and scoped credentials: Define clear boundaries between roles and prevent unauthorised privilege escalation.

In addition, to further enhance control, security teams should implement real-time anomaly detection to monitor agent behaviour, flag policy violations, and automatically remediate or escalate issues when necessary.

Access to sensitive data must also be tightly restricted. Violations should trigger immediate revocation of privileges and deny lists should be used to block known malicious patterns or endpoints.

Ultimately, while technical controls are essential, they should be supported by human oversight and governance mechanisms, particularly when agents operate in high-impact or sensitive contexts. IAM for agentic AI must evolve in step with these systems’ increasing autonomy and integration into critical business functions.

      5. AI Crisis Response & Red teaming

While AI-specific controls are essential, traditional measures like crisis management must also extend into the AI landscape. As cyberattacks become more sophisticated, organisations should consider crisis management strategies for potential AI failures or compromises; by ensuring all teams such as AI scientists, operational teams, and security teams are equipped to respond quickly and effectively to minimise disruption.

Concrete guidelines for CISOs

This year CISOs will be exposed to increased threats introduced by agentic AI alongside ongoing regulatory pressure from complex regulations such as DORA, NIS 2 and the AI Act. Both CISOs and CTOs will collaborate closely, with CISOs overseeing the secure deployment of AI systems to ensure that agent interactions are carefully mapped and secured to safeguard the security of their organisations, workforce and customers.

Key starting points for CISOs:

• Limit access to AI agents by enforcing strong access controls and aligning with existing IAM policies.
• Monitor agent behaviour by tracking activity and conducting regular audits to identify vulnerabilities.
• Filter the agent’s inputs and outputs to ensure that the decision-maker does not launch any unwilled action.
• Implement Human-in-the-Loop oversight to validate AI outputs for critical decisions/tasks.
• Provide agentic AI awareness training to educate employees on the risks, security best practices and identifying potential attacks.
• Perform AI red teaming on the agent, to identify potential weaknesses.
• Despite all security measures, AI operates on probabilistic principles rather than deterministic ones. This means that the agent might occasionally behave inappropriately. Therefore, it’s crucial to establish clear accountability for any wrongful actions taken by AI agents.
• Prepare for AI crises early by initiating discussions with relevant teams to ensure a coordinated response if an incident occurs.

Over the past several years, Wavestone has observed a marked increase in client maturity around AI security. Many organisations have already implemented robust processes to assess the sensitivity of AI initiatives and to manage associated risks. These early efforts have proven valuable in reducing exposure and strengthening governance.

While agentic AI does not fundamentally rewrite the AI security playbook, it does introduce a meaningful shift in the risk landscape. Its inherently autonomous, interconnected nature increases both the impact and likelihood of certain threats. The complexity of these systems can be challenging at first, but they are manageable. With a clear understanding of these dynamics and the emergence of new market standards and security protocols, agentic AI can deliver on its transformative potential.

As this transition unfolds, we remain committed to helping CISOs and their teams navigate the evolving risk environment with confidence.

References

[1] Orlando, Fla., Gartner Identifies the Top 10 Strategic Technology Trends for 2025, October 21, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-10-21-gartner-identifies-the-top-10-strategic-technology-trends-for-2025

[2] Stamford, Conn., Gartner Predicts Agentic AI Will Autonomously Resolve 80% of Common Customer Service Issues Without Human Intervention by 2029, March 5, 2025. https://www.gartner.com/en/newsroom/press-releases/2025-03-05-gartner-predicts-agentic-ai-will-autonomously-resolve-80-percent-of-common-customer-service-issues-without-human-intervention-by-20290

[3] Stamford, Conn. Gartner Survey Shows AI-Enhanced Malicious Attacks Are a New Top Emerging Risk for Enterprises, May 22, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-05-22-gartner-survey-shows-ai-enhanced-malicious-attacks-are-new0

[4] OWASP, OWASP Top 10 threats and mitigation for AI Agents, 2025. OWASP-Agentic-AI/README.md at main · precize/OWASP-Agentic-AI · GitHub

Thank you to Leina HATCH for her valuable assistance in writing this article.

Cet article Agentic AI: typology of risks and security measures est apparu en premier sur RiskInsight.

The growing excitement about the advent of quantum computers is justified for a subject that is no longer science fiction but involves a new kind of threat.

Indeed, according to the predictions of numerous experts such as the Global Risk Institute, quantum computers should soon be capable of solving the mathematical problems underlying current cryptographic standards – which would consequently render obsolete the traditional systems protecting our communications, our finances and our critical infrastructures. 

For businesses, the urgent question is no longer whether this threat will become a reality, but when. How can we anticipate the operational and structural impact of this technological upheaval, while at the same time responding to the growing number of regulatory recommendations on the subject? What tools should be adopted to guarantee the confidentiality and integrity of data in the near future? It’s a major challenge, but solutions are being studied, such as post-quantum cryptography (PQC), which is already being widely adopted by the international community.

The quantum threat

Today, the security of information systems relies mainly on symmetric and asymmetric (or public key) cryptography and hash functions. These categories are represented by algorithms that are widely used today, in particular AES, RSA, ECC and SHA for hash functions. Massively adopted by the global community and natively integrated into many modern devices, these algorithms have proved their worth for decades in ensuring the confidentiality, authenticity and integrity of data exchanges.

The mathematical problems on which these standards are based are sufficiently complex to ensure that even today’s best supercomputers have no brute-force capability.   

The quantum computer is reshuffling the deck.

These machines are based on physical principles that are fundamentally different from today’s classical computers. Thanks to the phenomena of superposition and entanglement, a quantum processor can process different physical states simultaneously. What is often described as ‘quantum parallelism’ does not correspond to simple classical parallel computing (where several cores execute identical tasks), but to the ability to explore multiple execution paths simultaneously. For some algorithms, this approach can considerably reduce the search space and speed up processing.

A key question then arises: are there already algorithms capable of exploiting these quantum properties, and thus of overcoming current encryption standards?

In 1994, P. Shor, followed by L. Grover in 1996, introduced algorithms incorporating quantum computation processes to solve certain complex mathematical problems. The first allowed large numbers to be factored exponentially faster than a conventional algorithm, while the second optimised the search for an element in unordered sets. Until now, the characteristics of classical computers have made these algorithms impractical, but the emergence of quantum computers will radically change the situation, making them usable.

Indeed, the best supercomputer would take 1.02 x 10¹⁸ years (one trillion years) to break AES-128 by brute force and 10¹⁰ years (10 billion years) for RSA-2048 using today’s best methods. By comparison, a quantum computer running Grover’s algorithm could break AES-128 in 600 years, while Shor’s algorithm would overcome RSA-2048 in just 8 hours with a machine of 20 million qubits.

Faced with this threat, AES and symmetric cryptography, as well as SHA-256 and hash functions, remain viable by doubling the size of the keys used, but asymmetric cryptography needs to be rethought. With this in mind, post-quantum cryptography is emerging as the most promising solution.

What is post-quantum cryptography?

According to the ANSSI, ‘post-quantum cryptography (PQC) is a set of classical cryptographic algorithms including key establishment and digital signatures, which provide conjectured security against the quantum threat in addition to their classical security’.

This therefore refers to all the new asymmetric encryption algorithms capable of guaranteeing security against both traditional attacks and the new quantum attacks. The difference with those we use today lies essentially in the mathematical problems underlying the algorithms, chosen to remain complex to solve, even for a quantum computer.

Why is this solution considered the most promising?

PQC is not the only response being considered to the quantum threat, but it is widely regarded as the most viable solution by the international community. Several factors explain this interest, including

– Continuity with current systems, facilitating its adoption and gradual integration into conventional infrastructures.

– Advanced maturity, with standards already established and supported by the main cybersecurity authorities.

Continuity with current systems

How does this classical type of cryptography protect encrypted data against quantum attacks?

PQC does not imply a paradigm shift in our approach to securing infrastructures. As mentioned earlier, PQC is part of the family of asymmetric cryptography and therefore retains the same operation and objective as current public key algorithms. Its resistance to quantum attacks is ensured by the nature of the underlying mathematical problems, which are different from those used in conventional asymmetric cryptography. This structural difference also means that cryptography can be integrated more seamlessly into today’s digital infrastructures, ensuring a gradual transition to a future in which PQC completely and effectively supplants modern encryption standards.

Advanced maturity

The second major advantage of the PQC is its maturity compared with the other options considered. This year saw the publication of PQC standards by the US National Institute of Standards and Technology (NIST) in August 2024.

This process began in 2017 with 69 initial candidates, 4 of whom were selected to become the new PQC standards. None of the other solutions put forward to counter the coming threat, including quantum cryptography (based on the use of quantum properties as opposed to PQC, which can be implemented on conventional computers), have been the subject of a standardisation process.

Furthermore, national cybersecurity bodies such as ANSSI (France), BSI (Germany), NLNCSA (Netherlands), SFA (Sweden), NCSC (UK), NSA (USA), etc. all agree that CQP is the best way to protect against the quantum threat, and that the priority for businesses should be to migrate to CQP systems.

When and how can this technology be implemented?

The predictions of research bodies on the advent of the quantum threat are still fairly disparate, but all agree that quantum computers capable of executing the algorithms responsible for the future obsolescence of current cryptographic standards, known as Cryptographically Relevant Quantum Computer (CRQC), will render RSA-2048 obsolete, in particular, within the next 15 years. It is difficult to predict exactly when the quantum computer will be ready and will achieve sufficient performance for concrete use cases but cross-referencing the recommendations of organisations such as the NSA with the predictions of experts on the subject means that we can estimate the emergence of the first CRQCs between 2033 and 2037.

Harvest now, decrypt later

However, we do not have 10 years to arm ourselves against this threat. Data in transit today remains exposed to ‘harvest now, decrypt later’ attacks. These are attacks based on the interception and long-term storage of encrypted data, pending technological breakthroughs in decryption that will make it readable in the future.

The data targeted by this type of attack is mainly data in transit, as it is during transport that protocols such as TLS use asymmetric key pairs. It is at this point that the data is ‘quantum vulnerable’ and therefore interesting to intercept and store to decrypt it later. Data at rest, on the other hand, is generally encrypted using symmetrical algorithms, and requires to be exfiltrated to be captured, so it is not the target of these attacks.

The main risk of these attacks remains the violation of long-term data confidentiality. Depending on the sector, particularly financial or industrial, data can remain sensitive for long periods, so access to this information can have multiple serious consequences. It is reasonable to assume that attackers could currently recover a considerable quantity of encrypted data to decrypt it later. It is therefore imperative to start migrating to cryptographic systems that are resistant to quantum algorithms today.

Recommendations from organisations on preparation

CISA, the NSA and the American NIST, to name but a few, are urging companies to get ready now by drawing up a quantum roadmap, led by a dedicated project team, whose aim would be to plan and supervise the organisation’s migration to PQC.

The project framework will need to focus on 3 main areas:

1. Cryptographic inventory: the aim is to understand the organisation’s exposure to vulnerable cryptographic mechanisms. This involves identifying the technologies used in systems, network protocols, applications and programming libraries.
2. Risk analysis: this aims to prioritise the assets and processes to be secured first. The aim is to assess the criticality of the data being protected, and also to anticipate the length of time it will need to be protected. This analysis is based on the cryptographic inventory carried out upstream and enables efforts to be targeted where the impact of a quantum attack would be most critical.
3. Supplier responsibility: the transition to post-quantum cryptography also involves working closely with technology partners. Companies need to ensure that the solutions they use are crypto-agile: can current products be upgraded to systems that are resistant to the quantum threat, or will they need to be replaced to avoid obsolescence?

The migration strategy we recommend at Wavestone takes the main steps outlined by CISA, NSA and NIST, and adapts them to the operational realities of each company:

1. Strategic phase:
   • Understanding and raising awareness: Firstly, this involves training and informing all those involved (management, business teams, technical teams) about the impact of the quantum threat, the issues involved in post-quantum cryptography, and the main regulatory guidelines.
   • Risk assessment and initial inventory: Mapping of cryptographic uses (protocols, libraries, applications, etc.) and identification of sensitive data that must remain confidential over a long period. It is also at this stage that the company’s maturity is assessed and the most critical projects prioritised.
   • Framing the programme: On the basis of the risks identified, the overall roadmap (objectives, budget, organisation) is defined. A dedicated team – or ‘centre of excellence’ – is set up to steer the transition, coordinate the various projects and define the success indicators.

2. Quick wins
   • Before embarking on a more extensive transformation phase, we recommend the rapid launch of low-investment initiatives, such as including post-quantum clauses in contracts (with suppliers and partners). The aim is to obtain tangible returns, raise stakeholder awareness and create a positive momentum around the project.

3. Transition programme

• • Test of an initial use case: Selection of a representative use case to deploy the first post-quantum cryptographic algorithms or mechanisms under real conditions.
  • Detailed inventory (second iteration): We then need to refine the mapping of cryptographic components (PKI, key management, network protocols, encryption libraries, etc.) in order to plan the migration precisely.
  • Modernising ‘digital trust’: This involves updating infrastructures (PKI, certificate management, key rotation policies, etc.) and implementing procedures to accommodate new algorithms.
  • Migration and monitoring: Progressive deployment of post-quantum algorithms on critical systems, while maintaining service continuity. This phase is accompanied by controls, performance tests and security checks. Eventually, the entire IS is covered, guaranteeing continuity and regulatory compliance.

This roadmap, which is both pragmatic and in line with the recommendations of the relevant bodies, guarantees a controlled transition to post-quantum cryptography.

Hybridization mentioned in Europe as an important step in the transition

In a joint publication with its European counterparts BSI, NLNCSA, SNCSA and SFA, ANSSI also recommends that preparations for this transition should begin as soon as possible. Although the new PQC standards, including algorithms, implementation instructions and their use, were published by the NIST in August 2024, these bodies are not encouraging the immediate integration of these algorithms into companies’ cryptographic systems. The ANSSI has even announced that it ‘does not approve any direct replacement in the short or medium term’. The reason for this is ‘a lack of cryptanalytical hindsight on several security aspects’; despite its completed standardisation process, PQC is not yet considered mature enough to guarantee security on its own:

– Several algorithms that were finalists (and therefore considered promising) in the NIST standardisation process have been the subject of classic attacks that have been successful. The SIKE algorithm was defeated in 10 minutes, and Rainbow in a weekend.

– Dimensioning, integration of algorithms into communication protocols and the design of secure implementations are other aspects on which progress needs to be made, according to the ANSSI.

Consequently, unlike NIST, ANSSI and BSI, among others, recommend that organisations adopt hybrid systems. This concept consists of ‘combining post-quantum asymmetric algorithms with well-known and well-studied pre-quantum asymmetric cryptography’ (ANSSI). In this way, we can benefit from the effectiveness of current standards against classical attacks, and from the predicted resistance of PQC against quantum attacks.

Hybridization is possible for key encapsulation mechanisms and digital signatures. Each classical operation is replaced either by:

– successive execution

– parallel execution of the 2 algorithms, pre-quantum and quantum.

The second option can be implemented to reduce the loss of system performance. These hybrid schemes also require the players involved to support both types of algorithms.

This is a scheme where ‘the additional performance cost of a hybrid scheme remains low compared with the cost of the post-quantum scheme’. ANSSI believes that ‘this is a reasonable price to pay to guarantee pre-quantum security that is at least equivalent to that provided by current standardised pre-quantum algorithms’.

On the other side of the Atlantic, we are much more nuanced than our European counterparts on this issue. Although the benefits of hybridisation are recognised by the UK and US cybersecurity authorities, the NCSC and NIST insist on the temporary nature of this solution and do not impose hybridisation as a mandatory step before migrating completely to PQC. The NSA explicitly states that it has confidence in PQC standards and does not require the use of hybridisation models in national security systems. In summary, the decision to use these models must be taken taking into account:

– technical implementation constraints

– the increased complexity (two algorithms instead of one),

– the additional cost,

– the need to transition a second time in the future to a total PQC system, which can be a complex exercise in crypto-agility – i.e. the ability to modify one’s cryptographic infrastructure rapidly and without major upheaval in response to changing threats – for some companies.

Regulatory aspects

There are currently no European regulations setting out explicit requirements for post-quantum cryptography. However, some of the various texts on data encryption (NIS2, DORA, HDS, etc.) explicitly require state-of-the-art encryption to be applied.  In particular, DORA requires the constant updating of the cryptographic means used in relation to developments in cryptanalysis techniques. It is therefore possible to consider this as a first step in guiding organisations towards the concept of crypto-agility.

Despite the current lack of requirements, ANSSI is planning a post-quantum transition plan in 3 phases:

1. Phase 1 (in progress)

Effective post-quantum security through hybridisation remains optional and is considered by the agency to be defence in depth. The security approvals issued by ANSSI remain unchanged and only guarantee pre-quantum security.

2. Phase 2 (after 2025)

Quantum resistance becomes a security property. Post-quantum security criteria for PQC algorithms will have been defined by ANSSI and will be taken into account when issuing security visas.

3. Phase 3 (after 2030)

It is estimated that the post-quantum security assurance level will be equivalent to the current pre-quantum level. Hybridization will therefore become optional; security visas may be issued for companies using post-quantum schemes without hybridization.

In addition, depending on the context, ANSSI may decide to grant security visas only for long-term post-quantum security.

In the USA, NIST’s post-quantum transition plan is not definitive, but the obsolescence of RSA and ECC is already projected for 2030, followed by a total implementation ban in 2035; hence the announced target – aligned with the NSA – for completion of the migration to PQC in all federal systems in the same year. Depending on the requirements of different sectors, it may be necessary to make the transition more quickly, depending on the associated levels of risk.

Although 2035 seems a long way off, the full migration to post-quantum cryptography is a long process, and the initial phases of cryptographic inventory, data classification and risk analysis, in particular, require considerable time. It is therefore essential to start today to plan for a successful transition.

The advent of quantum computers is therefore no longer a distant hypothesis, but a certainty that will redefine the foundations of cybersecurity. While the precise timing (2033-2037) remains uncertain, the regulatory pressure from cybersecurity institutions is becoming clearer, and the impact on data confidentiality and integrity is unavoidable. Every day that goes by without adaptation increases the vulnerability of companies to future attacks.

And yet, solutions already exist: post-quantum cryptography, although not yet fully mature – especially when it comes to implementation – offers a promising response to this threat. Standardised and supported by the major international bodies, it represents the first step towards sustainable security in the quantum era.

However, adopting this technology is not simply a matter of technical deployment. It is a strategic transition, an exercise in crypto-agility, and an opportunity for businesses to assert their resilience in the face of technological upheaval.

The question is no longer whether your organisation will be ready when the first quantum computer capable of breaking RSA-2048 sees the light of day. The question is whether it will have anticipated this future, by arming itself now with the tools and plans needed to turn this constraint into a competitive advantage. The future of security starts today.

Contact us

Cet article Quantum computing and post-quantum cryptography: what strategy should companies adopt to deal with these issues? est apparu en premier sur RiskInsight.

Cybersecurity awareness is a journey to embed secure behaviours in people’s daily lives

To do so, you need to build a strong cyberawareness program, focus on your key cybersecurity themes, that engages your people and respects their uniqueness, with practical positive actions and diverse activities. In other words, a program that meets your ambitions and aims:

• An effective behavioural change
• The development of a security culture in your organization

We developed our TAMAM framework to formalize our strong beliefs about how best to build a cyberawareness framework.

TARGET: set concrete and measurable objectives

AUDIENCE: adapt the approach according to the people concerned

MESSAGE: choose a concise, positive message that calls for action

ACTIONS: set up effective, concrete and various actions

MEASURES: evaluate the program’s impact on behaviour

This article explains the principles, the stakes and the role that TAMAM has to play to support you!

But first, let’s put some contextual elements about cybersecurity awareness…

Why do they keep clicking on these phishing emails?!

• Our journey doing cybersecurity awareness started more than 15 years ago. And things looked quite different back then. It was the time of the new awareness programs, led by newly appointed cybersecurity managers, with little means and yet a key objective to tell people what they must do to protect the information systems. Nothing more, nothing less. It was the time of the Top 10 best practices; the Do’s and Don’ts; the mass training sessions; etc.

• Once said, these messages were considered to be common knowledge and applied by everyone; and just like that awareness was deprioritized and no longer a priority for the cybersecurity managers. It was the rough time of insufficiency and budget cuts.

• Then came the rising number of cyberattacks and the GDPR. With new risks came new appetite for awareness and education of users. Cybersecurity awareness was back in the agenda, yet with variable means and interests. Over the years it remained part of the cybersecurity topics but with great variability between the organizations when it came to effectiveness and efficiency.

• And here we are now: at the beginning of the year 2023 and the same questions remain: “I’ve tried everything but there are still some people who do not perceive the risks– what can I do?”; “I need to keep my people interested in the topic, what new things can you propose?”. Basically, what we notice is simply a lack of consideration of the effectiveness of the program: they seemed to be reaching a glass ceiling. Efforts were put, investments were made, but little change happened. That triggered our attention and led us to discussions and research until we finally came to the evidence: efforts and investment are vain if they don’t aim at effectively changing behaviours and ultimately establishing a culture of cybersecurity. But how do you do that? That’s the focus of this article.

Are you getting everyone on board with cybersecurity?

Based on these observations of the past years of cyberawareness, we developed a framework to build an effective cybersecurity awareness program. We wanted this model to be customizable so that it could be applied to every organization regardless of its size, maturity, budget, or current culture. Not a one-size-fits-all, but a backbone to be adapted to every organization.

Target

Just like with everything, you have to start with the “why”. This serves to define the objectives: a target to reach, a vision of where to go and a path to reach that place.

These objectives must be targeted to your priority battles, i.e., what change you want to see in your organization, precise behaviours that you expect from your people. They do not just represent good intentions – like “raising awareness among my employees” – but precise behaviours that you want to see every day. For instance, if phishing is one of your primary concerns, and it sure is: “How to educate my employees to report phishing attempts and incidents?”. Like this you see your target and the way to reach it.

Precise objectives also enable measurable results. When you define them, you also define the KPIs and metrics that you will use to assess their success. As a rule of thumb: if you are unable to find a measure for your objective, that means it’s more illusional than achievable.

Finally, you share these with your employees. Isn’t it plain fairness that to tell your people from the beginning what you expect from them? This way, you make them actively engaged in the change of behaviour that you expect from them. By giving them the rules of the game, you enable them to play by these rules and to win the game with you, because cybersecurity is a collective win.

This first step is largely overviewed, and few are the organizations that take the necessary time to reflect on their true target when it comes to cyberawareness. However, it is the essential starting point of our journey. Just like with any journey: we can only reach a friend’s house if know their address.

Audience

And who do you want to reach exactly? That is your audience, your population, your people that need awareness, training, and education. A clear identification of these specific audiences will help you define an approach that is meant to reach them. To know these needs you will need to start by differentiating people in clusters – mostly based on their positions in the organization, their closeness to the topic, their expositions to the risks you want to prevent, their role figures, etc. These clusters can gather newcomers, external staff, local ambassadors, IT staff, etc.

For each of these populations, you will want to assess their current level of mastery of the different targets defined. That is basically performing a skills gap to know what topics requires more attention for each population. This information will be essential to customize the program to the needs of these populations (because you understand what they do in life) and their current level of mastery (which you have assessed precisely).

Message

Off we go now with the messages you want to communicate to these people to reach these objectives; the moment where you find this catchy phrase that will be repeated oftentimes. The people with whom you will be communicating also receive numerous other communications for numerous other causes (name it: CSR, compliance, values, etc.). Hence the importance to select your messages wisely and to stay concise. The time and attention available are limited, this is why you will prefer to select a few messages that address key risks and meaningful objectives.

Eventually, the tone used to communicate these messages is crucial as it must be adapted to the organizational culture: funny messages work in some environment while serious ones work better in others. Regardless of the tone used, the messages will need to be positive and call for action. Drop out the negative injunctions (“don’t”) and embrace the positive actions (“act”).

With these first three steps in mind (Target, Audience and Message), you build up the framing of your cyberawareness program: you know what you want to tell, to whom, in order to reach the expected behaviours.

Actions

Now that you have tailored your messages for your specific audiences to reach the defined objectives, time has come to identify the actions that you will implement in this framing. Although you now open the catalogue of action, you must be focus and pragmatic. The principle when doing so is to think of the effectiveness of the chosen action in your journey to reach your objectives. Creativity and innovation are surely important to keep people motivated but is not the sole success factor. You want to make cybersecurity practical for people, to bring the topic closer to their life and to involve them in their learning (e.g., practical activities, application of the behaviour expected, etc.) on top of a more theoretical top-down approach.

The way you implement these activities is also an essential success factor, with the right resources, people and planning to enforce the selected messages:

• Who is the bearer of these messages? Internal or external?
• How to repeat them in different ways (as different people will respond to different stimuli that can be practical, visual, spoken, etc.)
• From what angles and with what activities should these issues be addressed in order to raise awareness among employees in the most appropriate way?

With few selected messages, you build different activities, at different moments, with different approaches, to embed these behaviours in your audiences’ daily lives.

Measures

Finally, this whole program needs to be evaluated in order to say if it actually allows to change behaviours – for the management that will ask to see the value delivered for its investment, or for the awareness team that will want to show tangible results from its efforts.

In your quest to raise awareness, you must focus on the effectiveness of what you implement, beyond the implementation itself. All too frequently, organizations focus on numbers of activities or people addressed. But these figures seldom provide a real understanding of the change of behaviours happening.

When building your evaluation plan, you need to include quantitative measures and qualitative feedback to obtain a comprehensive understanding of the achievement of your objectives. Perhaps this will require new ways to gather this information – like getting the helpdesk involved, or even obtaining fresh data from the SOC – but the outcome will bring terrific value to your program as it will allow you to review it and keep it continuously adapted to your objectives; which can also be subject to adaptations if the organizational context changes.

Oh, and don’t forget one last thing if you want to create a positive trend in awareness: communicate your achievements and celebrate the victories with everyone. You deserve it.

Take the first letter of these 5 principles and you obtain TAMAM. It is no coincidence if the world translates into “all right” in Turkish; this is what you want from your people: an adherence to your objectives and an agreement to onboard your journey to more secure behaviours.

Where to start?

Now that you have a better understanding of the iterative journey to build a strong awareness program, you must find yourself in the middle on a strong questioning: where do I stand in that and how do I lean more towards what you’ve just said?

A first action to take is probably to take a step back to look at your current maturity level in cyberawareness. You will need to have a clear and honest understanding of how your organization addresses this topic in order to define a path towards a greater maturity.

The power of TAMAM resides notably in its ability to be used regardless of your maturity level, because its principles are adaptable and true to different situations.

Do you TAMAM?

When you TAMAM, you:

• Visualize a clear and precise target – behaviours – that you want to reach
• Tailor your approach around the need of your specific clusters of people
• Define the few messages you want communicate to your audience on these objectives
• Select the best manner to communicate your messages with activities that focus on effectiveness
• Monitor and assess this effectiveness to adapt your approach and finetune your whole program

This article is only a glimpse of what TAMAM can bring to your cyberawareness program. Contact us for a full understanding of how our framework can help you step up your awareness!

Contact us

Cet article Are you ready to TAMAM your cybersecurity awareness? est apparu en premier sur RiskInsight.

The Cybersecurity Maturity Model Certification (CMMC) is a comprehensive framework designed to protect Federal Contract Information (FCI) and Controlled Unclassified Information (CUI), shared with contractors and subcontractors of the Department of Defense (DoD) through acquisition programs, as defined by Executive Order 13556.

The CMMC 2.0 Proposed Rule, published on December 26, 2023, represents the latest evolution of the CMMC cybersecurity model.

On June 27, 2024, after adjudicating nearly 2,000 comments, following a 60-day open-comment period, the DoD submitted a draft of the CMMC 2.0 Final Rule (32 CFR) to the Office of Information and Regulatory Affairs (OIRA) at the White House.

The summited draft represents the final step before the CMMC 2.0 rule is published in the Federal Register. As the final draft has been submitted the focus now shifts to the timeline for when the CMMC 2.0 regulation will take effect and be enforced.

Before addressing this shift in focus, it is essential to understand that the security requirements, upon which CMMC 2.0 Level 2 is founded (NIST SP 800-171), have been mandatory for DoD contractors handling sensitive information since December 2017, when the DFARS clause 252.204-7012 was included in DoD contracts. However, during this period, compliance mostly relied on self-attestation without a robust enforcement mechanism, leaving the DoD unable to verify adherence. As a result, many contractors neglected to fully implement the required controls.

To address this issue, the DoD launched the CMMC program, which essentially serves as the mechanism through which the DoD will verify compliance with the requirements outlined in DFARS clause 252.204-7012 (NIST SP 800-171), mandated in contracts since 2017.

As the DoD puts it: “A key difference between the DFARS 252.204-7012 and CMMC Level 2 requirements is that compliance with NIST SP 800-171 under DFARS 252.204-7012 has not been consistently verified. Under CMMC, compliance will be checked by independent third-party assessors certified by DoD.“

The significant change introduced by CMMC, requires contractors to obtain certification through assessments conducted by a CMMC Third Party Assessment Organization (C3PAO) to demonstrate compliance to retain and secure DoD contracts.

CMMC Rulemaking Timeline

The CMMC rulemaking timeline is summarized below based on publicly available information as of July 17, 2024.

As with all federal regulations, CMMC requires a legal basis for implementation. Therefore, to determine when the CMMC 2.0 regulation will come into effect, we need to understand the rulemaking process behind CMMC 2.0, involving two rules from the Code of Federal Regulations: 32 CFR and 48 CFR.

For the CMMC 2.0 regulation to come fully into effect, two things need to happen.

1. The 32 CFR CMMC Final Rule has to come into effect. This rule outlines and codifies the CMMC program and will allow CMMC third-party assessments to begin, known as the “market rollout“.

The 32 CFR CMMC Final Rule is estimated to be published no later than October 26, 2024, after OIRA’s review of up to 120 days, and will come into effect approximately 60 days later, in late Q3 or early Q4 2024.

2. 48 CFR CMMC Final Rule must come into effect. This rule revises the DFARS clause 252.204-7021 to point to the CMMC program (32 CFR) and will introduce CMMC compliance as a contractual clause gradually over 3 years, known as the “phased rollout“.

The 48 CFR Proposed Rule was submitted to OIRA in May 2024. After a 90 to 120-day regulatory review and an initial 60-day public comment period, the Proposed Rule will undergo another 60-day public comment period, followed by a Final Rule review and adjudication process, estimated to take 150 to 280 business days. The 48 CFR Final Rule is expected to come into effect around Q3 or Q4 2025 but could be sooner, as it revises an existing, small clause (DFARS clause 252.204-7021).

The 32 CFR is the Starting Gun for the CMMC Race

While the effective date of the 48 CFR Final Rule (expected in Q3 or Q4 2025) will determine when the CMMC 2.0 regulation is mandatorily included in contracts, known as the “phase-rollout,” it’s a significant misconception that the pivotal milestone for the start of the CMMC race is the effective date of the 48 CFR.

Indeed, the kickoff for the CMMC race will be determined by the effective date of the 32 CFR Final Rule (expected late Q3 or early Q4 2024), not the 48 CFR Final Rule.

The 32 CFR Final Rule will trigger the “market rollout“, which will allow CMMC assessments to begin. Once these assessments are available, prime contractors (e.g., Lockheed Martin, Boeing, Raytheon) will likely require subcontractors to obtain CMMC certification as soon as possible, well before DoD does through the “phased rollout“, to maintain their competitive edge and mitigate the risk of non-certified suppliers jeopardizing their own certification status.

Midnight Rulemaking and CMMC 2.0

In the past 6 months, there has been a notable acceleration in the CMMC rulemaking process. This is evident in several key milestones, including the publication of the 32 CFR Proposed Rule in December 2023, the submission of a 48 CFR Proposed Rule to OIRA in May 2024, and most recently, the submission of the 32 CFR Final Rule to OIRA in June 2024. This phenomenon is often referred to as “Midnight Rulemaking“, which describes the rush to finalize regulations in the final months before a presidential administration concludes.

Thus, if we anticipate the 32 CFR Final Rule to be finalized and effective in late Q3 or early Q4 2024, given the Department of Defense’s strong motivation to complete the CMMC regulations before the U.S. 2024 elections, there is a very strong possibility it will become effective before November 5, 2024.

Don’t Wait for the Starting Gun to Begin the CMMC Compliance Journey

The DoD anticipates that it will take two years for companies with existing contracts to become CMMC certified, assuming they have already implemented the NIST SP 800-171 Rev. 2 requirements as per DFARS clause 252.204-7012. This extended timeline is due to several factors:

1. Once 32 CFR becomes effective, CMMC third-party assessments for CMMC Level 2 will commence, requiring organizations to achieve 100% self-attestation readiness before undergoing assessment. This preparatory phase demands significant time and effort.
2. On average, organizations spend between 12 to 18 months preparing for a CMMC Level 2 assessment.
3. Due to a shortage of CMMC assessors, organizations may expect to wait approximately 9 to 15 months (3 to 5 quarters) for a CMMC assessment.

Therefore, to stay prepared for future DoD contract opportunities and maintain a competitive edge, it is recommended that organizations begin their CMMC compliance process today.

Feel free to reach out to discuss your CMMC journey with us and explore how #Wavestone can assist you in navigating the intricate landscape of CMMC 2.0 compliance, supporting your path to certification, and enhancing your cybersecurity readiness into a strategic advantage.

Our CMMC 2.0 Compliance Services:

1. CUI Identification:
   • We assist in identifying Controlled Unclassified Information (CUI) within your organization to ensure compliance with CMMC requirements.
2. CMMC Assessment Scope Identification:
   • We help define and minimize your CMMC Assessment Scope to stay cost-effective and pragmatic. By clearly identifying the scope, we ensure that all necessary systems and processes are included while avoiding unnecessary complexity and costs.
3. CMMC Readiness Assessments:
   • Our experts conduct CMMC Level 1 and 2 readiness assessments, evaluating your current state against the respective assessment objectives (e.g., NIST SP 800-171A) to provide you with actionable recommendations.
4. CMMC Compliance Roadmap Definition:
   • We work with you to define a clear roadmap to achieve CMMC compliance, tailored to your needs, whether for CMMC clusters or all-in scenarios.
5. CMMC Implementation Support:
   • We offer comprehensive guidance and support throughout the implementation phase, helping you effectively integrate the required controls and reach CMMC 2.0 compliance.

Cet article Timeline Update: CMMC 2.0 and the Phenomenon of Midnight Rulemaking est apparu en premier sur RiskInsight.

These incidents, commonly referred to as “supply-chain attacks”, involve targeting an organization’s downstream third parties (e.g., partners, vendors) to gain access to valuable systems. In the Bank of America case, the compromised third party responsible for this breach, was Infosys McCamish Systems (IMS), an insurance process management services provider.

This breach resonates with the infamous SolarWinds cyberattack, where Nobelium hackers inserted malicious code into the SolarWinds Orion platform, enabling them to infiltrate numerous government systems, including the U.S.’ Homeland Security, State, Commerce, and Treasury, as well as private systems worldwide.

As corporate IT architectures are arguably a mere reflection of a company’s intricate web of business relationships, these events serve as a stark reminder that organizations are not isolated entities but rather hubs of interconnected and co-dependent partners and third parties. Achieving a robust cybersecurity posture requires more than individual efforts; it demands cultivating a secure ecosystem of thoroughly vetted trusted partners to effectively safeguard the entire supply chain required for product delivery (TPRM).

However, building such an ecosystem poses challenges. Many companies lack the resources to exclusively select leading, cutting-edge, and trusted third parties or may lack the leverage to demand transparency from existing partners.

Drawing lessons from the SolarWinds cyberattack, and amid heightened geopolitical tensions (see Chinese cyberattacks on U.S. infrastructure at an unprecedented scale), the Department of Defense recognized this challenge and responded with the development of a solution for securing the supply-chain ecosystem of the Defense Industrial Base (DIB) called the CMMC.

The Cybersecurity Maturity Model Certification (CMMC) is a comprehensive framework designed to protect Federal Contract Information (FCI) and Controlled Unclassified Information (CUI), that is shared with contractors and subcontractors of the Department of Defense (DoD) through acquisition programs.

The CMMC 2.0 Proposed Rule Release, published on December 26, 2023, represents the latest evolution of the CMMC cybersecurity model, poised to supplant the preceding CMMC 1.0 with a more pragmatic approach. Following its release, the proposed policy underwent a 60-day open-comment period, which concluded on February 26, 2024. The new regulation is anticipated to be finalized by late 2024 or early 2025.

The CMMC 2.0 is aimed at safeguarding sensitive national security information by protecting the Defense Industrial Base’s (DIB) sensitive unclassified information from frequent and increasingly complex cyberattacks. It streamlines requirements to three levels of compliance and aligns the requirements at each level with well-known and widely accepted NIST cybersecurity standards. The specific security requirements and assessment types (self-assessment, third-party assessment, or DoD assessment) vary based on the level.

• Foundational (Level 1): Targets organizations handling FCI (e.g., contract performance reports, organizational charts). Compliance mandates strict adherence to the 15 security requirements outlined in FAR clause 52.204-21, through an annual self-assessment.
• Advanced (Level 2): Targets organizations handling CUI, including Controlled Technical Information, DoD Critical Infrastructure Security Information, Naval Nuclear Propulsion Information, and Personally Identifiable Information (PIIs). Compliance requires adherence to 110 security requirements based on NIST SP 800-171 Rev. 2. Assessments are conducted by third-party organizations known as CMMC Third Party Assessment Organizations (C3PAO) tri-annually or through an annual self-assessment, depending on the sensitivity of the underlying CUIs.
• Expert (Level 3): Targets organizations handling CUI for DoD programs with the highest priority. Compliance entails adhering to the 110 security requirements based on NIST SP 800-171 Rev 2 and an additional 24 security requirements based on NIST SP 800-172. These organizations undergo tri-annual assessments conducted by the DoD’s Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).

Organizations must obtain a CMMC Level 2 Final Certification before scheduling a DIBCAC assessment for CMMC Level 3.

The results of all assessments conducted on DIB organizations are consolidated within the Supplier Performance Risk System (SPRS). The SPRS (pronounced “Spurs”) is Department of Defense’s web platform that collects, processes, and retrieves data on supplier performance within the Defense Industrial Base, enabling the DoD to map the DIB’s business network cyber maturity, assess supplier performance, and evaluate risks related to contractual obligations.

By deploying this mandatory certification model, the DoD is at the forefront of establishing a comprehensive, secure, end-to-end supply chain framework within the DIB, hopefully enhancing long-term U.S. national security. Simultaneously, the DoD underscores that security is no longer optional; it is an integral aspect of business operations.

CMMC 2.0 assessments are expected to become available around Q4 2024 (once 32 CFR is finalized). Prime contractors will expect sub-contractors to achieve CMMC compliance before Q3 2025, when CMMC 2.0 takes effect. Starting October 1, 2025, CMMC certification will be mandatory at the time of contract award.

If you require assistance navigating the intricate landscape of CMMC 2.0 compliance or need support on your path to certification, #Wavestone is ready to empower your journey. Reach out today and elevate your cybersecurity readiness into a strategic advantage.

Cet article The DoD Strikes Back: Enhancing Supply Chain Cybersecurity with CMMC 2.0 est apparu en premier sur RiskInsight.

After having seen in a first article the state of the threat and the current issues related to vulnerability management, we will see in this second article the new approaches to be considered to better manage vulnerabilities, in particular through the prioritization of vulnerability remediation proposed by Hackuity.

The advent of Risk-Based Vulnerability Management (RBVM)

Risk Based Vulnerability Management (RBVM) is an approach that treats each vulnerability according to the risk it represents for each company.

In this context, the classic formula for calculating a risk applies:

The first part of the formula, vulnerability × threat, can also be considered as a probability. This probability describes the chances that a given vulnerability will be discovered and used by a threat actor in the specific technical context of the organization.The last part of the formula describes the consequences, or impact, of a successful attack by a threat actor in the company’s business context.

This is in synthesis the approach adopted by CVSS, a standard developed by FIRST (Forum of Incident Response and Security Teams), initially to quantify the technical severity of a vulnerability. Through 3 metrics (basic, temporal, environmental), the full CVSS score (now in its version 3.1) is supposed to reflect the real risk of each vulnerability, in the context of each company.

Source: FIRST (https://www.first.org/cvss/specification-document)

Our purpose here is not to describe CVSS, so we assume that the reader is familiar with the concept. The CVSS score has many advantages, among the main ones:

• The only standard on the market available to quantify the criticality of a vulnerability,
• A detailed and transparent algorithm,
• A scoring widely adopted by the industry,
• Several world-wide reference databases available (in particular to qualify the criticality of CVE).

However, it has many limitations, the main ones of which can be listed here:

1. Its low granularity: each of the metrics is composed of categorical values with predetermined values (e.g., low, medium, high) which limits its discrimination capabilities.
2. Its vocation to unitarily qualify vulnerabilities: it is thus impossible to evaluate the criticality of a complete attack scenario with CVSS. For example, some cyber-attacks exploit several low vulnerabilities to compromise an entire perimeter. However, the CVSS assessment will only cover each of the vulnerabilities independently; it is necessary for the auditor to present a global scenario to highlight the overall risk, and they cannot rely solely on CVSS to do so since it was not designed to be aggregated.
3. Its arbitrary nature: the weights in the algorithm sometimes seem to be composed of arbitrary figures making the interpretation of these values complex. In the end, there is sometimes a significant margin of error in the CVSS quantification of the same vulnerability by two professionals.

On the other hand, should it be reminded, the public CVSS scores, such as those referenced in the NVD, are only base scores. They represent the intrinsic criticality of a vulnerability, but do not reflect the risk that this vulnerability represents for the company. In other words, they answer the question “Is it dangerous?” but not “Is it dangerous for my company right now?”.

Effective vulnerability management must take into account not only the base score, but also temporal and environmental metrics. The FIRST provides the framework, but the NIST cannot compute the CVSS score for the enterprise, as it requires knowledge of the criticality of the assets, identification of controls in place, the exploitability of the vulnerability in this specific context, or the intensity of the actual and current threat.

In the field, however, we note that nearly 45% of the companies surveyed – of all sizes – only use the CVSS base score as the sole metric for quantifying the criticality of vulnerabilities.

Beyond the relevance of this approach, the use of this single metric does not solve the major problem of the industry, which remains the volume of vulnerabilities to be addressed.

Of the 123,454 vulnerabilities (CVE) identified as of 01/15/2020, more than 16K had a CVSS base score (V2.0) deemed critical (i.e., more than 13% of the total).

Beyond CVSS ?

The objective of prioritization is therefore to reduce the stock of vulnerabilities by discriminating the most critical in order to allow the teams and means of remediation to focus on the vulnerabilities that matter the most.

On the other hand, there is no doubt that the daily flood of new vulnerabilities brought up by the detection arsenal can no longer be managed manually. It is totally unrealistic to manually examine, analyze and prioritize all identified vulnerabilities.

Automation should enable teams to work more efficiently, reducing repetitive and/or low value-added manual tasks and processes.

To meet these needs and respond to the limitations of CVSS, the RBVM players are introducing:

• New risk metrics (scores) – proprietary – that complete, overload or replace CVSS,
• Automation of analysis and measurement tasks, including correlation with threat sources (CTI) to continuously qualify the threat intensity associated with each vulnerability.

More generally, the RBVM approach takes into account numerous evaluation metrics to establish a score based on context and threat. There seems to be a consensus on 4 main categories of criteria:

1/ The vulnerability or the individual – intrinsic – characteristics of the vulnerability itself.

Through these criteria, the aim is to measure the severity of a vulnerability by taking into account metrics that are constant over time and regardless of the environment, such as the privileges required to exploit the vulnerability or its attack vector (remotely, on the same local network, with physical access, etc.).

For this category, the CVSS base score (generally taken in its version 2.0 to ensure anteriority) is a solid starting point for analyzing the intrinsic criticality of the vulnerability. This is the score used by most solutions on the market.

2/ The external threats that will be used to quantify the current intensity of the threat associated with each vulnerability.

The metrics used reflect characteristics that may change over time but not from one technical environment to another.

“Is the vulnerability associated with hot topics on discussion forums, the darknet and social networks? Does it have an exploitation mechanism been published or is it currently being exploited by a particularly virulent ransomware?”

The availability of an “exploit” associated with a vulnerability is, for example, an important factor taken up by most risk-based vulnerability management solutions. According to a Tenable Research study, 76% of vulnerabilities with a CVSS baseline score > 7 do not have an exploit available.

Source: (https://fr.tenable.com/research)

This means that companies that are focusing on fixing all their vulnerabilities with a “high” or “critical” risk according to CVSS would spend three thirds of their time filling in holes that ultimately represent little risk. For better operational efficiency, it is therefore appropriate to focus remediation efforts on vulnerabilities for which an exploit has already been released.

But this is far from being the only relevant criteria. Without known exploit, the age of the vulnerability can be taken into account to compute its probability of exploitation, using a statistical approach based on the occurrences of exploitation measured. Some initiatives such as EPSS (Exploit Prediction Scoring System[1] ) even try to predict the “weaponization” of vulnerabilities.

Like the age of the vulnerability, the age of the exploit is also a factor that will highly influence the probability of exploitation. For example, the CVE exploitation rate skyrockets as soon as an exploit is published, and then progressively decreases.

More generally, the threat intensity is an important metric in the prioritization algorithm. Beyond statistical approaches, it can be measured by monitoring CTI sources, social networks or various publications, such as quantifying the number of occurrences of these vulnerabilities in cybercriminal forum discussions. It will thus be possible to determine that a new or particularly active malware exploits a vulnerability and therefore to increase its criticality score.

Many other indicators can be integrated to refine the relevance of vulnerability prioritization. The Hackuity solution takes into account more than 10 criteria in addition to the CVSS metrics to compute its “True Risk Score”:

In addition to the relevance of the choice of these criteria and the algorithm itself, the type and quality of the CTI sources monitored to continuously feed these metrics represent an important issue.

Some of the sources used include the numerous open sources (OSINT) on vulnerabilities and threats (NIST-NVD, Exploit-db, Metasploit, Vuldb, PacketStorm, …), some of which are consolidated through open-source initiatives such as VIA4CVE (https://github.com/cve-search/VIA4CVE).

There are also a large number of private and commercial players offering CTI feeds with virous levels of specialization in vulnerability intelligence.

3/ The technical context or the unique characteristics of the environment in which the asset is located.

This category is used to measure the probability / difficulty to exploit a vulnerability in the specific context of each organization.

“Is the asset exposed on the Internet or hidden somewhere in the company’s datacenter? What are the technical measures (protection, detection) that make it more or less vulnerable to attacks?”

If some market actors just determine that an asset is exposed on the Internet based on its IP addressing scheme, others like Hackuity will seek to measure the depth of the attack trees needed to exploit the vulnerability in the company’s IS.

These characteristics are by definition specific to each environment. It is therefore necessary to have, take from, or determine such information, in particular by feeding the prioritization formula with contextual data linked to the assets. For example, the data may exist and therefore be extracted from internal repositories.

4/ The business criticality of the asset.

This involves measuring the consequences, or impact, of a successful attack by a threat player in the business context of the company.

“Is the asset impacted by the vulnerability critical to the organization in one way or another? Does it host sensitive or nominative information? What are the impacts for the company in terms of financial, reputation or compliance if the vulnerability is exploited?”

As much as for the technical context, these characteristics are specific to each environment. They may be manually entered or derived from risk analysis results such as Business Impact Analyses.

To conclude on RBVM, whatever the degree of automation brought by the Solution, it will only take its full strength with the contribution of contextual elements that the tool cannot guess (business impacts, technical environment of the assets, organization, processes, etc.).

Beyond RBVM: Vulnerability Prioritization Technologies (VPTs)

While the major market leaders in vulnerability detection have adopted a risk-based approach to Vulnerability Management, they have not addressed the main problem associated with the “best-of-breed” approach to detection: companies use multiple detection tools and practices to ensure complete and effective coverage of their technical perimeter.

Average number of detection tools by company size / Hackuity – Panel of 93 companies

As mentioned above, this necessary use to a heterogeneous arsenal promotes a fragmented and unconsolidated view of the situation, which limits the ability to scale and, with the growing volume of vulnerabilities, leads to an explosion of costs.

To address this problem, emerging market players named VPTs (Vulnerability Prioritization Technologies) by Gartner, such as Hackuity, agnostically exploit existing sources of vulnerability.

They collect and centralize vulnerabilities from any company’s detection arsenal: multiple practices (pentest, bug-bounty, red team, etc.), vulnerability detection solution providers (vulnerability scans, SAST, DAST, IAST, SCA, etc.) and vulnerability watch feeds. The main features of VPT solutions are described below.

Functional diagram of the Hackuity solution

A comprehensive view of the state of the stock of vulnerabilities

Automating the collection of vulnerabilities enables security teams to have, sometimes for the first time, a consolidated and centralized view of the company’s stock of vulnerabilities, regardless of the solutions or detection practices implemented.

A crucial operation – and one that is very rarely performed – is the conversion of proprietary formats into a normalized format. This allows clones of the same vulnerability, which have been identified by several sources, to de deduplicated (e.g. the same SQL injection identified during an intrusion test and during a vulnerability scan).

As such, Hackuity’s vulnerability’s meta-repository is a multilingual knowledge base that provides a unified and standardized description of all vulnerabilities, including corrective actions, patches, remediation costs, or exploitability, with no loss of information from the original source.

The establishment and enrichment of an inventory of assets

In the field, there are only rare exceptions of companies that have an inventory of their assets that is considered complete or at least reliable (CMDB, ITAM, …). This is an endemic problem in the practice and sometimes the main obstacle to the implementation of an efficient vulnerability management policy in companies. In order to solve this problem, some solutions integrate into their operations the dynamic and continuous establishment of the repository of the company’s assets inventory. This inventory is established by analyzing and correlating the technical data collected (e.g. the software stack installed on a server, its various aliases, etc.) and provides an asset database that is continuously kept up to date with data from multiple sources.

Asset criticality is also a key element in the vulnerability risk measurement process and accounts for nearly 50% in a prioritization approach. Without an accurate inventory of assets and an assessment of their criticality in the company’s business environment, it is impossible to accurately compute the real risk associated with each vulnerability. Some solutions, such as Hackuity, will compensate for the absence or non-completeness of risk analyses by automatically assessing the criticality of assets based on their technical and operational properties (types and families of tools installed, density of interconnections, hosted databases, etc.).

In the end, to have consolidated information about vulnerabilities or the company’s assets, you no longer need to master dozens of tools or formats: the cost and workload associated with managing disparate tools is significantly reduced.

The missing link between detection and remediation of vulnerabilities

Finally, the bidirectional link with the teams in charge of remediation or security supervision provides a collaborative approach in managing the stock of vulnerabilities.

Indeed, while automation has become a key lever for vulnerability management, the human factor remains at the heart of the process.

In most companies, Vulnerability Management involves 3 actors who must work together:

1. The security teams in charge of operating the detection tools and managing remediation plans,
2. The business managers who arbitrate or clarify the remediation plans in the light of business constraints,
3. Operational staff in charge of deploying corrective measures (patch management, configuration, development, etc.).

The efficiency of the process is therefore not limited to the automation of vulnerability collection. In the downstream part of the process (remediation management), play-books can be used to mobilize the resources needed to implement corrective measures: identification of the person in charge of the task, automatic creation of incident tickets, generation of scripts for Infrastructure as Code solutions, etc.

Upstream, the CISO finally has, and often for the first time, a real-time perception of the progress of remediation plans.

The vulnerability management solution is then the orchestrator of the ecosystem of solutions aiming at detecting, qualifying, correcting and monitoring vulnerabilities affecting the company.

Designed as an open system, it also allows third party tools and processes (SIEM, GRC, Compliance, Forensics, …) to be fed with consolidated and structured data on vulnerabilities, assets and threats affecting the business.

Conclusion

As a true cornerstone of corporate cyber security, vulnerability management can finally be synonymous with a scalable, effective practice for which it is now possible to have factual indicators reflecting the efforts made by security teams and teams in charge of remediation.

Besides the direct impact on the company’s security posture, through a reduction in the vulnerability exploitation window, or even the mobilization of experts on high added-value tasks, the integration of a vulnerability management orchestration solution can also have indirect benefits, such as better understanding the information system thanks or even a tenfold increase in the commitment of the teams thanks to the quantification of the impact of their actions on the company’s security.

[1] https://arxiv.org/pdf/1908.04856.pdf

Cet article Hackuity | Shake’Up – The future of vulnerability management: towards new approaches based on risk and prioritization (2/2) est apparu en premier sur RiskInsight.

The EUS & Security Stories workshop: Who, when, where?

First of all, we can only advise you to involve in this workshop the usual actors of agile ceremonies:

• The Product Owner (PO) as a representative of business needs
• The Agile Coach in his capacity as guarantor of the respect of the method
• The technical referents of the project (architect, developers, testers…)

To bring a cyber security eye, it is important to count on the presence of the Security Champion from the project team. If none is available, a member of the CISO team can replace him or her and will have the Cyber Security “mindset” to guide you and complete the workshop.

Then, one often wonders when these workshops should be conducted… To tell you the truth, there is no rule about this, as it will depend on the security requirements of each release! However, our first piece of advice on this subject is to synchronize their frequency with that of the product backlog review. So, all you need to do is extend the workshops where you work on User Stories by about 50% to devote yourself to this security study with all the right players already present and mobilized.

Finally, where should the workshop be held? Ideally in the continuity of your previous workshop, in a room with a board or a projector allowing you to share a screen and the possibility to annotate the diagrams quite easily (post-its, whiteboard markers…). However, it is also possible to do it online! At Wavestone, we regularly use solutions such as Mural or Stormboard for this purpose. Get your hands on a solution like this and see if it’s playable!

Course of the workshop

First of all, it is often necessary for the Security Champion to lead the way in the first workshops. But the idea is to coordinate with the Agile Coach and work together so that the technical referents can gradually take charge of the methodology and make it their own.

When we train our clients on the subject, we often take a use case, fictitious but concrete and realistic! WaveCare is a medical application with many innovative features such as :

• Consulting the availability of practitioners near you
• Real-time transmission of your health data thanks to your connected watch
• Realization of remote consultations in Visio (Skype conference)
• Receipt of the order after the appointment in dematerialized format

For this demonstration, let’s focus on two components in particular: the descriptive schema of the functionality allowing a patient to search and reserve a slot in his doctor’s diary and the general architecture schema.

–

Step 1: Building risk scenarios

The first questions to ask yourself are “Where am I vulnerable? “How and where can I be attacked? ». The Security Champion and the developers will have to try to answer these questions! Here, a mix of application security and development knowledge will help identify exploitable vulnerabilities. We can already see an interesting aspect of the approach: it works on both the infrastructure and application aspects!

One piece of advice we can already give you: encourage developers to take ownership of the approach and to be proactive, it’s an excellent lever for raising security awareness! For the security referent, his or her role should mainly be to moderate the exchange and challenge the developers’ proposals. This position can also help you identify potential Security Champions, so don’t skimp on keeping it!

So let’s apply what we have just said to our example, in the figures below.

–

And here we are, we can finally identify quite quickly some points of attention! If we want to detail the “Code Injection” scenario of the global architecture schema, we can for example rephrase it like this: “As an attacker, I want to inject malicious code into the application’s insecure input fields“. You see, this ending is very close to that of a classic User Story, but the angle is indeed that of the attacker!

Step 2: Evaluate the business impacts of the scenarios

The second phase will be key to ensure that the team’s energy is used in the right place. This is where the Product Owner comes in! Together with the Security Champion, he will lead the debate to qualify the impact that each vulnerability can have.

Why is the PO decisive at this stage? Quite simply because he is the one who knows best both the business reality of the project and the importance of each feature. He will need to be well oriented, with questions such as “Is it serious if the data sent by the patient at this point is stolen? “What is the seriousness of the theft of the user’s account? etc.”, etc.

Next, you will need to give a score to prioritize each scenario. You then have two choices. The first is to use a classic cyber risk view, with a level of probability and impact. Personally, I recommend you rather use a point system or the Fibonacci suite, as for a classic US, it’s frankly simpler and instinctive!

Step 3: Define and prioritize Security Stories

The next step will be to build Security Stories based on each of the scenarios.

Now it’s the turn of the Security Champion and the developers to get back on stage! To continue on the previous example, here is a Security Story we can write: “As a developer, I want to make sure that code injection attacks are avoided“. Concretely, it will make us add to the product backlog actions such as escaping special characters, filtering user input or using the HttpOnly attribute to prevent the theft of session cookies.

Obviously, for each of the Security Stories, it may turn out that the security measures to be implemented are already in place. Otherwise, the Security Champion will prioritize the technical security measures, with regard to covering the risks involved, on a company-wide scale and not only on a business level. For security measures that are not purely technical, it is up to the Product Owner to prioritize them, with regard to business risks and the team’s resources.

And there you have it, you can now start your sprint more serenely!

And to help you, prepare and adapt the material to your context!

To make the workshops simpler and more fun, we have designed a generic deck of cards, consisting of cards with two sides each:

• Front side: the Evil User Stories, they describe in a very pedagogical way what can go wrong, using which vulnerabilities (ex: privilege escalation on a Web server, brute force attack, XSS, …).
• Verso: the Security Stories describe the security measures to be implemented to ensure that the Evil User Story does not occur (e.g. use of a robust AES 256/512 encryption algorithm, …).

These cards are really useful to get you started! For best results, you can even choose to adapt them to your business context. Use your security policies and integrate your requirements on encryption, password complexity, etc. Depending on the security needs of the project, you can also copy requirements related to certifications (HDS) or guidelines (LPM, NIS).

You can find the card game available for free here and don’t hesitate to give us your feedback so that we can continue to improve it!

Also, a workshop that runs smoothly is always more productive! Don’t forget to prepare the materials beforehand: architecture diagrams of the project (data flow and classification), listing and details of the next User Stories to be developed…

Cet article How to conduct an Agile Cyber Security workshop? est apparu en premier sur RiskInsight.

After having made several dozen speeches to executive committees, audit committees and boards of directors, I wanted to share with you the essential steps for advancing the relationship over the long term. The first phase of this trip should make it possible to create an initial contact and raise the EXCOM’s awareness on cybersecurity issues. First step, awareness! The objective for these sessions is often to manage to attract attention so as to be able to trigger further reflection within the organization. Later on, we will see the following steps: presenting a balance sheet, obtaining a budget, monitoring the progress on the security level…

An essential prerequisite, knowing where you are starting from and who you are going to deal with

This may seem like a cliché, but it is certainly the most important element before going to meet an executive committee or a board of directors. Thanks to its wide media coverage, cybersecurity is often already present in executives’ minds. But their degree of digital literacy and their level of appetite for the topic can completely change the way the topic is raised. Will it be necessary to be very didactic (going so far as to re-explain the principle of data, applications, if any) or will it be necessary to immediately address complex points such as the latest attacks observed and their methodologies? You would be surprised to see the diversity of levels between companies, but also within the same EXCOM. And it is necessary to interest each of the stakeholders, at the cost of having comments that are not very helpful during the intervention.

It is therefore important to prepare this first meeting by talking with other members of the ECOM their deputies or with people familiar with this forum to determine the tone to be adopted and the level of the speech to be given. Obviously, the operating rules will also have to be known: is it common for questions to be asked as they arise? Can a member be questioned? Should subjects relating to the company be raised from the outset? Plan to clear the ground upstream! And even if there is no perfect recipe, I will give you below the elements I use most often to make these meetings useful and effective.

To start, draw the attention by revealing the behind-the-scenes of an attack…

The topics quickly follow one another during the EXCOM. The directors think very, very quickly, so it is necessary to be concrete and to give food for thought and experience. The element that I find most effective consists in presenting a recent attack, published in the press or having affected the sector, and deciphering the stakes and the background: what is the timeframe? what motivation for the attackers? what weaknesses in the company? what is the reaction internally? publicly? with the authorities? This will have the effect of mentally projecting the directors concerned into their role as if they were going through the same thing. We at Wavestone are fortunate enough to frequently manage major cyber crises and we use these elements, both as a benchmark but also by anonymizing them or in agreement with the victims, to give a very concrete meaning to our feedback.

Follow-up with a generalization about cybercrime

An case is good to understand, but it doesn’t explain everything! After zooming in on a case, it is a question of generalizing it by explaining what are the mainsprings cybercriminality ways of proceeding. We then analyze the motivations of criminal groups, their organizations, but also and perhaps above all how they make money!

For an EXCOM to know that it is a DDoS attack or ransomware that has done damage is of little interest, it is especially important to show them that cybercriminal activities are profitable, even very profitable. We have calculated the ROI of several types of attacks and I can tell you that when you explain a 600% profitable attack like a ransomware, the eyes of the directors are wide open. We then highlight very concretely why their structure could be attacked and especially how much money the criminals would make. This often puts an end to the question “but why would we be targeted by an attack? We’re not known/we’re small/we don’t do anything strategic”.

Explain the company’s current situation in concrete terms

This is the right time to present the company’s IT posture and its current organization in terms of security. It is then a question of presenting it simply, with clear and meaningful images: are you rather in an old-fashioned “fortress” model? Or have you already opened your doors as a result of the digital transformation and have you adopted a porch model where security is reinforced the further you go towards critical systems? This will help to make the situation more concrete.

After this phase of mobilization and explanation, comes naturally the phase of questioning by the members of the executive committee. “But then, where are we now, or are we facing this risk of a cyberattack? ». Faced with this question, either you are lucky enough to have a detailed maturity assessment and you can present it immediately, or you can bring in initial qualitative or even partial quantitative elements and explain that today you need to have more visibility. The elements that speak for themselves are the latest audit reports, the latest incidents, budgetary elements.

If it is difficult at the beginning of the process to talk about the budget and to compare oneself because of a lack of data, it is possible to use a simple and effective indicator, that of your staff dedicated to cybersecurity. We have a database on this point and we can quickly show a EXCOM where it is just by mobilizing its HR. It’s simple and effective to convince them!

Don’t leave emprty-handed

The major risk of this awareness is that everything goes well but nothing moves. Indeed, you may have a positive message, “thank you and see you in a year for an update”, you will be happy but you will not have helped cybersecurity situation moving forward. It is then necessary to prepare the next step by indicating from this presentation the main points of weakness or strength felt and how you would like to evaluate them more precisely.

Indeed, the second step is often the realization of a dedicated maturity assessment in order to know how to position yourself! If at this point the meeting has taken place, the EXCOM, intrigued and interested in the topic, will want to know more and will give an agreement in principle. Beware that this may not be a budget directly, it will certainly refer you to the CIO or the Risk Director to get it, but with their agreement you will have a great lever to move on to the next step! See you on the next episode.

Cet article Creating a relationship of trust with the EXCOM: first step, raising awareness! est apparu en premier sur RiskInsight.

But these projects are not only the work of systems security managers. These projects also come from executive committees who seek a 360 view of the security of their institution to better evaluate potential risk. So, what are key success factors that we have seen in the field?

Step 1: Know the purpose and expectations of your evaluation

Evaluations can be entirely different levels of depth. From a high-level interview with the Chief Security officer to an in-depth assessment of the security mechanisms and processes of all the subsidiaries of a multinational group, everyone can choose their areas of focus and advance step-by-step.

Our first advice is to keep in mind the objectives of your evaluation. This will allow you to orient yourself toward the right security benchmarks and ultimately define the depth of the evaluation. Do you only want to measure the security maturity of your subsidiary’s information systems or also its efficiency? Perfectly documented security processes and an ISO 27001 certification can unfortunately hide problems on the ground that can expose you to vulnerabilities. It can be judicious to combine a technical test (pentest, red team, etc.) to the evaluation in order to avoid situations that seem fine on the surface but hide underlying issues.

Step 2: Find and mobilize the right people at the right level, easy to say but harder to do…

The next difficulty that you can encounter in your assessment is to succeed at meeting the right people. From experience, we advise you to confirm your list of the necessary collaborators as soon as possible.

Logically, this list will certainly depend on the granularity of the analysis but also on the organization of the business. For example, the necessary people will differ if the security staff are at the group level and function as a service center or if they are merged into each entity and service. Consequently, if you want to have a high-level estimate first, it could suffice to only have a half day exchange with the Chief Security Officer, who generally has a sufficient and global vision of the subject.

The second stage of analysis can be performed in gathering information from all actors involved in cybersecurity at the group level. In this group, it can be interesting to meet a large group of people involved in information systems and the cloud.

Finally, when the assessment must be thorough and exhaustive, it becomes necessary to widen the list of collaborators to all of the concerned entities. Obviously, you should expect a larger workload, so do not skimp on preparation and tools to help you in your work. It can also be the right moment to think about your presentation format: face-to-face, distance, strategic, operational, etc.

Step 3: Equipment, finding the right balance between too much and not enough

Choosing the right tools is one of the main assessment challenges that you will face. The more complete the assessment, the more it will require tools that ensure simplification and understanding of the whole project. Indeed, for large evaluations, the consolidation and restitution of results are two of the great challenges that you will encounter. In particular, commonly used tools don’t take into account the organizational complexity of large groups or the effectiveness of allocated resources. It is for these reasons that, from our side, we have chosen to develop a specific tool.

A good tool also allows you to position yourself against your competitors and understand your exposure to current attack trends and points where your COMEX is particularly sensitive, ensuring you can legitimize the assessment.

So it begins! It’s time to get your hands dirty and start the work of collecting information! There is a classic phrase that applies to these situations: entirely feasible from a distance. Be aware and transparent about the limits of the exercise: those questioned will sometimes have the impression that the assessment is too theoretical and this is normal, according to their objectives. During this phase, it will also be necessary to be able to juggle between the various unknowns because it is not uncommon to have people who are ultimately absent for long periods of time, added parameters, changes in methodology. Make it a point of honor to remain agile.

Step 4: Reforming at the right level to act, everything is a question of the point of view

A good habit to keep is to honestly adapt each reform to each person. From the managerial summaries where we talk about trends without much detail to presentations for technical teams that are highly detailed, adapting the discourse to the necessary format is important to convey the right messages to the right people.

Usually, we start the reforms in terms of the organization’s budget and workforce dedicated to cybersecurity. These very concrete points allow you to attract attention and be able to then analyze the situation from four different angles:
· Compliance with different global benchmarks (ISO/NIST)
· Assessment of the level of maturity of different entities compared to others in the same sector or market
· Quantification of the effort reach the market level and/or the required level according to cybersecurity benchmarks
· Evaluation of the level of robustness of the organization against the last known cyberattacks

With senior management, the restitution is often going to focus on organizational and governance matters. However, there can always be surprises. In cases where businesses have already been hit by serious cyber attacks, we have had surprisingly precise and technical questions from executive committees. For example, we have been asked for details on encryption algorithms and “How secure is my active directory?”

Get started

As mentioned earlier, the maturity assessment is an effective means for measuring the effectiveness and progress of your cybersecurity roadmap. Consequently, even if you don’t want to immediately begin an assessment involving all security systems and dozens of teams at your business, we advise you to familiarize yourself with the approach and its usefulness in starting out with more modest goals.

At Wavestone, with years of experience and expertise, we have developed the W-Cyber-Benchmark, a multi-use tool that has been implemented by dozens of clients. We know that just writing about it isn’t enough, so don’t hesitate to contact us to discuss further!

Cet article How to effectively evaluate your cybersecurity est apparu en premier sur RiskInsight.

L’atelier EUS & Security Stories : Qui, quand, où ?

Tout d’abord, nous ne pouvons que vous conseiller d’impliquer dans cet atelier les habituels acteurs des cérémonies agiles :

• Le Product Owner (PO) en sa qualité de représentant des besoins métiers
• Le Coach Agile en sa qualité de garant du respect de la méthode
• Les référents techniques du projet (architecte, développeurs, testeurs…)

Pour apporter un œil cybersécurité, il est important de compter sur la présence du Security Champion de l’équipe projet. Si aucun n’est disponible, un membre de l’équipe du RSSI peut le remplacer et aura « l’état d’esprit » Cybersécurité pour vous aiguiller et mener l’atelier à bien.

Ensuite, on se demande souvent à quel moment ces ateliers doivent être conduits… Pour tout vous avouer, il n’y a pas de règle à ce sujet, car cela dépendra des exigences sécurité de chaque release ! Toutefois, notre premier conseil à ce sujet est de synchroniser leur fréquence avec celle de revue du backlog produit. Ainsi, il vous suffit de prolonger les ateliers où vous travaillez sur les User Stories d’environ 50% pour vous consacrer à cette étude sécurité avec déjà tous les bons acteurs présents et mobilisés.

Enfin, où réaliser l’atelier ? Idéalement dans la continuité de votre atelier précédent, dans une salle avec un tableau ou un projecteur permettant de partager un écran et la possibilité d’annoter les schémas assez facilement (post-its, feutres pour tableau blanc…). Néanmoins, il est également tout à fait envisageable de le faire en ligne ! Chez Wavestone, nous utilisons régulièrement des solutions comme Mural ou Stormboard à cet usage. Faites-vous la main sur une solution de ce genre et vous verrez si c’est jouable !

Déroulement de l’atelier

Tout d’abord, il est souvent nécessaire que le Security Champion mène la barque dans les premiers ateliers. Mais l’idée est de se coordonner avec le Coach Agile et travailler de concert pour que les référents techniques puissent petit à petit prendre en main la méthodologie et se l’approprier.

Quand nous formons nos clients sur le sujet, nous prenons souvent un cas d’usage, fictif mais concret et réaliste ! WaveCare est une application médicale avec de nombreuses fonctionnalités innovantes telles que :

• Consultation des disponibilités de praticiens près de chez vous
• Transmission en temps réel de vos données de santé grâce à votre montre connectée
• Réalisation de consultations à distance en Visio (conférence Skype)
• Réception de l’ordonnance après le RDV en format dématérialisé

Pour cette démonstration, intéressons-nous à deux composants en particulier : le schéma descriptif de la fonctionnalité permettant à un patient de rechercher et réserver un créneau dans l’agenda de son médecin et le schéma d’architecture générale.

–

Etape 1 : Construire les scénarios de risque

Les premières questions à se poser sont « Où-suis-je vulnérable ? », « Comment et par où peut-on m’attaquer ? ». Le référent sécurité (Security Champion) et les développeurs vont devoir essayer de répondre à ces questions ! Ici, c’est donc un mélange de connaissances en sécurité applicative et en développement qui va permettre d’identifier les vulnérabilités exploitables. Nous pouvons déjà noter un aspect intéressant de l’approche : elle fonctionne aussi bien sur l’aspect infrastructure qu’applicatif !

Un conseil que nous pouvons déjà vous donner : encouragez les développeurs à s’approprier l’approche et à être force de proposition, c’est un excellent levier pour les sensibiliser à la sécurité ! Pour le référent sécurité, son rôle doit majoritairement être de modérer l’échange et challenger les propositions des développeurs. Cette posture peut en plus vous permettre d’identifier des potentiels Security Champions, ne lésinez pas à la conserver !

Appliquons donc ce que nous venons de nous dire à notre exemple, dans les figures ci-dessous.

–

Et voilà, on peut finalement identifier assez rapidement quelques points d’attention ! Si nous voulons détailler le scénario « Injection de code » du schéma d’architecture globale, nous pouvons par exemple le reformuler comme cela : « En tant qu’attaquant, je veux injecter du code malveillant dans les champs de saisie non sécurisés de l’application ». Vous voyez, cette terminaison est très proche de celle d’une User Story classique, mais l’angle est bien celui de l’attaquant !

Etape 2 : Evaluer les impacts métiers des scénarios

La seconde phase va être clef pour s’assurer d’utiliser l’énergie de l’équipe au bon endroit. C’est à ce moment que le Product Owner entre en jeu ! Avec le Security Champion, il va mener les débats pour qualifier l’impact que peut avoir chaque vulnérabilité.

Pourquoi le PO est-il décisif sur cette étape ? Toute simplement car c’est lui qui connaît le mieux à la fois la réalité métier du projet et l’importance de chaque fonctionnalité. Il s’agira de bien l’orienter, avec des questions comme « Est-ce grave si les données envoyées à ce moment par le patient sont volées ? », « Quelle est la gravité du vol du compte de l’utilisateur ? », etc.

Ensuite, il vous faudra donner une note pour prioriser chaque scénario. Deux choix s’offrent alors à vous. Le premier est d’utiliser une vue risque cyber classique, avec un niveau de probabilité et d’impact. Personnellement, je vous recommande plutôt d’utiliser un système de point ou la suite de Fibonacci, comme pour une US classique, c’est franchement plus simple et instinctif !

Etape 3 : Définir et prioriser les Security Stories

La prochaine étape consistera à construire des Security Stories basées sur chacun des scénarios.

Au tour du Security Champion et des développeurs de remonter sur scène ! Pour continuer sur l’exemple précédent, voici une Security Story que nous pouvons rédiger : « En tant que développeur, je veux m’assurer que les attaques par injection de code sont évitées ». Concrètement, elle nous fera ajouter au backlog du produit des actions comme l’échappement des caractères spéciaux, le filtrage des entrées utilisateurs ou encore l’usage de l’attribut HttpOnly pour éviter le vol des cookies de session.

Evidemment, pour chacune des Security Stories, il peut s’avérer que les mesures de sécurité à mettre en œuvre le sont déjà. Dans le cas contraire, le Security Champion se charge de prioriser les mesures de sécurité techniques, au regard de la couverture des risques induits, à l’échelle de l’entreprise et pas uniquement du métier. Pour les mesures de sécurité n’étant pas uniquement techniques, c’est au Product Owner de les prioriser, au regard des risques business et des moyens de l’équipe.

Et voilà, vous pouvez maintenant démarrer votre sprint plus sereinement !

Et pour vous aider, préparez et adaptez le matériel à votre contexte !

Pour rendre les ateliers plus simples et ludiques, nous avons conçus un jeu de cartes génériques, constitué de cartes ayant chacune deux faces :

• Recto : les Evil User Stories, elles décrivent de façon très pédagogique ce qui peut mal se passer, en utilisant quelles vulnérabilités (ex : élévation de privilèges sur un serveur Web, attaque par force brute, XSS, …)
• Verso : les Security Stories décrivent les mesures de sécurité à implémenter pour s’assurer que l’Evil User Story ne se produit pas (ex : utilisation d’un algorithme de chiffrement robuste AES 256/512, …).

Ces cartes sont vraiment utiles pour vous lancer ! Pour de meilleurs résultats, vous pouvez même choisir de les adapter à votre contexte d’entreprise. Utilisez vos politiques de sécurité et intégrez vos exigences sur le chiffrement, la complexité des mots de passe, etc. Suivant les besoins de sécurité du projet, vous pouvez aussi calquer de exigences liées à des certifications (HDS) ou des directives (LPM, NIS).

Retrouvez le jeu de carte disponible gratuitement ici (et en anglais ici)et n’hésitez pas nous faire vos retours pour que nous continuions à l’améliorer !

Également, un atelier qui se déroule avec fluidité est toujours plus productif ! N’oubliez pas de préparer les supports en amont : schémas d’architecture du projet (flux et classification des données), listing et détail des prochaines User Stories à développer…

Cet article Comment conduire un atelier Cybersécurité agile ? est apparu en premier sur RiskInsight.

We have cited five key success factors needed to deliver an ERP permissions risk-remediation project:

The key success factors for an ERP permissions risk-remediation project

The first two key success factors were discussed in the previous article; and the other three are covered in this one.

3. Preparing for large-scale deployment

Services, business lines, geographical or legal entities… the remediation of permission-related risks means reviewing user accounts across varied—and often numerous—functional areas. To be able to keep to schedules, limit workloads, and reassure those involved in the project locally, it’s best to deploy things at as larger scale as possible. Doing this means:

• Defining and communicating the risk analysis and remediation methodology;
• Putting in place a steering plan;
• Introducing analytical tools, automated as far as possible, to cope with volumes;
• Formally preparing materials for workshops and consolidation sessions;
• The documentation for the methodology and the tool in order to be able to train users.

These documents will form the deployment kit to be used in the different areas of work of the project phase; this can also continue to be used when the project phase is complete.

The deployment kit for an ERP permissions risk-remediation project

The deployment methodology will need to cover the following activities, and will need to be recreated for each area of work:

• Risk assessments and the definition of KPIs.
• Remediation workshops for user-related risks.
• Validation and execution of remediation plans.
• Training and support for upskilling.

Obviously, the methodology must be adapted to the company’s organizational structure and the resources available to it: the workforce, local variations in business processes, the degree of maturity in risk and permissions management, etc.

In particular, this will involve engaging local experts both on the technical aspects of permissions (access rights officers, application owners, security officers), and on the business-function aspects of processes (business-function representatives, process owners, internal controllers, team managers, etc.). The contribution that will be expected from them, and the effort they will need to put in, should be clear from the start and must remain “reasonable”. Local managers should therefore be involved, to ensure that those who need to take part do so, and to help in decision-making.

During remediation workshops, participants will, in particular, analyze user-related risks, but they will also have to consider various remediation strategies, such as the ones described below:

Strategies to consider in an ERP permissions risk-remediation project

It’s always preferable to validate the methodology using a pilot project that is small enough to limit work volumes, but large enough to be representative of the company. In some cases, a better strategic choice may be to select a work area that’s likely to be more fruitful for the project; or, conversely, one that’s expected to require more support. The lessons learned at the pilot stage will allow the methodology and tools to be adjusted before they are deployed more widely.

4. Selecting the right tools

The tools put in place must aid success during the project phase, but also—and more importantly—provide long-term support for the chosen approach; both these phases must be complementary.

Being well equipped is about being clear on the initial controls to be applied (at the point when new permissions are requested) as well as on the ongoing controls (those applied once permissions have been granted). Having more initial controls will help reduce risks, but operational efficiency may also suffer (delays, difficulties in processing requests, etc.); a balance needs to be found.

From a functional point of view, it’s a question of putting in place the families of controls typically found in such projects, namely:

• Data quality controls: completeness and coherence of data; respect for nomenclature, etc.
• IT security-rule controls: orphan, dormant, and administrator accounts; temporary and residual permissions; IT accounts with business-function permissions and vice versa, etc.
• Business-functions rules/compliance controls: discrepancies between jobs and the associated permissions; discrepancies in permissions between members of the same team; breaches of rules on the segregation of duties; users having access to areas that are beyond the scope of their responsibility, etc.
• Usages and behavior control: excessive or unusual uses, suspicious behavior, typical fraud scenarios, etc.

Families of typical controls for an ERP permissions risk-remediation project

Being well equipped is also about prioritizing and automating the controls that are worth putting in place. The return on investment must be assessed in terms of each control’s relevance to the company’s situation (does the control cost more than dealing with the consequences of the risk it’s designed to cover?), and the potential benefits of automation (how much will be saved compared with a manual process?).

The volumes and complexities associated with ERP authorization models means turning to tools specifically designed for the task: for example, it’s not unusual to see SAP systems with several thousand roles and over a hundred thousand fine-grained permissions (transactions and authorization objects).

These needs fall at the intersection of several different segments of the software market; these are currently highly dynamic and far from mutually exclusive: “Identity and Access Management”, “Continuous Control”, “Specialized Governance-Risk-Compliance tools on a given ERP”, and so on. Given this, the approach taken, degree of maturity, functional coverage, and mode of delivery (on site or cloud/SaaS), can vary substantially from one product to another.

When selecting a tool, it’s a question of considering the following elements carefully:

• Ergonomics and ease of use: once the project is finished, the tool’s users will be mostly from business functions—not from IT.
• Customization options: such that the tool really can be used to support the methodology taken (vocabulary and screens, rules and controls, dashboards and reports customized to company needs, etc.).
• A package of preconfigured controls: usually based on good practice, for the company ERP.
• The ability to put in place controls on other applications, and between applications: over the medium-term.
• Analysis and decision support functionality: to highlight anomalies, simulate changes in permissions, conduct in-depth analyses, suggest remediation measures, etc.

Although the tools are generally not intrusive, in terms of their effect on applications, there’s still a need to automate the transfer of data, in a reliable way—from the ERP and other potential repositories. Involvement of the relevant IT teams will thus be needed too.

5. Getting things right for the long term

Projects of this type only make good sense if permission-related risks can be controlled effectively over the long-term. Doing so avoids the problem of risks that have been brought under control during the project appearing again—some time later.

To encourage long-term buy-in to the approach and tools put in place, it’s essential to invest in change management from the start—and throughout the project—by means of meetings and regular newsletters, training and coaching sessions, documentation and tutorials, etc. It’s best to use a diversity of channels and communication supports to reach the maximum number of people without giving the impression of over-marketing.

It’s also important to help those responsible for permission-related risks to apply new controls to their recurring activities. In fact, the frequencies of advanced controls, the objectives to be achieved, and the levels of risk that must not be exceeded, can be explicitly defined. These objectives must be realistic and progressive: “What’s needed is to envision a long road—but with short milestones.”

There must be an emphasis on community too: it’s important to encourage interactions between managers from different functions, which will enable them to share experiences and good practice. There may even be a value in introducing a degree of healthy competition between different business functions; perhaps even organizing some low-key challenges. However, you should ensure that the fact of making progress is valued more highly than achieving any specific numerical objective, because the various work areas will have to progress from very different starting points.

Finally, an “ongoing” mode needs to be implemented—to ensure that permission-related risks remain under control once the project is completed. This should include:

• Choosing a designated contact for the methodology and tools put in place;
• Upskilling the technical teams to ensure in-service support for tools, and that reports and controls can be developed when necessary;
• Documenting and capitalizing on the knowledge acquired during the project phase.

This must give consideration to developing a roadmap for other future activities that will address new processes, risks, applications, or populations.

Long-term control of the risks related to ERP permissions

In conclusion: it can be done!

As we’ve seen in the two articles on this topic, controlling the risks related to ERP permissions means pursuing a number of key workstreams—from putting in place the right tools, through holding workshops for the business functions, to training and change management.

But with a good methodology and committed participants from IT and the business functions on board, anything is possible! Tangible results can be achieved—and corporate momentum built—within a reasonable timeframe, to regain control of permissions across the IS. And, lastly, the key success factors presented here are broadly applicable to applications other than ERPs.

Cet article ERPs: How to control permission-related risks (PART 2) est apparu en premier sur RiskInsight.

And statutory auditors, internal controllers, and auditors, are only too well aware of this; they’ve been increasing pressure for several years now to bring these risks under control and ensure compliance with the relevant regulations.

ERP permission-related risks that need to be brought under control

What’s needed is to take a serious look at the topic of “permissions ” (which are also called rights, authorizations, roles, or access profiles). In fact, the permissions granted to users on a company’s ERP enable them to carry out a large part of their activities—legitimate or otherwise. By ensuring you provide only the right people with the right permissions at the right time, you can significantly reduce the risks mentioned above.

Over two articles, we present our vision for this area, and share proven good practices that can bring the risks associated with ERP permissions under control.

Companies show little rigor when it comes to ERP permissions

ERP ecosystems are complex, and companies typically spend a great deal of time and energy setting their ERPs up. Yet a minimalist approach is often taken to the “identity and access management” aspect of ERPs. Over time, this results in a deterioration in levels of control and security:

• Obsolete, generic, and shared accounts accumulate.
• The number of roles explodes.
• The principle of least privilege is not properly applied.
• Toxic combinations of rights (infractions of the segregation of duties principle) occur, etc.

All of these factors tend to increase the risks mentioned above.

Key Success Factors for an ERP permissions risk-remediation project

As a result, few companies can claim to have complete mastery of the identities and permissions aspects of their ERPs. To illustrate this, consider the indicative questions below to assess your understanding of the subject:

• How many accounts can’t actually be associated with a single individual (generic accounts, accounts not reconciled with an HR repository or Active Directory, etc.)?
• How many users can change the access rights of other users?
• How many users have profiles with high levels of privilege (such as “SAP_ALL” and “SAP_NEW” in SAP ECC)? Of these, how many are really legitimate?
• How many users can change the suppliers master data?
• On average, how many roles are assigned to users? Is it typically two or three roles per user, or do numbers of roles often reach double digits?
• How many IT roles are assigned to business-function users and vice versa?
• How many roles give more rights in reality than they should theoretically provide (roles that should be read-only but have write permissions too; roles whose applicability is broader than it should be; etc.)?

How can you address the issue?

Now that the problem has been defined, what can be done about it? It’s important not to feel overwhelmed or discouraged by the apparently huge task that the issue suggests! It is possible to improve the situation and bring risks related to ERP permissions under control. In addition to the obvious point of providing sufficient resources to do it, there are a number of key success factors that must be met; and these that are the subject matter of our two articles.

1. Steering things carefully

When embarking on such a project, you clearly can’t address everything straight away. It’s more a case of strategically targeting defined scopes which will yield significant results within a reasonable amount of time. For example, it might be a key application or a central ERP module, a process that’s been highlighted in a recent audit, or a series of risks already identified as critical in the corporate risk register. The analysis of real data extracted from ERP systems can be a great help in knowing what to prioritize, and in justifying the priorities chosen.

In terms of approach, there are three areas that the project must cover:

• The analysis and control of permission-related risks—the core work of such a project.
• Implementing a technical solution that supports the chosen methodology.
• Steering and change management—both essential for the success of such a project.

It’s important to pace the project by incorporating regular milestones for each of the three areas—and for each project phase:

• The preparation phase, which includes the detailed framing of the project, putting in place the tools, and completing the prerequisites.
• The deployment phase—known as Get-Clean—aims to control the current risks, by demonstrating the approach at pilot scale, rolling it out more widely, and adjusting the tools according to user feedback.

The ongoing operating mode—known as Stay-Clean—can take the project to the next stage, but the groundwork for it must be done during the initial phase, if the risks are to be controlled over the long term.

A model approach to an ERP permissions risk-remediation project

It’s imperative to closely monitor the actions taken by the various people and decision makers involved, and, more generally, to check that the commitments made at each step are being successfully achieved. These commitments can be represented by results that are both quantitative (a reduction of X% in the number of critical risks; no more than 5 risks per user, etc.) and qualitative (the development of processes or compensatory controls). There will also be a need to measure and demonstrate the value of these results to the project’s sponsors and representatives from the business functions.

2. Preparing the ground

Technical and business-function-related questions are closely linked in projects that address permissions, something especially true in the case of ERPs. As a result, you need to put in place the right sponsors from the start: from both the security and IT sides, and the business-function and Internal Control sides.

There may also be a need to involve numerous other players: access rights officers, security managers, representatives from the business functions, process managers, team managers, internal controllers, etc. Coordination is essential throughout the project, and future contributors, as well as those affected by the changes, need to be brought on board and engaged from the start—in terms of sharing the challenges, objectives, and approach. The approach must be framed positively: it must not be about stigmatizing states of affairs or behaviors, or comparing one part of the business with another; rather, it should be about moving the company and its employees forward in the management of risks.

The preparation phase first involves gathering the various inputs needed for the project, and especially those that will enable an initial analysis of the data: organizational information about users (department, function, etc.), permissions, access logs, control repositories, segregation of duties matrices, etc. For this last item, in particular, workshops are a must if the matrices are to be completed and “translated” into technical permissions that can become automated controls within a tool.

There is also a need to define the indicators, dashboards, and reports that will be used both during the project phase and also in the long term by those in charge of continuous monitoring.

Another important activity during this preparatory phase is to improve data quality. This prerequisite becomes all the more indispensable when a company’s maturity level, in identity and access management terms, is low. Improving quality isn’t just about user accounts though, it’s also—and especially—about the ERP authorization model. If the roles or access profiles themselves carry risks (in particular, in terms of the segregation of duties), this must be remedied before tackling the individual risks introduced by users.

Examples of prerequisites for an ERP permissions risk-remediation project

We’ve now discussed the first two key success factors in an ERP permissions risk-remediation project: close steering and preparing the ground. Three other key success factors will be discussed in a second article, to follow.

Cet article ERPs: how to control permission-related risks (Part 1) est apparu en premier sur RiskInsight.

Bien que les principes fondamentaux d’identification des enjeux, des risques et des actions de remédiation demeurent, la méthode s’illustre par son appel à des scénarios d’attaque complexes tirant partie de vulnérabilités multiples, à la manière d’attaques réelles comme celle contre les systèmes de connexion à SWIFT de la Banque Centrale du Bangladesh en 2016 ou contre Sony Pictures en 2014… Autre évolution majeure, l’apparition d’une analyse approfondie des attaquants potentiels, de l’écosystème et des parties prenantes du périmètre étudié.

Ce changement de posture permet à EBIOS RM de répondre spécifiquement aux problématiques posées par des attaquants toujours plus professionnalisés qui étudieront méthodiquement les vulnérabilités d’une cible ainsi que l’ensemble de son écosystème pour parvenir à leurs fins. Elle vient ainsi remplir une zone de vide dans l’espace des méthodologies d’analyse de risques.

Néanmoins, malgré cette approche réellement innovante et comme nous allons l’étayer ci-dessous, EBIOS RM ne doit pas forcément être considérée comme la nouvelle démarche globale d’analyse des risques mais plutôt comme une nouvelle corde à l’arc méthodologique du RSSI pour traiter les scénarios d’attaque les plus complexes.

S’appuyant sur nos premiers retours d’expérience de l’application concrète de cette méthode, nous présenterons en détail les évolutions qu’elle apporte ainsi que leurs implications sur la gouvernance plus générale des risques SSI.

EBIOS RM, une nouvelle méthodologie pour mieux appréhender les risques complexes de cybersécurité

Depuis bientôt 10 ans, EBIOS 2010 propose une méthode centrée sur la notion de menaces unitaires tirant partie de vulnérabilités et de prévention de leurs impacts sur des processus métiers. Cette méthode, qui remettait à l’époque le métier au centre de l’analyse de risques, n’est cependant pas conçue pour identifier et traiter des menaces complexes. Ces menaces, composées de rebonds de l’attaquant d’une vulnérabilité à une autre pour atteindre ses fins, constituent pourtant aujourd’hui une part majeure de l’univers des risques SSI et ont été mises à l’ordre du jour de nombreux comités exécutifs à la suite des dernières attaques majeures comme NotPetya ou WannaCry.

EBIOS RM vise à compléter ce manque par une approche intégrant dans un premier temps de l’étude poussée des intentions des attaquants potentiels, puis la prise en compte formelle de l’écosystème et enfin l’identification de scénarios d’attaque complexes de type kill chain. L’objectif final de cette étude n’est plus l’alignement des mesures de sécurité à des failles unitaires comme pour EBIOS 2010 mais bien la capacité à maîtriser des risques aux facettes multiples.

En préalable, mener un travail préparatoire concernant les vulnérabilités

EBIOS RM propose dans un premier temps la mise place d’une étude structurée du niveau de sécurité du périmètre analysé par une revue de conformité. Cette vérification permet d’identifier un premier panel de vulnérabilités, comme le ferait un attaquant en testant par exemple la version des infrastructures ou les vulnérabilités de l’OWASP.

Contrairement à ce qui est proposé dans la méthode EBIOS 2010, la principale finalité de cette approche n’est pas de remédier à des vulnérabilités unitaires mais bien d’alimenter la définition des scénarios d’attaque complexes en identifiant les potentiels points de rebond de l’attaquant.

Ensuite, mieux prendre en compte l’écosystème et les sources d’attaque

Par ailleurs, afin d’adapter l’analyse des risques à la réalité des SI contemporains et de l’univers de menace, EBIOS RM intègre une innovation majeure sous la forme de la revue systématique de l’écosystème du périmètre étudié, depuis les tiers de confiance connectés à celui-ci jusqu’aux tiers présumés hostiles tels que des concurrents, des états voire des activistes.

L’étude des tiers de confiance met en lumière leurs interactions avec le périmètre étudié, trop souvent acquises comme sûres, qui constituent un vecteur d’attaque idéal pour un attaquant contournant ainsi les défenses périmétriques voire les mesures de gestion des accès internes.

L’étude des tiers hostiles place quant à elle la notion d’intentionnalité de la malveillance au cœur de l’étude. EBIOS RM propose donc de les identifier précisément et d’analyser les objectifs possiblement visés. Ce changement d’angle de vue sert de base au développement de scénarios d’attaque complexes dans la suite de la démarche.

Cette nouvelle approche vise notamment à faire face aux attaques par water-holing ou encore des conséquences de la compromission d’un SI tiers comme les fuites de données de l’enseigne américaine Target en 2013.

Enfin, un travail itératif de construction des scénarios d’attaque

Sur la base de cette connaissance approfondie du contexte, la démarche EBIOS RM vise à réaliser une étude préliminaire et plus fonctionnelle des évènements pouvant survenir sous la forme de scénarios stratégiques, puis un zoom plus technique sous la forme de scénarios opérationnels détaillés. L’objectif est que ces deux visions s’alimentent tout au long de l’étude dans une réflexion itérative.

EBIOS RM demande tout d’abord de définir de 3 à 5 scénarios stratégiques combinant source d’attaque, objectif visé et principaux moyens utilisés pour atteindre cet objectif. Cette vision de haut niveau et aux aspects techniques très limités, atout clef pour présenter les risques cyber aux métiers voire aux instances dirigeantes d’une organisation, permet également de préciser le périmètre de la réflexion plus technique qui sera réalisée au travers de 10 à 15 scénarios opérationnels.

Ces scénarios opérationnels racontent un fil détaillé d’évènements qui, combinés, mènent à un impact majeur. EBIOS RM structure ce cheminement au travers de quatre phases. Tout d’abord, la prise de connaissance par l’attaquant du SI ciblé, de son fonctionnement et de ses acteurs. Ensuite, la phase d’entrée dans ce SI au travers d’actions comme le phishing ou l’exploitation d’une backdoor. Puis vient la phase de recherche des données ou du SI critique que l’attaquant souhaite compromettre. Enfin, c’est la phase d’exploitation de cette cible via par exemple l’exfiltration de données ou l’implantation d’une bombe logique.

Chaque scénario d’attaque opérationnel aura donc sa propre histoire à raconter, sa propre kill chain, dont la vraisemblance sera déterminée. Cette spécificité est une des forces de l’étude, facilitant sa restitution, mais lui permettant également d’alimenter la réflexion d’un SOC concernant la définition de scénarios de corrélation à implémenter dans un SIEM.

Cette hauteur d’analyse en fait d’ailleurs un outil de choix pour l’étude des risques des périmètres les plus critiques d’une entreprise, comme par exemple les SI d’importance vitale.

Un outil ambitieux dont il faut cadrer l’utilisation

EBIOS RM présente des atouts séduisants par la prise en compte des motivations et méthodes des attaquants, de l’étude approfondie des tiers de confiance comme potentiels vecteurs d’attaque ou encore par sa capacité à produire des scénarios d’attaques complexes mais capables de convaincre des publics non-initiés.

L’une des principales qualités d’EBIOS RM, imposer réflexion et créativité pour définir les scénarios stratégiques et opérationnels pertinents, a néanmoins un revers notable : EBIOS RM ne pourra ainsi pas, exception faite de l’étude du socle et des acteurs menaçants, faire l’objet d’une industrialisation poussée des outils associés sans craindre une perte de créativité et donc une perte de qualité dans ses résultats. Cette logique s’écarte donc de celle en vigueur pour EBIOS 2010 qui rendait par exemple possible une revue exhaustive des menaces, permise par la complexité très souvent limitée de celles-ci.

En l’absence de cadre largement outillé et afin d’éviter que la subjectivité des participants n’y fasse son lit, EBIOS RM va ainsi exiger de son pilote un éventail de compétences qui reste rare sur le marché : des connaissances techniques pointues et orientées test d’intrusion pour déterminer ce que serait capable de réaliser un attaquant selon son niveau d’expertise, de la créativité, une capacité au story telling, à la synthèse et à la pédagogie, afin de définir des scénarios d’attaques qui auront à la fois suffisamment d’impact et de pertinence pour convaincre à la fois les équipes métiers et techniques tout en illustrant avec justesse et moins de quinze scénarios opérationnels toutes les facettes remarquables de la situation étudiée.

Ces différentes qualités renforceront par ailleurs la légitimité du pilote de l’étude, indispensable pour animer et recadrer efficacement les différents groupes de travail demandés par la méthodologie, afin d’éviter les discussions sans fin qu’elle peut risquer d’entraîner par ses aspects subjectifs. Il faut en outre garder à l’esprit que par son aspect itératif et les nombreux groupes de travail qu’elle implique, EBIOS RM sera une démarche significativement plus coûteuse en temps qu’EBIOS 2010. De plus, ses résultats seront difficilement réutilisables d’une étude à l’autre, en cela qu’elle se concentre justement sur les spécificités des périmètres étudiés.

Les sources accidentelles écartées

Dernier point d’attention, EBIOS RM, en plaçant l’intentionnalité au cœur de sa démarche, écarte les sources accidentelles. Pourtant, celles-ci se produisent régulièrement, qu’il s’agisse d’un coup de pelleteuse, d’une corruption d’une base de données ou de l’erreur d’un administrateur. Par ailleurs, le cœur de la démarche EBIOS RM, en générant un nombre limité de scénarios opérationnels, ne vise pas à l’exhaustivité qui était une des forces d’EBIOS 2010. La réponse de la démarche à ce biais méthodologique est l’étape d’étude du socle, mais celle-ci n’est qu’une revue de conformité. Si on imagine appliquer la démarche à un périmètre existant présentant de nombreux axes d’améliorations et qu’on utilise un référentiel de conformité suffisamment exhaustif (les 42 règles de l’ANSSI ou ISO27002), on pourra se retrouver avec une liste à la Prévert des mesures correctives à mettre en œuvre, sans moyen rigoureux de les prioriser, sauf à faire appel à EBIOS 2010 qu’EBIOS RM visait à remplacer…

Vers une refonte de la gouvernance de la gestion des risques

EBIOS RM est donc une démarche qui nécessite un temps de mise en œuvre certain ainsi que des expertises à la disponibilité souvent déjà limitée, et dont les résultats seront difficiles à réutiliser. En tenant également compte de ses priorités méthodologiques, nous pensons préférable de concentrer l’application de cette démarche aux systèmes présentant des enjeux forts et dont le niveau de sécurité a déjà un certain niveau de maturité, par exemple parce qu’ils seront passés par l’étape EBIOS 2010. Il nous semble également préférable d’utiliser EBIOS RM pour des ensembles cohérents de SI (exemple : une voiture ou les activités marketing) afin de conserver un périmètre d’étude suffisamment important pour permettre des attaques avancées. Enfin, sur des ensembles cohérents de SI appartenant à des acteurs différents, il est possible d’appliquer la méthode jusqu’aux scénarios stratégiques afin de fixer des priorités d’étude pour les analyse de risques plus détaillées qui seront mises en œuvre par chaque entité sur ses périmètres propres. EBIOS RM sera dans ces cas d’autant plus pertinente qu’elle se concentrera uniquement sur des scénarios au plus proche des pratiques métiers.

EBIOS RM, une brique dans l’offre de services d’analyse de risque

L’arrivée d’EBIOS RM, démarche novatrice quoique à utiliser avec mesure, et qui finalement complète plus qu’elle ne remplace EBIOS 2010, participe donc à créer ce qu’on pourrait appeler une offre de service EBIOS. Les ressources et les compétences nombreuses qu’elle nécessite pour être mise en œuvre la réserveront ainsi à des périmètres spécifiques, fortement exposés ou porteurs d’enjeux majeurs comme par exemples les SI d’importance vitale, ayant déjà fait l’objet d’un socle de mesures d’hygiène SSI.

Tout ceci plaide en faveur de la mise en œuvre, en amont des projets, d’une démarche de gouvernance des risques, transverse à l’entité, qui permettra de déterminer rapidement les enjeux, l’exposition et la maturité sécurité de ses périmètres fonctionnels et applicatifs, puis de décider en fonction quelle méthodologie de sécurisation mettre en place : simple revue de conformité à un socle minimal de règles de sécurité, étude EBIOS 2010 plus ou moins approfondie ou enfin, sur les périmètres à la fois sensibles et matures, étude EBIOS RM.

Cet article EBIOS (2010) est mort, vive EBIOS (RM) ? est apparu en premier sur RiskInsight.

This can take different forms; the following aspects are usually examined:

• Finance and accounting (auditing, personnel inventory, balance sheet and profit and loss accounts analysis, forecasted business activity, etc.)
• Legal (company statutes, proceedings in process, patent and intellectual property ownership…)
• Strategy (competitor identification, company strengths, distribution channels, etc.)

Although current affairs and news offer plentiful examples of companies that have been impacted by cyberattacks, the issue of cybersecurity is all too often overlooked with regards to mergers and acquisitions.

But mindsets are evolving: in a recent survey conducted by Freshfields Bruckhaus Deringer, specialists in corporate law, 90% of respondents considered that a confirmed cyber-attack could lead to revise the acquisition cost downwards, and 83% of them thought that an attack during the due diligence phase could simply lead to abandon the deal.

Still, the cyber risk is real: as soon as two IT environments are interconnected, the resulting environment often inherits de facto the lowest level of security of the two. Besides, a merger or acquisition can highlight possible compliance gaps, in a context of increasing scrutiny by regulators all over the world.

Is cyber-risk assessment the next pillar of M&A?

Increasingly aware of this risk, companies progressively integrate the notion of “cyber risk” into their reconciliation strategies. The objective is, in principle, simple: to understand whether the merger of two companies, and thus the likely merger of their Information Systems, increases cyber risk.

There is, however, a major difference between standard due diligence and its cybersecurity equivalent. While accounting and legal regulations are clearly understood and shared at the international level, there is as yet no equivalent in the cybersecurity world. Standards are multiplying (by system type, data to protect, industry, country…), but they only remain good practice references which indicate how to properly implement considerations around cybersecurity – not if they actually were implemented properly. There are some notable exceptions, such as PCI-DSS (protection of credit card data) certified environments, or classified, Defense-type environments. These examples, however, are specific, with very restricted scopes.

For the purchaser, acting in good faith and being unaware of security breaches will do nothing to prevent cyberattacks: in cyber risk, we not only endorse responsibility, but directly the risk itself!

In the same manner, it is neither easy (yet, nor impossible) for a company to ensure that its cyber security is “good”. Managing the Information System in line with today’s best practices does not guarantee that its weaknesses will not be exploited tomorrow.

An M&A context is not the only context of interest for examining the IS security aspects through cyber due diligence. For several years, large international insurers have launched their cyber-insurance offers. In this context, they legitimately seek to know the level of information security of companies for which they will provide insurance. At the minimum, insurers seek to know what general level of cyber-risk they will have to cover. Thus, by upstreaming this type of underwriting, cyber-insurers are now supported by IT security experts, whose role it is to carry out due diligence at a fairly high level.

What approach should be taken for cybersecurity due diligence ?

What is security due diligence? It is neither an innovative technology nor a revolutionary method; rather it refers to the balanced and targeted use of different information security tools.

Several approaches are possible:

• A “comprehensive” approach, consisting of both a theoretical and organizational analysis of security, supplemented by penetration tests to gain a vision as closely aligned to reality as possible. This approach, ideal in essence, is often used in the case of start-up buyouts. However, it is almost never used in larger deals, for reasons relating to both cost and a lack of time.
• An “interview” approach, which involves an evaluation of the situation in relation to a known and adapted reference framework during exchanges with security managers at the company in question. The limitation of this approach is that it is based only on statements and declarations. As such, it does not provide any proof of for what is being put forward. Led by a seasoned expert in this activity, this approach nonetheless facilitates a general view of the type of security practices that have been implemented.
• A “questionnaire” approach is offered as a matter of dealing with answers to a series of questions, usually with multiple choice answers. Beyond the lack of depth of such an approach, its outcome strongly depends on the respondents of the questionnaire, and the manner in which the questionnaire is used. Unfortunately, it is often the case that it is barely read or referenced.

Irrespective of the chosen approach, it can be rolled-out at two stages: an initial analysis to provide knowledge and understanding of the security risks, which must feed directly into the “go / nogo” considerations behind the deal. A possible second step involves more detailed analysis for a more precise evaluation of risk(s) in order to determine the corrective actions.

Cyber due diligence as an input for valuation

Whether it is for acquiring a company or assessing the risk taken by cyber insurers, due diligence must serve as a platform for encouraging further reflection on the feasibility of a deal.

It must also constitute an element of added value for the company, to the extent that conforming to and respecting market best practices can prove to be costly.

Finally, cyber due diligence helps to identify the regulatory aspects that must be respected, such as laws affecting Critical Information Infrastructures (USA PCII Program, China’s Cyber Security Law, France’s “LPM”, Singapore’s upcoming New Cybersecurity Act…) and which may require a certain number of adaptations foreseen on the Information System of the company for sale, and / or the purchaser.

Have we ever seen a cybersecurity due diligence lead to the abandonment of a company purchase? Not publicly. We rather witness the rapid correction of the most serious identified vulnerabilities, or sometimes a decision to not connect certain components of the Information Systems.

Will cybersecurity due diligence have any real impact on transactions? To this question, Verizon provided a response with a figure: in February 2017, the operator decreased its offer to purchase Yahoo by US$350 million. This corresponds to more than 7% of the value (US$4.8 billion) initially offered.

Cet article “Cyber” due diligence is the new asset for business valuation est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

La transformation numérique : entre enjeu stratégique et menaces

La transformation numérique actuelle des entreprises se manifeste par une concentration et une circulation accrue de données. Ces dernières sont de plus en plus manipulées par des systèmes généralement non maîtrisés de bout en bout (big data, cloud, réseau social d’entreprise, etc.). Cette transformation numérique s’inscrit de plus dans un contexte d’allongement de la chaîne de prestataires et de partenaires (entreprise étendue), d’une mobilité et d’usages facilités (BYOD) et d’une attente forte d’immédiateté et de disponibilité de la part des clients et des collaborateurs. Concrètement cela engendre la mise en place d’outils transverses permettant de répondre à des enjeux d’agilité et de collaboration en cassant les silos entre les entités, mais avec des collaborateurs ou des clients peu formés aux nouveaux usages apportés.

Cette évolution rapide à laquelle aucun secteur d’activité n’échappe, entraine des risques qu’ils s’avèrent nécessaire d’identifier et de maitriser. Ces risques, loin d’être limités aux systèmes d’information, sont éminemment transverses et représentatifs de l’interconnexion existante entre les différents métiers.

Dans ce contexte, l’enjeu pour les directions en charge des risques (Juridique, Conformité, Risque, Contrôle Interne, Sécurité IT et Audit, etc.) est d’évaluer les risques liés à la transformation numérique et de garantir la continuité, la disponibilité ainsi que la protection des données et des applications.

La transformation numérique : révélateur et catalyseur des risques

La transformation numérique ne va pas générer de nouveaux risques mais va agir comme un catalyseur des problématiques déjà existantes. En effet, un tel programme va nécessiter de prendre en compte les besoins des métiers et de regarder les impacts potentiels (outils, processus métiers, etc.). Une lecture par les risques va permettre de faire resurgir toutes les problématiques et de réévaluer les risques et les dispositifs de couverture à la lumière du nouveau contexte.

L’identification des risques doit être accompagnée par la réalisation d’une cartographie des risques afin d’y intégrer les différentes problématiques concernées. En d’autres termes cela revient à regarder l’ensemble des risques qui pèsent sur la « donnée » dans ce nouveau contexte : compliance/juridique, sécurité, RH. À cela, peuvent également s’ajouter des risques d’image ou liés à la gouvernance.

Trois typologies de risques doivent être regardées avec une attention toute particulière :

Les risques réglementaires : l’identification des contraintes réglementaires sur la donnée

Depuis plusieurs années, les régulateurs ont commencé à s’intéresser à la manière dont les entreprises manipulent et sécurisent les données, ce qui a eu pour conséquence un renforcement croissant des contraintes réglementaires autour de ce sujet : nouveau règlement européen, durcissement du droit Russe, etc.

Compte tenu de cet environnement, les entreprises doivent identifier les réglementations auxquelles elles sont assujetties, les contraintes potentielles qu’elles peuvent générer et qui éventuellement ne sont pas respectées (partage de données bancaires ou de données industrielles hors du pays propriétaire, partage non encadré de données à caractère personnel hors de l’Union Européenne, etc.).

Une fois les contraintes identifiées, il est nécessaire de mettre en place les dispositifs adéquats pour y répondre : par exemple les Binding Corporate Rules (BCR) qui assurent une protection et une manipulation conforme des données à caractère personnel.

Les risques de sécurité SI : la sécurisation des données et des outils

Dans un monde digitalisé, les données peuvent être volatiles passant d’un outil à un autre facilement (emails, outils collaboratifs, applications mobiles, etc.). Il est donc nécessaire de formaliser un cadre clair (principes, règles, etc.) pour sécuriser l’information de bout en bout.

Au-delà du volet organisationnel et fonctionnel, il est également important de prendre en compte les contraintes d’architecture des systèmes d’information afin d’être en adéquation avec les enjeux de sécurisation (serveurs locaux, synchronisation ou non des données, enregistrement de population, etc.).

Les risques liés à la « conduite du changement » : l’évolution des dispositifs RH

La conduite du changement ne doit pas être limitée à la sensibilisation des collaborateurs sur les nouveaux outils ou les nouvelles modalités de travail. En effet, la transformation numérique peut avoir un impact profond sur le fonctionnement même d’une entreprise (management 2.0, mobilité, télétravail, Flex office, etc.). Il convient donc d’adapter les dispositifs RH existants et d’accompagner le collaborateur.

Par conséquent, un travail de formation et de sensibilisation doit être mené d’une part auprès des collaborateurs et des managers, mais également auprès des instances représentatives du personnel en les impliquant dès le départ dans le projet.

Traitement des risques liés à la transformation numérique : adopter une approche collaborative

Les risques liés à la transformation numérique embarquent une transversalité qui peut entrainer une difficulté lors de l’identification des porteurs et des actions à réaliser pour traiter lesdits risques. Cette difficulté est due à un périmètre des risques très large qui peut s’étendre sur plusieurs métiers ou sur plusieurs fonctions risques. Ainsi, il est nécessaire d’organiser une collaboration entre tous les acteurs pour prendre en compte cette transversalité et pour s’assurer in fine qu’il ne réside pas de zones de vulnérabilités pouvant être exploitées (cyber-attaque, fraude, indisponibilité, non-respect de la réglementation, etc.).

Cette collaboration doit être organisée à l’aide de quatre principes structurants :

• S’appuyer sur les programmes de transformation pour lancer les travaux sur les risques. En effet, les différents acteurs à mobiliser ont souvent peu l’habitude de travailler ensemble. Le « prétexte » d’un programme sur un sujet d’actualité doit permettre de créer une véritable dynamique,

• Réunir une équipe pluridisciplinaire composée de différentes fonctions et domaines d’expertises afin de confronter l’ensemble des points de vue,

• Accepter la remise en cause des dispositifs existants. La transformation numérique peut entrainer de profondes modifications dans l’organisation de l’entreprise, par conséquent, il peut également s’avérer nécessaire de faire évoluer le cadre normatif (dispositif de contrôle interne, nouvelles règles de gestion, etc.),

• Mettre en place une instance transverse afin de partager les avancements sur les travaux et disposer d’un niveau de validation nécessaire pour entériner les productions.

Aujourd’hui les entreprises s’appuient sur de nombreux référentiels pour aider l’identification et le traitement des risques (méthodologies internes, ISO 27005, ISO 31000, etc.).  Toutefois, le nouveau cadre que vient imposer la transformation numérique montre les limites de ces modèles qui ne prennent pas ou peu en compte la transversalité et les nouvelles connexions entre les métiers et les technologies. L’un des objectifs à venir pour les acteurs de la maitrise des risques est de faire évoluer rapidement les dispositifs et méthodologies existants afin de faire face à ces nouveaux enjeux.

Cet article Quels risques pour la transformation numérique ? est apparu en premier sur RiskInsight.

La notion de « crise » est perçue, dans nos sociétés modernes actuelles, de manière assez hétérogène, ce qui induit une certaine difficulté à en définir les contours précis. En effet, le terme de crise (économique, sociale, ou encore de réputation) est abondamment employé et ce, dans tous types de situations ou d’événements qui sont notamment relayés à la une des médias.

Étymologiquement parlant, le mot crise -issu du grec « Κρίσις »- associe les sens de « jugement » et de « décision » mis en œuvre pour dégager une décision entre plusieurs positions ou tendances opposées sinon conflictuelles.

Il s’agit bien ici d’exercer et donc d’entraîner une organisation à faire face à un ou plusieurs événements majeurs (quelles qu’en soient l’origine ou la nature – soudaine ou progressive), ayant des impacts considérables sur son fonctionnement et pouvant potentiellement mettre en péril ses ressources et donc ses actifs.

Pourquoi réaliser des exercices de gestion de crise ?

Avant tout parce qu’il s’agit du seul moyen tangible de s’assurer que les dispositifs mis en place sont opérationnels et en mesure de faire face à tous types de situations de crise. En effet, chaque organisation doit se préparer à gérer des situations complexes et déstabilisantes, y compris celles qu’elle n’a pas prévues voire imaginées.

Les objectifs d’un exercice de gestion de crise sont la validation du caractère opérationnel en termes organisationnel et humain des cellules de crise de l’entité dans le cas d’un événement majeur menaçant la bonne réalisation de tout ou partie de ses activités.

Les exercices permettent, dans un premier temps, de valider les procédures de remontée d’alerte jusqu’à la mobilisation des cellules de crise et, dans un second temps, de valider l’ensemble des procédures de gestion de crise prévues qui sont éprouvées tout au long de la session d’entraînement. Les exercices contribuent, bien évidemment, à faire monter en compétence les participants qui acquièrent, au fur et à mesure des exercices, l’expertise et les réflexes nécessaires à une gestion efficace de la situation.

Parce que la gestion de crise s’appuie sur des capacités humaines (capacité à anticiper, à prendre des décisions) et parce que chacun peut être amené à réagir de manière différente face à l’inconnu et au stress, s’entraîner c’est être prêt !

Enfin, il est à noter que la réalisation d’exercices de gestion de crise est une obligation réglementaire pour les établissements bancaires et financiers. Le régulateur s’assure que l’organisme a réalisé a minima une fois par an une action significative permettant d’attester que le dispositif a été éprouvé et qu’un plan d’actions d’amélioration a été établi. Idéalement, le niveau de difficulté des exercices devra être croissant et couvrir, à terme, les différentes typologies de crise.

Qui doit participer aux exercices de gestion de crise ?

Comme évoqué précédemment, les exercices de gestion de crise ont pour objectif d’éprouver les capacités d’une organisation à prendre des décisions dans un contexte inhabituel. Ils s’adressent donc en particulier aux membres des cellules de crises décisionnelles (CCD) qui sont généralement constituées des représentants du plus haut niveau de management de l’entité (Comité Exécutif ou Comité de Direction).

Lors d’un exercice de gestion de crise, les fonctions mobilisées au sein de la CCD peuvent varier selon le type de scénario joué ; cependant les expertises inhérentes aux ressources humaines, à la communication (interne et externe), au juridique, à la logistique, à l’informatique et au métier impacté sont habituellement sollicitées.

Afin de renforcer la robustesse du dispositif, il convient d’impliquer également les membres suppléants dans les exercices de gestion de crise, ceci permettant de se prémunir de tout défaut d’expertise au sein de la cellule de crise en cas d’indisponibilité du titulaire.

Il est aussi possible d’entraîner les cellules de crise opérationnelles qui ont pour rôle de mettre en œuvre les décisions prises par la cellule de crise décisionnelle.

Des exercices de crise au niveau national et international sont également organisés : le Groupe de Place Robustesse (composé d’établissements de crédit ou assimilés, d’infrastructures de marché, du HFDS du ministère de l’Économie et des Finances, de la Direction générale du Trésor, de la Fédération bancaire française, de la Banque de France, des autorités de supervision et de régulation telles que l’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers) se réunit régulièrement pour améliorer la robustesse de la place financière de Paris et pour échanger sur les expériences menées tant au sein des établissements que sur les autres grandes places financières. Des exercices de grande ampleur sont ainsi réalisés annuellement (panne d’électricité,  pandémie H1N1, crue centennale de la Seine, Cyber-attaque…)

Quelles sont les étapes à réaliser pour la mise en place d’un exercice de gestion de crise ?

La première étape consiste à définir et valider les objectifs de l’exercice qui devront prendre en considération le degré de maturité de l’entité en termes de pilotage de crise (une ou plusieurs cellules de crise impliquées dans l’exercice). En effet, il s’agit de positionner le degré d’exigence attendu au niveau adéquat afin que les objectifs soient à la fois ambitieux mais atteignables (les objectifs doivent tenir compte des axes d’amélioration identifiés lors des précédents exercices afin de valider que les actions correctives ont bien été mises en œuvre).

La seconde étape consiste à retenir un macro scénario adapté à la fois au contexte de l’entreprise et aux objectifs fixés. Les scénarios envisageables sont divers et variés en fonction de l’origine (interne ou externe) et de la dimension (technique, économique ou sociale et organisationnelle) de la typologie de crise retenue. La palette de scénarios est vaste et s’étend du plus commun au plus inattendu :

• Incendie / explosion de gaz avec ou sans victime
• Cyber-attaque avec vols de données ou destruction du SI
• Panne informatique de grande ampleur
• Fraude interne ou externe
• Pandémie
• Mouvements sociaux
• Rumeur
• Catastrophe naturelle
• Attentats
• Enlèvement / séquestration voire disparition de dirigeants…

Le macro scénario est ensuite décliné en chronogramme détaillé qui reprend l’ensemble des stimuli qui seront adressés à la (ou aux) cellule(s) de crise tout au long de l’exercice (la durée de l’exercice peut s’étendre d’une à deux heures jusqu’à plusieurs jours !). Chaque stimulus constituant le chronogramme devra être formulé de manière concise et précise en reprenant les termes propres à l’entité (processus, noms et contacts des personnes simulées…) permettant ainsi de se rapprocher au maximum de l’organisation et de la configuration réelle de l’entité.

La phase d’animation consiste à jouer le scénario tel qu’il est prévu au sein du chronogramme. Une cellule d’animation, qui représente à la fois le monde extérieur et les autres acteurs de l’organisation, adresse aux cellules de crise testées (via mails, appels téléphoniques, captures d’écran d’articles de presse…) les stimuli en fonction du timing prédéfini. Les membres des cellules de crise jouent leur propre rôle et les observateurs présents dans la salle de crise consignent leurs observations en vue du débriefing. L’équipe d’animation veille à ce qu’aucune information ne sorte du cadre de l’exercice ceci permettant d’éviter tout déclenchement de crise « réelle ».

A l’issue de l’exercice, un débriefing à chaud est animé par le directeur de l’exercice au cours duquel chaque participant interagit et alimente les débats. Un rapport d’exercice reprenant les forces et faiblesses du dispositif est par la suite formalisé et adressé aux membres de la cellule de crise.

Les constats réalisés au cours des exercices permettent d’identifier les failles potentielles du dispositif qui font l’objet d’un plan de recommandation priorisé. L’entité devra établir, mettre en œuvre et suivre un plan d’action lui permettant de s’assurer de la résilience du dispositif mis en place. L’efficacité et la robustesse du dispositif de gestion de crise devront ensuite être éprouvées au cours des prochains exercices.

Cet article Les exercices de gestion de crise : pourquoi, pour qui, comment ? est apparu en premier sur RiskInsight.

La directive-cadre Solvabilité 2 date de 2009. Nous sommes presque en 2015. D’après vous, quelles ont été les plus grandes avancées du secteur de la mutualité sur la gestion des risques ?

Alban Jarry : Un meilleur adressage des éléments pouvant générer des risques qui améliore progressivement la transparence dans la remontée d’informations et, par conséquent, un meilleur pilotage de l’entreprise. Aujourd’hui, il est possible d’avoir des tableaux de bords plus précis sur les risques financiers, assurantiels, opérationnels ou environnementaux. Cartographier les risques et les anticiper permet de mieux informer la gouvernance et de l’éclairer dans sa prise de décision.

Serge Marcante : À la Mutuelle Générale, nous avons mis en place fin 2013 une Direction des Risques et de la Qualité (DRIQ) indépendante des directions opérationnelles. Elle regroupe quatre services qui permettent de couvrir les problématiques liées aux risques et à la surveillance des processus : la gestion des risques, la sécurité, la conformité et la qualité. Avant même la mise en application de la Directive, cette direction va permettre au Conseil d’Administration de disposer de toutes les informations sur les risques stratégiques qui peuvent affecter le profil de risque de la mutuelle et ainsi de les anticiper.

Plus particulièrement à la Mutuelle Générale, où en êtes-vous dans la mise en place de la fonction « Risques », l’une des quatre fonctions clés définies par Solvabilité 2 ?

SM : Cette fonction sera localisée (dès l’entrée en vigueur des textes législatifs) au sein de la DRIQ dans la Direction des Risques. Elle assurera le respect de l’article 44 de la Directive. Nos politiques de risques et de gouvernance sont en cours de finalisation et seront applicables pour 2016. Il est important de se préparer, dès à présent, aux échéances réglementaires qui vont arriver dans un peu plus d’un an.

AJ : Nous améliorons continuellement notre dispositif de surveillance des risques et les cartographions. C’est un travail collaboratif et nous nous appuyons, en particulier, sur la Direction de la Qualité et du Développement Durable qui a rédigé la plupart des processus et permis de mieux cartographier les risques opérationnels. Pour les risques assurantiels et financiers, nous nous sommes dotés d’outils de surveillance qui permettent de les suivre et de calculer, en particulier, les éléments quantitatifs du pilier 1.

Avez-vous déjà défini de quelle façon l’AMSB, notion nouvelle en France, va être constituée ?

SM : Nous attendons la transposition en droit français de l’AMSB pour finaliser notre organisation sur ce point et notamment sur le principe des « quatre yeux ». Ce point est toujours en cours de négociation avec les autorités.

Un des objectifs de l’ORSA est de développer la culture du risque à chaque échelon de l’établissement et de mobiliser l’ensemble des acteurs. Aujourd’hui, quels sont selon vous les acteurs les plus sensibilisés ?

SM : L’ensemble de la chaîne de décision et de gouvernance est progressivement sensibilisé : le Conseil d’Administration, la Présidence, la Direction Générale Déléguée, les membres du Directoire et du Comex. Il est primordial que tous soient informés et participent à la surveillance des risques.

AJ : Nous avons une structure de contrôle en trois niveaux assez classique : les directions opérationnelles, la DRIQ puis l’Audit. Au niveau des directions opérationnelles, nous sommes en train de renforcer la surveillance des risques avec la création de « correspondances DRIQ » qui seront les premiers relais de notre direction dans la structure. Il est important que les collaborateurs soient sensibilisés car ce sont les premiers acteurs d’une amélioration continue de la qualité.

La gestion des risques telle que requise par Solvabilité 2 est-elle jugée comme étant une opportunité au sein des établissements ou comme un frein au développement ?

SM : La performance exigée par Solvabilité 2 en matière de gestion du risque est une opportunité pour la structure et doit participer à son développement en l’aidant à mieux appréhender les risques inhérents à chaque décision et à mieux les maîtriser quand ils se présentent. Plus largement, la collecte de données et de simulations, le fait de devoir repenser la culture du risque et d’affiner les outils de gestion internes sont autant d’éléments positifs pour l’entreprise.

Selon vous, quels sont les facteurs clés de succès pour une bonne gestion des risques dans un établissement du secteur de la mutualité ?

AJ : Une bonne gestion des risques nécessite de tenir compte du principe de proportionnalité et de maîtriser les budgets affectés à leur surveillance. Surtout, il faut être pragmatique dans la prise de décision. Les fondations d’une bonne maîtrise des risques reposent avant tout sur notre capacité à faire preuve de bon sens. C’est dans ce but que nous avons réorganisé l’actif et avons retenu un unique dépositaire. Nous travaillons aussi avec nos différents délégataires de gestion pour optimiser nos traitements liés au passif. Dialoguer avec les autres acteurs du secteur en participant à des travaux de Place facilite aussi grandement la mise en place de Solvabilité 2.

A contrario, s’il n’y en avait que deux à citer, quels sont les écueils à éviter ?

SM : Le premier écueil serait de considérer que les nombreuses règles et procédures instaurées par Solvabilité 2 en matière de maîtrise des risques doivent se subsister au bon sens élémentaire, primordial dans ce domaine. La deuxième erreur serait de négliger le principe de proportionnalité, au risque de construire une usine à gaz et de perdre de vue l’objectif essentiel : maîtriser les risques de l’entreprise.

*Alban JARRY, Directeur du Programme Solvabilité 2 et de la Mutuelle Générale, Vice-Président de XBRL France.
**Serge MARCANTE, Directeur des Risques et de la Qualité et membre du Directoire de la Mutuelle Générale

Cet article La gestion des risques sous Solvabilité 2 : quelle intégration dans le secteur de la mutualité ? est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Retour sur l’attaque Target : 40 millions de données bancaires subtilisées

Entre le 27 Novembre 2013 et le 15 Décembre 2013, Target s’est fait subtiliser plus de 40 millions de données bancaires, auxquelles s’ajoutent 70 millions de données personnelles. La méthode d’attaque est classique, mais bien exécutée : les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation. Le système de facturation externe de Target auquel le sous-traitant (et donc les attaquants) avait accès n’étant pas complétement isolé du réseau interne, les cyber-criminels ont réussi à s’y infiltrer, à voler 70 millions de données personnelles, et à installer un logiciel malveillant sur quelques  terminaux de paiements. Après des tests concluants sur les magasins concernés, ils ont décidé, peu avant Noël où l’affluence est la plus forte, de déployer leur malware sur la plupart des terminaux de paiements des magasins du territoire américain.

Les motivations des attaquants sont purement financières. En effet, une donnée personnelle se vend sur le marché noir entre  0,25$ et 2$ environ, tandis qu’une donnée bancaire peut rapporter plusieurs dizaines de dollars. Les gains sont donc potentiellement colossaux pour les attaquants !

Quel coût pour Target ?

Ponemon Institute annonce dans son rapport de 2013 un coût moyen de 130$ par donnée subtilisée, ce qui nous amènerait dans le cas de Target à un montant de plus de 14 milliards de dollars ! Il est cependant très peu probable dans ce cas que de tels montants soient atteints… quoique.

Les conséquences financières de l’attaque pour Target sont multiples. Hormis la perte de clientèle suite à la médiatisation de l’incident, Target a dû faire face à de nombreux coûts : frais d’expertise technique pour colmater la brèche, frais de notification, frais de credit monitoring… et devra faire face à de nombreux autres : amendes règlementaires, procès…

Target a récemment déclaré avoir dépensé 61 millions de dollars pour le moment suite à l’attaque. Ce montant, a priori assez faible au regard de l’importance de la crise (rien que les coûts de credit monitoring devraient dépasser ce chiffre, sans compter les frais de notification), est dans tous les cas assez loin du coût final. En effet, s’il est prouvé que Target n’était pas en conformité avec le standard PCI-DSS au moment de l’attaque, le distributeur peut encourir une amende de 90$ par donnée bancaire, soit 3,6 Md$. De plus, les banques tenteront dans ce cas de se faire rembourser la réémission des dizaines de millions de cartes reconstruites ainsi que les fraudes associées, tandis que les individus touchés intenteront probablement une class-action (procès collectif) à l’encontre de Target…

Et la cyber-assurance dans tout ça ?

C’est là que la cyber-assurance prend tout son sens, en indemnisant une partie non négligeable de ces coûts. La cyber-assurance prend en effet en charge les frais suivants :

Target a déclaré que sur les 61 millions de dollars dépensés, 44 ont été pris en charge par la cyber-assurance, l’ensemble des garanties souscrites par Target s’élevant à 165 M$ environ.

Cependant et il est important de le noter, la cyber-assurance ne couvrira pas la perte de clientèle et la chute du cours de l’action en bourse, qui restent des impacts importants mais difficilement chiffrables.

Il convient également de remarquer que l’attaque en question touche les terminaux de paiements, soit le SI « métier » qui peut parfois faire l’objet d’exclusions dans les contrats de cyber-assurance. Il est donc primordial de tester sa couverture via des scénarios d’attaques concrets.

La difficulté d’estimer le coût d’un scénario catastrophe et des garanties nécessaires

Pour traiter ce type de risque, la cyber-assurance peut donc avoir un rôle à jouer. Cependant, le montant de garantie à souscrire n’est pas simple à déterminer. Il influe directement sur le montant de la prime annuelle à payer par l’assuré, il faut donc trouver le juste milieu entre garantie et coût. Pour ce faire, une analyse détaillée des coûts par scénario peut être menée. Celle-ci permettra d’estimer le montant de garantie complémentaire nécessaire, une fois déduites les garanties des éventuelles autres assurances couvrant une partie du risque : Responsabilité Civile, Tous Risques Informatiques…

Mais ces estimations peuvent amener à des chiffres astronomiques, dépassant allègrement les 500 à 600 millions d’euros pour des acteurs B2C d’ampleur. Le coût de l’assurance en regard est alors élevé, mais judicieux au vu de la multiplication des incidents actuellement. Des grandes entreprises n’hésitent plus à investir 1 million d’euros par an pour ce type de contrat. Les capacités du marché français sont d’ailleurs en constante augmentation, atteignant aujourd’hui jusqu’à 500 millions d’euros de garanties par police d’assurance.

Mais attention à ne pas faire ces dépenses au détriment de l’augmentation du niveau de sécurité de l’entreprise. Car l’assurance n’empêche pas l’incident ! Le cas Target montre bien que des signaux d’alertes ont été ignorés.

Target apparait donc comme une illustration parfaite du rôle de la cyber-assurance dans le cas d’une cyber-attaque majeure. Cependant, un travail non négligeable d’estimation des coûts est nécessaire pour déterminer le montant de garantie à souscrire, afin d’optimiser le montant de la prime annuelle. Et ceci sans oublier de protéger son système d’information des menaces cybercriminelles de plus en plus pointues !

Cet article Target 6 mois plus tard, quel retour sur la cyber-assurance ? est apparu en premier sur RiskInsight.

Comment intégrer une vision plus « positive » du risque au sein de la cartographie ?

Ne pas savoir saisir les opportunités peut être considéré comme un risque vis-à-vis de la stratégie de l’entreprise. Dès lors, on doit attendre de la cartographie qu’elle accompagne cette prise de risques.
Prenons l’exemple d’une entreprise qui souhaite se développer sur un nouveau marché. Cette stratégie pourrait notamment s’appuyer sur l’acquisition d’une société disposant d’expertises sur ce marché. On pourrait raisonnablement considérer cette démarche comme intrinsèquement risquée : la société ciblée apportera-t-elle tout le potentiel attendu ? La valeur d’acquisition sera-t-elle bien évaluée ? Son intégration dans la culture de l’entreprise sera-t-elle facile ?… À ne considérer que les risques, la cartographie pourrait inciter à ne pas se lancer dans une telle démarche d’acquisition qui est pourtant ici nécessaire au développement de l’entreprise.
La bonne réponse passe dès lors par la prise en compte, au sein de la cartographie, non seulement des risques mais également des opportunités. On ne masquera pas les risques car ils nécessitent d’être gérés mais les différents scénarios seront relativisés au regard des bénéfices attendus. La cartographie deviendra alors un vrai outil d’aide à la décision permettant d’équilibrer la prise de risques.

Une vision très dépendante d’un contexte évoluant très rapidement

La perception et la qualification d’un scénario en tant que risque pour l’entreprise dépend des objectifs et du contexte (économique, financier, social,…) de celle-ci. Une bonne conjoncture économique, une trésorerie avantageuse, un contrôle interne efficace,…peuvent être à l’origine de la relativisation de certains risques dans la mesure où leurs impacts sur les objectifs de l’entreprise pourraient être faibles.
Prenons, par exemple, la situation d’une entreprise disposant d’une forte trésorerie, qui l’inciterait peu à chercher des opportunités d’optimisation de celle-ci. Au sein de la cartographie, le risque de manque d’optimisation financière sera très certainement mineur voire inexistant. Dans un contexte business moins favorable, l’argent immobilisé constituera un risque nettement plus conséquent (endettement, pénalités financières, baisse du chiffre d’affaire…) pour l’atteinte des objectifs de l’entreprise.

Adopter une approche globale des risques en intégrant les points de vulnérabilités à traiter mais également les opportunités à saisir passe donc nécessairement par la mise à jour très régulière de la cartographie pour adapter cette dernière aux évolutions rapides du contexte de l’entreprise.

Cet article Gestion des risques : comment équilibrer opportunités de développement et risques ? est apparu en premier sur RiskInsight.

Bien que leur nature ne s’y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.

Mieux appréhender l’incertitude : raisonner à partir des impacts

Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un apparent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).

Si l’histoire récente a parfois obligé les entreprises à s’améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’occurrence catastrophiques), et à en déduire la liste des causes potentielles.

Déjà appliquée dans le domaine financier (« reverse stress-testing »), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion pertinente sur les modalités de traitement de ces risques.

Capitaliser sur le risk management en place, via la notion de « cascade de risques »

Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d’Enterprise Risk Management – ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.

Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l’origine des vraies catastrophes (cf. l’exemple classique de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).

Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.

Bâtir une organisation résiliente

Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.

La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.

A la difficulté près qu’elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).

Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d’investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un back-up sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pour pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.

Même dans ce cas, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles. Dans ce cas d’autres mesures, déjà largement développées sur ce site, sont alors à envisager !

Cet article Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2) est apparu en premier sur RiskInsight.

Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?

Des outils aux fonctionnalités très étendues

Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.

D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :

Une polyvalence capable de répondre aux besoins du RSSI

Chaque module des outils de GRC peut être utilisé dans une logique SSI.

• La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
• Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
• Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.

De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).

Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.

De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.

Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place

Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :

• La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
• Le lotissement doit être progressif  : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
• La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit,  Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.

Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur  un cadre unique.

Cet article Les outils de GRC : une opportunité d’industrialisation de la gouvernance SSI ? est apparu en premier sur RiskInsight.

Cet article Dispositifs de gestion de crise et sécurité des SI : que font les grands comptes français ? est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

Rationalisée et optimisée depuis des années, elle est souvent devenue moins apte à résister aux chocs violents : un cas d’école pour le risk manager qui doit démontrer que la croissance n’a de sens que si elle est durable.

Une recherche de performance centrée sur le gain à court terme

Pour faire face à un environnement concurrentiel exacerbé, la supply chain a été parmi les premières fonctions mises à contribution pour réduire les coûts, via la rationalisation des canaux de distribution, le sourcing et l’off-shoring. Avec des résultats indéniablement à la hauteur des espérances et dont la presse économique se fait régulièrement l’écho¹.

Mais ce faisant, les supply chains ont insensiblement et progressivement été fragilisées. Ainsi, ces cinq dernières années² :

• 74% des entreprises ont allongé géographiquement leur supply chain,
• 70% ont réduit le nombre de fournisseurs sollicités pour une même fourniture,
• 63% ont eu recours à des fournisseurs implantés dans des régions à risque, régulièrement théâtres de perturbations majeures (tsunamis, ouragans, guerres civiles…).

Le résultat est là aussi sans appel : 75 % des entreprises interrogées ont connu au moins un incident majeur lors des deux dernières années, avec des conséquences parfois dévastatrices.

Quel rôle pour le Risk Manager ?

Dans ce contexte, le Risk Manager peut (doit) travailler main dans la main avec le responsable de la supply chain pour sensibiliser le management aux risques encourus (considérés comme « à très faible probabilité », ils sont rarement présents dans le top 10 suivi à haut niveau), et pour apporter aux décideurs les éléments poussant à des arbitrages plus équilibrés entre rentabilité court terme et résilience.

Ces éléments d’arbitrage découlent du plan d’action « classique » de maîtrise des risques :

• Analyse du fonctionnement global de la supply chain pour en identifier les vulnérabilités, et en déduire les scénarios de risque les plus probables et redoutés ;
• Ajout des informations « risque » (sur l’environnement, par exemple) dans le référentiel partenaires, en ouvrant si possible le panel aux acteurs alternatifs potentiels ;
• Vérification de leurs plans de continuité (participation aux tests dans l’idéal, au moins en tant qu’observateur) ;
• Simulation des scénarios de risque, pour évaluer la résistance globale de la supply chain.

Cet article Supply chain : le maillon faible ? est apparu en premier sur RiskInsight.

En effet, le processus de souscription constitue le pilier fondateur d’un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d’une telle opération.

Quels sont les acteurs majeurs de ce processus ?

Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations :

• Le client : il s’agit d’une organisation ou d’une entreprise souhaitant disposer d’une prestation (généralement financière) en cas de survenance d’un incident. C’est lui qui exprime le besoin, que ce soit par ses Risk Manager, ses RSSI, sa Direction Générale ou encore ses acteurs métiers.
• Le courtier : il est l’intermédiaire entre le souscripteur et l’assureur, et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client.
• L’assureur : il crée les polices d’assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client.

Comment se déroule le processus de souscription à une cyber-assurance?

En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une analyse de risques récurrente et un bilan assurantiel (évaluation de la couverture actuelle et des manques) impliquant toutes les parties de l’entreprise sont nécessaires.

Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et des modalités de son accompagnement au cours des différentes étapes, du choix à la vie du contrat.

Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin.

Le client et le courtier présentent ensuite à l’assureur leurs exigences en termes de périmètre de couverture et de plafond de garantie. Dans le cas de montants très élevés, le courtier peut mettre en place des montages d’assurances qui permettent d’atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l’assureur évalue la maturité du client, par l’intermédiaire de questionnaires ou par une analyse de risques. L’assureur propose alors un montant de prime d’assurance en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différents partis.

Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la police d’assurance.

Comment faire vivre le contrat ?

Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l’assureur, notamment sur le devoir d’information en cas de modification significative des risques sur son système d’information. Cette obligation se concrétise généralement par des réunions annuelles entre l’assureur, l’assuré et le courtier dans le but d’établir un bilan de l’évolution de la maturité du client et d’adapter le contrat en conséquence.

La souplesse dans l’évolution du contrat a deux principaux intérêts. Pour le client, il est de faire baisser le montant des primes en améliorant sa sécurité. Pour l’assureur, il est d’adapter le montant des primes en fonction de l’évolution du risque. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI.

Comment déclencher les garanties ?

Les délais de notification en cas d’attaque constituent l’élément central du déclenchement. Le code des assurances rappelle : «L’assuré est obligé de donner avis à l’assureur, dès qu’il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l’assureur. Ce délai ne peut être inférieur à cinq jours ouvrés » (Article L113-2). En cas de faute vis-à-vis de cette règle, le client peut se voir refuser ses garanties. L’enjeu est donc d’alerter au plus tôt l’assureur, même s’il n’y a que suspicion d’intrusion, mais aussi de cadrer les preuves à recueillir pour l’indemnisation – et ce dès l’établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si  l’assureur a été notifié dans les délais, et l’évaluation du sinistre réalisée.

En fonction des assureurs, la mise à disposition d’experts peut relever d’une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d’intervention de ces experts (obligation d’utiliser les prestataires de l’assureur, …).

Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Souscrire une cyber-assurance : mode d’emploi est apparu en premier sur RiskInsight.

• Quels sont mes risques et parmi eux quels sont mes risques les plus critiques ?
• Sont-ils maîtrisés et dans le cas contraire quelle(s) décision(s) prendre ?

Au sein de l’entreprise, les acteurs à même d’apporter des réponses à ces questions sont nombreux (Risk Manager, Responsable des Risques Opérationnels, auditeurs…). S’agissant des risques de sécurité, au cœur de notre sujet, retenons, entre autres, la Direction des risques, le contrôle interne, l’audit interne et bien sûr le RSSI et ses équipes.

Si leur implication dans la gestion des risques SSI est évidente, les liens qui les unissent le sont moins. Apporter des réponses pertinentes aux deux questions ci-dessus passe donc nécessairement par la clarification des relations qui les lient – ou qui devraient les lier.

Quelles relations mettre en œuvre entre les différents acteurs de la gestion des risques SSI ?

À défaut d’organisation commune à toutes les entreprises, nous pouvons schématiser ainsi les principaux rôles de chacun de ces acteurs, ainsi que leurs interactions.

Pour gérer les risques de manière efficace et efficiente, il est nécessaire que les acteurs concernés partagent leurs informations.

Cette exigence de partage de l’information n’est pas toujours effective

Les différentes contributions à la gestion des risques SSI sont malheureusement peu souvent coordonnées voire parfois ignorées. Trois situations, trois questions reviennent en permanence, illustrant ce manque de communication :

• Quels contrôles relatifs à la sécurité des SI sont réalisés par le contrôle interne ? La fonction contrôle interne dispose-t-elle de l’expertise pour mener des contrôles de sécurité ?
• La politique de sécurité fait-elle partie du référentiel de contrôle ? Les contrôles réalisés permettent-ils d’en mesurer la mise en œuvre ?
• Les démarches, méthodes, référentiels, échelles…utilisés pour  gérer les risques sont-ils partagés

Mettre en œuvre des actions concrètes de rapprochement

Quelles solutions permettront un rapprochement ? À cette question il n’y a évidemment pas de réponse toute faite, pas d’organisation unique adaptable partout. Il existe néanmoins quelques bonnes pratiques qui vont faciliter l’atteinte de cet objectif.

1.    Évaluer les risques à couvrir ainsi que les contrôles à réaliser en s’appuyant sur  la même échelle de classification

Facteur de rapprochement essentiel, une échelle commune permet notamment de prioriser les contrôles à réaliser en se focalisant sur ceux liés aux situations les plus à risques.

Sans ce partage, il est très difficile d’obtenir une vision consolidée des risques. Une fois cette échelle commune établie, il est alors possible de mettre en œuvre les points suivants.

 2.    Travailler sur un catalogue de risque partagé

Tous les acteurs doivent pouvoir s’appuyer sur un catalogue commun de risques. Le contrôle interne pourra y ajouter les résultats des contrôles réalisés afin de mettre à jour le niveau de maîtrise des risques correspondants. Le RSSI pourra y contribuer en renseignant les risques dont il est le porteur et en intégrant notamment les vulnérabilités pesant sur les actifs SI.

 3.    Gérer conjointement la relation avec l’ensemble des acteurs métier et SI

Les Directions métiers comme les experts du SI sont aujourd’hui sur-sollicités par l’ensemble des acteurs de la gestion des risques. Aboutir à une gestion des risques plus efficiente passe donc nécessairement par l’harmonisation des différentes démarches. Harmoniser, ce n’est pas fusionner (chacun garde ses spécificités) mais se doter d’un discours, d’un calendrier, d’un outillage le plus homogène possible afin de présenter aux acteurs métier une démarche cohérente et optimisée.

 4.    Clarifier les périmètres de chacun et acter la délégation de responsabilité les cas échéant

Le domaine de la sécurité des SI est un bon exemple de périmètre au sein duquel la clarification des responsabilités de chacun est souvent nécessaire. Prenons l’exemple des contrôles de niveau 2 touchant la SSI. Ceux-ci peuvent être gérés par la fonction contrôle interne si elle dispose de l’expertise ad-hoc mais ils sont régulièrement suivis par le RSSI. Dès lors l’enjeu est de bien définir les actions de contrôle portées par le RSSI en délégation du contrôle interne pour la spécificité du domaine SSI.

 Améliorer l’efficacité de sa gestion des risques est d’abord un enjeu de Gouvernance

Nous l’avons vu, au-delà des questions de méthodologie et d’outillage, faciliter et améliorer sa gestion des risques passe essentiellement par une plus grande communication entre les différents acteurs. Cet objectif ne vise pas à gommer leurs spécificités mais à faire en sorte que les résultats des travaux des uns puissent servir à mieux cibler et prioriser les travaux des autres.

La Direction des risques a dans ce schéma un rôle essentiel dans la mesure où elle est la mieux placée pour orchestrer les actions des uns et des autres. Son positionnement global (vision de l’ensemble des risques de l’entreprise) doit lui permettre d’être le facilitateur

Cet article Les relations risquées entre les acteurs de la gestion de risques est apparu en premier sur RiskInsight.

Étape 1 : utiliser une échelle commune, un pré-requis à la démarche

Disposer d’une échelle commune visant à mesurer les risques semble une évi­dence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartogra­phies des risques élaborées. C’est donc la pre­mière étape pour intégrer les filières ! La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’iden­tifier les points de dépendance clés.

Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. L’atteinte d’un consensus n’est pas toujours aisée, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche.

Étape 2 – Construire un portefeuille de risques : un référentiel de pilotage unique

La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques.

Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de posi­tionner un risque dans une seule et unique filière. Une fois ces recouvrements identifiés, il devient possible de formaliser les responsa­bilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant et dans le pire des cas des démarches contradictoires.

Étape 3 : transformer la relation avec les métiers

Les métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs.

Plusieurs leviers d’optimisation sont à mettre en œuvre :

•  Le travail sur les zones d’adhérence des risques doit être remis à profit pour anticiper les redondances et les contourner au tra­vers d’entretiens ou de questionnaires communs sur ces périmètres.
• L’échange des informations collectées auprès des métiers doit permettre d’enrichir la réflexion de tous et de garantir une sollicitation efficace des métiers.
• La mutualisation de la restitu­tion et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la valida­tion des risques.

Étape 4 : partager les plans d’actions

En intégrant la vision des risques, la définition des plans d’ac­tions est plus simple à optimiser. Les actions identifiées par chaque filière sont partagées, des synergies peu­vent être dégagées et les budgets mieux alloués sur l’ensemble du périmètre :

• Les actions de réduction des risques sur les zones d’adhé­rence peuvent ainsi être défi­nies collégialement, chaque filière traitant d’une compo­sante du risque ;
• Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées.

Chaque filière dispose alors de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régu­lier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’en­semble des composantes des plans de traitement.

La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un accompagnement par une conduite du changement.

Lire les précédents articles une gestion des risques SI au cœur de l’innovation et des métiers et casser les silos en articulant les filières de gestion de risques.

Pour en savoir plus, vous pouvez également consulter notre synthèse :  “Management des risques : plaidoyer pour une vision unifiée”

Cet article Management des risques : comment mettre en place une organisation de gestion des risques ? est apparu en premier sur RiskInsight.

Mais face à cette multiplicité des gestionnaires de risques et des démarches, comment obtenir une vision d’ensemble ? Telle est la question à laquelle nous nous proposons de répondre dans la deuxième partie de notre dossier consacré au Management des risques.

Une vision d’ensemble difficile à obtenir…

Les multiples acteurs qui composent les filières de gestion des risques SI (DSI, RSSI, RPCA…) agissent le plus souvent indépen­damment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel… tout en ayant peu voire même aucun échange avec les autres acteurs.

L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge. Ce fonctionnement en silos n’optimise ni l’identification, ni l’éva­luation et le traitement des risques. Ces silos pénalisent l’entre­prise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose :

• Quelle est globalement mon exposition aux risques ?
• Ai-je bien mis les priorités aux bons endroits ?

Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens.

… et d’inévitables redondances

L’approche en silos a un second inconvénient : elle génère natu­rellement une sur-sollicitation des métiers : on constate souvent autant de sollici­tations que de filières ! Or, s’il est nécessaire que les acteurs de la gestion des risques SI collaborent avec les directions métiers, notam­ment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive.

La solution réside donc dans l’or­chestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise.

 Vers une cible d’organisation intégrée : la « tour de contrôle »

L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rappro­chement favorise ainsi la consolida­tion d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’opti­misation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires.

Mais attention : rapprochement des filières ne veut pas dire fusion des filières.

Chacune a recours à des compétences, des expertises et des normes spécifiques.

Si la « tour de contrôle » est l’orga­nisation optimale cible, il n’est pas évident de l’implémenter immédia­tement. Une mise en place progressive est, de ce fait préférable. Elle doit permettre de poser les  bases d’une approche des risques partagée et introduire un changement de culture.  Ce sont les premières étapes de cette mise en place que nous détaillerons dans la 3ème partie de notre dossier sur le management des risques.

Cet article Management des risques : casser les silos en articulant les filières de gestion de risques est apparu en premier sur RiskInsight.

Découvrez quelques éléments de réponse dans la première partie de notre dossier consacré au Management des risques.

Une prise de risque au service de l’atteinte des objectifs de l’entreprise

Les démarches de gestion des risques peuvent donner l’impression de sur-traiter le risque, voire de le refuser systématiquement. En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient par­fois les gains potentiels d’une prise de risque. Se développer sur un nou­veau marché, adapter son offre com­merciale, acquérir une société… sont autant de démarches « risquées » qui se révèlent aussi sources potentielles de profits pour l’entreprise et bien sou­vent nécessaires à son évolution. Pour chaque risque, c’est ce difficile exercice d’équilibre entre gains et pertes potentielles qui doit permettre de modi­fier la perception que les métiers ont des démarches de gestion des risques.

Une gestion des risques efficace doit apporter une aide à la décision et une réponse assumée et proportionnée aux menaces pesant sur l’entreprise. Cela ne peut être atteint qu’en collaboration avec les directions métiers qui sont les seules à même d’évaluer les impacts sur leurs activités.

Un prérequis : formaliser les objectifs de l’entreprise pour identifier les risques et leurs porteurs

Les risques créent une incertitude sur l’atteinte des objectifs de l’entreprise (voir la norme ISO 31000). Pour identifier, évaluer et gérer les risques, il est donc essentiel pour l’entreprise de bien identifier et formaliser ses objectifs.

Les risques touchent tous les niveaux de l’entreprise et sont portés en consé­quence par des acteurs multiples. Au-delà des risques stratégiques gérés par la Direction générale et des risques métiers, bien souvent sectoriels et portés par les directions en charge de ces fonctions, les risques opérationnels ont fait l’objet d’une attention de plus en plus importante ces dernières années. Le renforcement des réglementations, plus particulièrement dans le secteur financier, a mis en lumière un besoin fort de maîtrise de ces risques. Communs à toutes les entreprises, ils recouvrent les risques relatifs aux processus, aux personnes et aux systèmes de l’entreprise.

 Le SI, colonne vertébrale de l’entreprise, au cœur de la gestion des risques

Parmi les risques opérationnels, les risques liés aux systèmes d’infor­mation ont évolué particulièrement rapidement ces dernières années et doivent faire l’objet d’une gestion de risques à part entière. Autour de l’information s’articulent en effet différents domaines de risques très dépendants les uns des autres.

• Les risques du système d’information sont des risques trans­verses à l’entreprise, qui intègrent l’ensemble des risques métiers et opérationnels ayant une composante SI.
• Les risques sécurité de l’information comportent une large composante SI, mais n’y sont pas limités. Ainsi, la sécurité de l’information couvre également les dimensions orales et papier de l’information. Bien ancrés dans les pratiques de gestion de risques des entreprises, ils font sou­vent l’objet d’une filière dédiée.
• Il en va de même pour les risques de continuité d’activité. Ils regroupent des risques SI sur les aspects conti­nuité informatique, mais débordent largement sur les risques opération­nels en traitant le secours utilisateur et les aspects logistiques, RH, juri­diques, etc.

De nombreux référentiels et des normes existent pour gérer ces risques. S’ils convergent sur un certain nombre de concepts fondamentaux, leurs modalités de mise en œuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc.
La mise en place de filières spécifiques à chaque type de risque les a souvent largement exploités ces dernières années, sans pour autant uniformiser les pratiques.

Dès lors, il peut s’avérer difficile de disposer d’une vision d’ensemble et un nouvel enjeu émerge : comment optimiser globalement la gestion des risques SI ? (Lire notre article “Casser les silos en articulant les filières de gestion de risques“)

Pour en savoir plus sur le management des risques, consultez également la synthèse Solucom “Management des risques, plaidoyer pour une vision unifiée”.

Cet article Management des risques : une gestion des risques SI au cœur de l’innovation et des métiers est apparu en premier sur RiskInsight.

Cet article Gestion des risques : de la perception à la réaction … est apparu en premier sur RiskInsight.

Dans un monde moins dangereux mais plus risqué, quel comportement adopte-t-on face au risque ?

Alors que notre monde est de moins en moins dangereux, nous avons aujourd’hui le sentiment de vivre dans un monde de plus en plus risqué. Risques alimentaires, écologiques, technologiques, financiers, métiers à risques, populations à risques… Le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique.

Pour paraphraser le philosophe François Ewald, rien n’est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d’appréhender le réel, associée à une volonté de maîtriser l’avenir. Cette « mise en risque » progressive du monde est justement ce qui caractérise l’histoire du 20^ème siècle.

Erving Goffman, sociologue américain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d’activité, la veille et l’alarme, passant de l’un à l’autre lorsqu’un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d’autres à ces signaux et plus prompts à réagir. On pourrait dire que l’homme moderne possède les aptitudes perceptives d’une biche, toujours prête à s’effrayer, mais la réactivité d’une vache, lente à se mobiliser. Évidemment, ce décalage est anxiogène !

Pourquoi les hommes ressentent-ils le besoin d’atteindre le risque zéro ?

La « mise en risque » progressive du monde a été au 20^ème siècle corrélative d’une nouvelle utopie : celle du risque zéro. L’expansion continue du risque est portée par un espoir qui peut sembler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale.

Cependant, les experts ont dû admettre que le risque nul n’existe pas, que certains risques sont rémanents, que d’autres sont concurrents, et que la réduction des uns peut renforcer les autres.

Ces dernières décennies ont également été marquées par ce que l’on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l’utopie du risque zéro. Ce principe implique que « l’absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l’environnement à un coût économiquement acceptable ». Aujourd’hui est fait un usage galvaudé de ce principe de précaution, ce dernier se transformant en principe d’abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, fait seulement mention des risques « graves et irréversibles » et n’envisage que des mesures « proportionnées », à un coût « économiquement acceptable ». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un « risque zéro » hors d’atteinte.

Pourquoi le risque zéro est-il utopique et incongru ?

L’intrusion du facteur humain est une des explications de l’échec de l’utopie du risque zéro. Selon la théorie du risque homéostatique, les individus ne recherchent pas forcément le risque zéro, ils sont même prêts à s’exposer à un certain niveau de risque qu’ils jugent « acceptable », pour en retirer un bénéfice.

Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu’ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d’autres contraintes, d’autres risques.

Par ailleurs, ces experts doivent prendre en compte le phénomène de déni du risque qui peut être redoutable. Le déni du risque s’appuie souvent sur une stratégie de « bouc émissaire », qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu’une catégorie d’individus bien particulière, à laquelle on n’appartient pas soi-même.

Aujourd’hui, la gestion d’un risque, dans la société comme au sein d’une entreprise, implique au moins deux dimensions interdépendantes. D’abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d’acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particulier, au sein d’une entreprise, avec les salariés, avec les métiers, pour que leurs points de vue, leurs besoins et leurs objectifs propres soient pris en compte.

Lire l’article : Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques

Cet article Quelle perception du risque dans la société ? La vision de Patrick Peretti-Watel est apparu en premier sur RiskInsight.

Des métiers sur-sollicités

Les Directions métiers sont aujourd’hui sur-sollicitées par une filière risques qui peine souvent à mettre en cohérence les démarches de recensement et de traitement des différentes typologies de risques (RH, juridique, SI, qualité, continuité…). La multiplicité des acteurs, démarches et planning entraîne une perte générale de lisibilité pour les métiers, qui en réaction s’impliquent moins dans le processus de management des risques.

Créer un cadre unifié pour la gestion des risques

Il est nécessaire de repenser les filières risques pour une meilleure intégration des différents canaux de remontée et de traitement des risques. Vis-à-vis des métiers, ces changements doivent se traduire par des sollicitations plus cohérentes, favorisant ainsi leur adhésion.

Deux axes majeurs pour opérer cette transformation : la convergence des pratiques et la rationalisation de la gouvernance des risques  (voir notre article à ce sujet).

Un retour sur investissement difficile à percevoir

Difficile pour le métier d’évaluer à quel point le travail fourni dans le cadre de la gestion des risques a permis d’atteindre le résultat escompté si on ne le lui montre pas clairement ! Le gain associé aux efforts consentis est en effet difficilement perceptible, car le premier résultat d’une gestion de risques efficace, c’est bien l’absence de perturbations majeures sur les activités. La filière risques doit ainsi faire l’effort de mesurer les gains associés à ses actions, afin de mieux valoriser ces dernières auprès des métiers et leur faire comprendre l’intérêt qu’ils ont à s’impliquer.

Développer le « marketing de la filière risques »

Pour favoriser l’adhésion des Métiers, la filière risques doit développer sa capacité à intervenir en mode projet ou en phases d’étude à leur demande, en sortant d’un mode de fonctionnement aujourd’hui trop basé sur le récurrent.

Elle doit pour cela apprendre à se vendre, en assurant la promotion des services qu’elle peut offrir aux Métiers et des résultats qu’elle obtient. Cela doit contribuer, si ce n’est à inverser, au moins à rééquilibrer les flux de sollicitations entre les deux parties. Ces derniers partent en effet aujourd’hui majoritairement de la filière risques et non des Métiers, contrairement à la quasi-totalité des autres directions support ! La filière risque dispose de plusieurs moyens pour ce faire, au travers par exemple :

• de la structuration de « l’offre de la filière risque » : comment et sur quoi cette dernière se propose d’intervenir auprès des métiers, à leur demande ;
• de la valorisation des résultats obtenus, en trouvant des indicateurs pertinents et des exemples concrets pour les différentes typologies de risques ;
• de la détection des nouvelles opportunités qui apparaissent aux Métiers grâce à la bonne gestion des risques (moyens de valorisation en externe par exemple)

Un refus trop fréquent du risque

La filière risques est souvent perçue comme l’entité qui « sur-traite » voire refuse systématiquement le risque, plutôt que celle qui valorise la prise de risque maîtrisée.

Les métiers, au cours du processus de décision, attendent pourtant que les pertes potentielles soient analysées au regard des gains attendus. Réaliser cet exercice difficile et décider « en toute connaissance de cause » est de plus en plus complexe pour eux, et la filière risque peut les aider en cela, que ce soit sur un plan stratégique ou opérationnel.

S’aligner sur les objectifs des Métiers et veiller à ne pas sur-traiter les risques

La filière risques doit passer du refus trop fréquent du risque à l’assistance au métier dans la conduite de ses choix stratégiques et opérationnels, pour lui permettre d’atteindre ses objectifs en prenant des risques maîtrisés. Le gestionnaire de risques doit devenir un des soutiens indispensables dans les équipes chargées de mener des études ou projets stratégiques, via sa capacité à analyser de manière large et détaillée les risques et valider que la prise de risques permettra de générer de la valeur et est conforme à « l’appétence au risque » qu’exprime le métier. Dans un cadre plus opérationnel, il doit s’assurer que les projets intègrent bien la notion de risque tout en conservant ses missions récurrentes de cartographie et traitement.

Mais il doit surtout développer son rôle de conseil « à la demande du métier », en veillant à ne pas imposer des processus et solutions qui viseraient à « sur-traiter » les risques et donc à diminuer la performance de l’entreprise.

Cet article Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques est apparu en premier sur RiskInsight.

Quelques incidents majeurs d’indisponibilité survenus en 2011

Dans le domaine des technologies de l’information, l’année passée a connu une médiatisation forte du cloud, notamment vis-à-vis du grand public. Mais elle a également montré quelques limites du « nuage » en termes de disponibilité avec des incidents touchant les acteurs majeurs du secteur tels qu’Amazon, Microsoft ou Google.

2011 a également connu les désormais habituelles, mais ô combien impactantes ruptures de câbles. Notamment celle de Vélizy, en mai dernier, où des fibres ont été coupées lors de travaux du tramway. Un site d’hébergement informatique a été isolé près d’une journée, perturbant ainsi l’activité de grands comptes de la distribution et celle d’un ministère. Non moins insolite, une Géorgienne de 75 ans a coupé la connexion de 3,2 millions d’Arméniens en cherchant du cuivre près de Tbilissi !

Mais de tous les incidents, les catastrophes naturelles sont indéniablement les plus marquantes, par leur gravité et leur dimension parfois inhabituelle : les inondations en Thaïlande et surtout le désastre de Fukushima. Ces catastrophes ont montré les limites des dispositifs de maîtrise des risques, et poussé ces pays à améliorer leur capacité à gérer des crises exceptionnelles.

Un renforcement de la sensibilité des états et des organisations sur le sujet

Le Japon et la Thaïlande ne sont pas les seuls pays qui se sont intéressés à la question. Le sinistre de Fukushima a réveillé l’opinion publique sur le risque nucléaire et incité la très grande majorité des pays exploitant cette énergie à examiner la sécurité de leurs installations. Dans le même courant, l’augmentation des événements naturels pousse de nombreux gouvernements de par le monde à repenser leur gestion des risques majeurs.

Le 3 janvier, l’Autorité de Sûreté Nucléaire française (ASN) a remis au Premier Ministre son rapport sur les évaluations complémentaires de sûreté (ECS) et révisé ses exigences de sûreté relatives à la prévention des risques naturels (séisme et inondation), à la prévention des risques liés aux autres activités industrielles, à la surveillance des sous-traitants et au traitement des non-conformités.

Plus globalement, l’Union Européenne a, ces dernières décennies, défini des réglementations sur des sujets divers allant de la réglementation sur les substances chimiques (REACH), celle sur l’évaluation des risques d’inondation (2007/60/CE), à celle relative au domaine banque/assurance (Bâle III, Solvency II), etc. Et ces directives sont déclinées en France.

Sur un autre continent, le Maroc conduit un projet de définition d’une stratégie nationale de prévention et de gestion des risques, notamment ceux liés aux catastrophes naturelles. Cette volonté a été confortée par les inondations de mars 2011.

Mais outre ces réglementations, les catastrophes de 2011 poussent à inscrire la gestion des risques dans de nouvelles dimensions.

Des risques à traiter au-delà des frontières habituelles…

Au-delà des frontières géographiques…  Les inondations en Thaïlande en témoignent. Si la ville de Bangkok a été globalement préservée (au travers des actions volontaristes menées par le gouvernement), il n’en reste pas moins que des zones industrielles, dans sa périphérie ou dans le pays, ont été sévèrement touchées.  Les impacts en termes de production se sont répercutés partout dans le monde, en particulier sur le marché de l’électronique, et notamment sur la production des disques durs professionnels comme grand public (augmentation des prix de 30% à 150% selon les distributeurs).

Au-delà des frontières internes des entreprises… La gestion des risques doit bien intégrer la réflexion sur la continuité des processus avec l’ensemble des acteurs, sans omettre les prestataires et fournisseurs essentiels. C’est ainsi que la pénurie de pièces produites en Thaïlande a poussé un constructeur automobile à revoir sa production à la baisse.

Au-delà des frontières des typologies de risques… La cyberattaque en est une illustration. Il ne s’agit pas de traiter la confidentialité des données qui peuvent être accédées uniquement, en oubliant la disponibilité des services offerts par une DSI, ni l’inverse. Les objectifs de ces attaques étant variés, tous les risques doivent être considérés, de la fuite d’informations et à l’interruption d’activité.

L’approche traditionnelle consistant à traiter les risques de façon indépendante, ce qui pousse bien souvent à les penser dans un cadre restreint, a donc vécu : il convient désormais de bâtir un dispositif global de gestion des risques, sur les processus métiers critiques avec tous leurs enjeux, leurs acteurs et leurs moyens, qu’ils soient en France ou non, basés sur les nouvelles technologies ou non, etc.

Cet article 2011 : rétrospective des incidents majeurs et impacts sur la gestion de risques est apparu en premier sur RiskInsight.

Historiquement, la gestion des risques est abordée par silos au sein des entreprises. Chaque filière (SI, qualité, continuité, RH,…) traite son périmètre en toute autonomie et sans réels échanges avec les autres. Cette gestion très cloisonnée rencontre aujourd’hui ses limites car elle n’apporte pas de réponses satisfaisantes aux questions clés qui régissent la gestion des risques pour toute entreprise :

• Quelles actions de réductions des risques dois-je initier en priorité ?
• Comment mutualiser mes efforts pour un maximum d’efficacité et un minimum de coût ?
• Quel niveau de réduction de mes risques ai-je atteint ?

Aligner les démarches pour un partage et une consolidation des risques

La Direction des risques, acteur majeur de la démarche, se retrouve dès lors confrontée à un enjeu de taille : comment traiter globalement les risques de l’entreprise en s’affranchissant de cette structure par filière. Notre conviction est qu’elle doit, pour ce faire, mettre en place un cadre global de gestion en travaillant principalement sur deux axes :

–       Aligner et faire converger les pratiques : si la notion de risque et les concepts associés sont  très proches d’une filière à l’autre, il arrive trop souvent que les méthodes, les langages, les échelles,… divergent rendant ainsi la consolidation des risques remontés par chacune des filières difficile voire impossible.

–       Elaborer ou Rationaliser la gouvernance des risques : la mise en place d’une organisation intégrant les différentes parties et les faisant interagir permettra non seulement de décloisonner la gestion des risques mais aussi d’optimiser les plans de traitement et la maîtrise globale du risque.

Cette rationalisation doit également concerner les canaux de remontées des risques qui sont aujourd’hui extrêmement nombreux (au moins autant que de filières) entraînant une sur-sollicitation des opérationnels.

Au-delà du travail sur la méthode et l’adaptation de l’organisation, cette réponse globale doit s’appuyer sur un portefeuille de risques commun, réceptacle unique pour l’ensemble de l’entreprise. Véritable outil de pilotage, le portefeuille doit permettre, à la cible, un traitement plus adapté des risques par les différentes filières, basé sur des plans d’actions complémentaires et partagés.

S’appuyer sur l’existant pour une mise en place progressive

On ne passe pas d’une réponse éclatée à une approche globale en une seule étape, ou en faisant table rase de l’organisation et de ses contraintes. Face à ce challenge, la stratégie gagnante est, au contraire, celle qui implique l’ensemble des parties prenantes dans la réflexion pour en garantir l’acceptation et construire une véritable « culture du risque » au sein de l’entreprise. C’est également celle qui élargit pas à pas le spectre des risques couverts en commençant par la consolidation de risques de nature similaire, tels que les risques de sécurité et ceux liés au SI, avant d’inclure l’ensemble des risques opérationnels.

C’est en construisant sur l’organisation, en apportant de la cohésion entre les différentes filières et en appliquant une démarche progressive que les entreprises réussiront à transformer leur approche des risques.

Cet article Globaliser la gestion des risques : vers la mise en place d’un cadre unique est apparu en premier sur RiskInsight.