Malicious uses of deepfakes can be grouped into three main categories: 

• Disinformation and enhanced phishing: Falsified videos with carefully crafted messages can be exploited to manipulate public opinion, influence political debates, or spread false information. These videos may prompt targets to click on phishing links, increasing the credibility of attacks. Such identity theft has already targeted public figures and company CEOs, sometimes encouraging fraudulent investments. 
• CEO fraud and social engineering: Traditional telephone scams and CEO fraud are harder to detect when attackers use deepfakes to imitate an executive’s voice or fully impersonate someone (face and voice) to obtain sensitive information. Such live identity theft scams, especially via videoconferencing, have already resulted in significant financial losses, as seen in Hong Kong in early 20241.  
• Identity theft to circumvent KYC solutions2 : Increasingly, applications, especially in banking, use real-time facial verification for identity checks. By digitally altering the facial image submitted, malicious actors can impersonate others during these verification processes.

The rapid growth of generative artificial intelligence has led to a steady increase in both the number and sophistication of deepfake generation models. It is increasingly common for companies to suffer such attacks (as evidenced by our latest CERT-W annual report ) and increasingly difficult to detect and counter them.  

Figure1 – Increase in deepfake technologies and resulting financial losses

Humans remain the primary target and therefore the first line of defense in the information system against this type of attack. However, we have seen a significant evolution in the maturity of these technologies over the past year, and it is becoming increasingly difficult to distinguish between what is real and what is fake with the naked eye.  

After supporting many companies with employee training and awareness, we saw the need to analyze tools that could strengthen their defenses. Having reliable deepfake detection solutions is no longer just a technical issue: it is a necessity to protect IT systems against intrusions, maintain trust in digital exchanges, and preserve the reputation of individuals and companies. 

Our Radar of deepfake detection solutions presents about 30 mature providers we have tested rigorously, allowing us to identify initial trends in this emerging market. 

For our technical tests, some stakeholders provided versions of their solutions deployed in environments similar to those used by their customers. We then built a database of multiple deepfake content of various types: media type (audio only, image, video, live interaction); format (sample size, duration, extension) and deepfake tools used to generate these samples: 

To best extract market trends from these tests, we considered three distinct evaluation criteria: 

• Performance (deepfake detection capability, accuracy of false positive results, response time, etc.) 
• Deployment (ease of integration into a client environment, deployment support and documentation) 
• User experience (understanding of results, ease of use of the tool, etc.) 

An emerging market that has already proven itself in real-world conditions 

Two different technologies to achieve the same goal  

We first categorized the different solutions offered according to the type of content detected: 

• 56% of solutions detect based on visual media data (image, video) 
• 50% of solutions opt for detection based on audio data (simple audio file or audio from a video)  

This balanced distribution of content types enabled us to compare the performance of each technology. While most of the solutions developed rely on artificial intelligence models trained to classify AI-generated content, the processing of a visual file (such as a photo) or an audio file (such as an MP3) differs greatly in the types of AI models used. We could therefore expect differences in performance between these two technologies. 

However, our technical tests show that the accuracy of the solutions is relatively similar for both image and audio processing. 

We also identified leading providers developing live audio and video deepfake detection, capable of processing sources in under 10 seconds, which addresses today’s most dangerous attack vectors. 

These solutions, which mainly process audio, achieved an accuracy score of 73% of deepfakes detected as such. This shows the potential for improvement for these young players in detecting state-of-the-art live attacks. 

From PoC to deployment at scale, a step already taken by some

The maturity of solutions also varies on our radar. While some providers are start-ups emerging to meet this specific need, others are not new to the market. In fact, some of the companies we met had their core business in other areas before entering this market (we can mention biometric identification, artificial intelligence tools, and even AI-powered multimedia content generators!). These players therefore have the knowledge and experience to offer their customers a packaged service that can be deployed on a large scale, as well as post-deployment support. 

Younger startups are also maturing and moving beyond the PoC phase by offering companies a range of deployment options: 

• API requests, which can be integrated into other software, remain the preferred way to call on the services of tools that enable deepfake detection. 
• Comprehensive SaaS GUI6 platforms. Some of these platforms have already been deployed on-premises in certain contexts, particularly in the banking and insurance sectors. 
• On-device Docker containers, which allow plug-ins to be added to audio and video devices or videoconferencing software for integration tailored to specific detection needs. 

Use cases for deepfake detection solutions: trends and developments 

Use cases specific to critical business needs that require protection 

To meet diverse market needs, solution providers have specialized in specific use cases. In addition to answering the question “deepfake or original content?”, some providers are developing and offering additional features to target specific uses for their solutions. 

We have grouped the various offerings from providers into broad categories to help us understand market trends: 

• KYC and identity verification: in banking onboarding or online account opening processes, deepfake detection makes it possible to distinguish between a real video of a user and an AI-generated imitation. This protects financial institutions against identity theft and money laundering. These solutions will be able to give “liveness” scores or match rates to the person being identified in order to refine detection. 
• Social media watch and source identification: To prevent fake media or information from damaging their clients’ reputations, some solution providers have deployed watch on social media or multimedia content analysis tools for email attachments to enable rapid response. The features of these solutions make it possible to understand how and by which deepfake model this malicious content was produced, helping to trace the source of the attack. 
• Falsified documents and insurance fraud: A number of players have turned their attention to combating insurance fraud and false identity documents. Their solutions seek to detect alterations in supporting documents or photos of damage by highlighting how and which parts of the original image have been modified. 
• Detection of telephone scams and identity theft in video calls: these types of attacks are on the rise and rely on the creation of realistic imitations of a manager’s voice or face, in particular to deceive employees and obtain transfers or sensitive information. Most detection systems targeting these attacks have developed capabilities for full integration into video call software or sound cards on the devices to be protected. 

Each solution is designed with specific features aligned with market needs to maximize the relevance and operational effectiveness of detection solutions. 

Open source as the initiator, proprietary solutions to take over 

While proprietary solutions dominate, open-source approaches also play a role in this field. These initiatives play an important role in academic research and experimentation, but they often remain less effective and less robust in the face of sophisticated deepfakes. 

While some offer very good results on controlled test benches ( up to 90% detection performance7 ), proprietary solutions offered by specialized publishers generally offer better performance in production. They also stand out in terms of support: regular updates, technical support, and maintenance services, which are essential for critical environments such as finance, insurance, and public sector. This difference is gradually creating a gap between open source research and commercial offerings, where reliability and integration into complex environments are becoming key selling points. 

False positives: the remaining challenge 

Many vendors emphasize their deepfake detection capabilities. We felt it was important to extend our testing to understand how these solutions perform on false positives: is real content detected as natural content or as deepfake content? 

 The evaluations we conducted on several detection solutions highlight contrasting results depending on the type of content.  

• For images and video: nearly 40% of the solutions tested still have difficulty correctly managing false positives. With these solutions, between 50% and 70% of the real images analyzed are considered deepfakes. This limits their reliability, especially when they are subjected to large amounts of content.  
• On the audio side, the solutions stand out with more robust performance on false positives: only 7%. Only a few particularly altered (but non-AI) or poor-quality samples were detected as deepfakes by some solutions. 

To address these issues, some vendors are combining image/video and audio processing. Currently, these modalities are usually scored separately, but efforts are underway to integrate their results for greater accuracy. Some publishers are working on ways to use these two scores more complementarily to limit false positives. 

What does the future hold for deepfake detection? 

Current solutions are effective under most present conditions. However, as technologies and attack methods rapidly evolve, vendors will face two major challenges.  

The first challenge is detecting content from unknown generative tools. While most solutions handle common technologies well, their performance drops with newer, less-documented methods.  

The second challenge is real-time detection. Currently, only 19% of solutions offer this feature, and their performance is still insufficient to meet future needs. In contrast, notable progress is already being made in audio detection, which is emerging as a promising advance for enhancing security in critical scenarios involving phishing or CEO fraud via deepfake audio calls. 

The market maturity of these cutting-edge technologies is accelerating, and there is every reason to believe that detection solutions will quickly catch up with the latest advances in deepfake creation. The next few years will be decisive in seeing the emergence of more reliable, faster tools that are better integrated with business needs.  

Cet article Anti-Deepfake Solutions Radar: An Analysis of the AI-Generated Content Detection Ecosystem  est apparu en premier sur RiskInsight.

The projected impact of agentic AI is significant. By 2028, it could automate 15% of routine[1] decision-making and be embedded in a third of enterprise applications, up from virtually none today. At the same time, perceptions of risk are shifting. In early 2024, Gartner surveyed 345 senior risk executives and identified malicious AI-driven activity and misinformation as the top two emerging threats[2]. Yet despite these concerns, organisations are accelerating adoption. By 2029, agentic AI could autonomously resolve up to 80% of common customer service issues, reducing costs by as much as 30%[3]. This tension, between the growing promise of agentic AI and the expanding risk surface it introduces, raises a critical question:

“How can organisations securely deploy agentic AI at scale, balancing innovation with accountability, and automation with control?”

This article explores that question, outlining key risks, security principles, and practical guidance to help CISOs and technology leaders navigate the next wave of AI adoption.

An AI agent is an autonomous AI system in the decision-making process

In AI systems, agents are designed to process external stimuli and respond through specific actions. The capabilities of these agents can vary significantly, especially depending on whether they are powered by LLMs.

Figure 1: A diagram to show the different constituent parts of an LLM-enabled agent, showing 1) external stimuli, 2) the agents core processes (reasoning and tools) and 3) the agent’s actions

Traditional agents typically follow a rule-based or pre-programmed workflow: they receive input, classify it, and execute a predefined action. In contrast, agentic AI introduces a new dimension by incorporating LLMs to perform reasoning and decision-making between perception and action. This, with only few words to configure it. This enables more flexible, context-aware responses, and in many cases, allows AI agents to behave more like human intermediaries.

As illustrated in Figure 1, the agentic AI workflow unfolds in several stages:

1. Perception: The AI agent receives external stimuli, such as text, images, or sound.
2. Reasoning: These inputs are processed through an orchestration layer, which transforms them into structured formats using classification rules and machine learning techniques.

Here, the LLM plays a central role. It adds a layer of adaptive thinking that enables the agent to analyse context, select tools, query external data sources, and plan multi-step actions.

3. Action: With refined data and a reasoning layer applied, the agent executes complex tasks, often with greater autonomy than traditional systems.

This architecture gives agentic AI the ability to operate across dynamic environments, adapt in real time, and coordinate with other agents or systems, a key differentiator from earlier, more static automation.

In summary, AI agents with LLM capabilities can perform more complex actions by applying “AI reasoning” to transformed and refined data, making them more powerful and versatile than traditional agents.

Field insights on Agentic AI use-cases in client environments

Businesses have rightfully recognised the potential of these AI agents in a variety of use cases, ranging from the simple, to the more complex. We will now take a deeper look at some of the different common use cases across these different levels of agent autonomy.

Basic Use Cases: Chatbot/Virtual Agents

AI agents can be configured to provide instant answers to complex questions and can be designed to only answer from certain information repositories. This allows them to smoothly and effectively guide users through extensive SharePoint libraries or other document repositories. Acting as both a search function and an assistant, these agents can dramatically improve the productivity of employees by reducing the time spent searching for information and ensuring that users have quick access to the data they need. For example, a chatbot integrated into SharePoint can help employees locate specific documents, understand company policies, or even assist with onboarding processes by providing relevant information and resources. These agents have no autonomy, and only directly respond to requests as they are made by users.

Intermediate Use Cases: Routine Task Automation

Agents can be used to streamline repetitive tasks such as managing scheduling, processing customer enquiries, and handling transactions. These agents can be designed to follow specified processes and workflows, offering significant advantages over humans by reducing human error and increasing productivity. For instance, an AI agent can automatically schedule meetings by coordinating with participants’ calendars, send reminders, and process routine customer service requests such as order tracking or account updates. This automation not only saves time but also ensures consistency and accuracy in task execution. Additionally, by handling routine tasks, AI agents free up human employees to focus on more complex and strategic activities, thereby contributing to higher efficiency and productivity within the organisation.

Advanced Use Cases: Complex data analysis & vulnerability management

Agents can also be used for more complex use cases, specifically in a security context. For example, Microsoft has recently announced the release of AI agents as part of their security copilot offering, with previews releasing in April 2025. One particularly interesting use case is regarding vulnerability remediation agents. These agents will work within Microsoft Intune to monitor endpoints for vulnerabilities, assess these vulnerabilities for potential risks and impacts, and then produce a prioritised list of remediation actions. This provides a large increase in productivity for security teams, as they can then focus on the most critical issues and streamline the decision-making process. By automating the identification and prioritisation of vulnerabilities, these agents help ensure that security teams can address the most pressing threats promptly, reducing the risk of security breaches and improving overall security posture.

The promise of intelligent automation and cost efficiency is compelling, but it also introduces a strategic trade-off. CISOs will face the growing challenge of securing increasingly autonomous systems. Without robust guardrails, organisations expose themselves to operational disruption, governance failures, and reputational damage. Transparency, asset visibility, and cloud security are areas which will also require heightened vigilance and a proactive security posture. The benefits are clear, but so are the risks. Without a security-first approach, agentic AI could quickly become a liability for organisations as much as an asset.

Risks mainly known but with increased likelihood and impact

Agentic AI introduces a new level of security complexity. Unlike traditional AI systems, where threat surfaces are generally limited to inputs, model behaviour, outputs, and infrastructure, agentic AI systems operate across dynamic, autonomous chains of interaction. This covers exchanges such as agent-to-agent, agent-to-human, and human-to-agent, many of which are difficult to trace, monitor, or control in real time. As a result, the security perimeter expands beyond static models to encompass unpredictable behaviours and interactions.

Recent work by OWASP on Agents’ security[4] highlights the breadth of threats facing AI systems today. These risks span multiple domains:

• Some are traditional cybersecurity risks (e.g., data extraction, and supply chain attacks),
• Others are general GenAI risks (e.g., hallucinations, model poisonning),
• A third emerging category relates specifically to agents’ autonomy in realising actions in real world.

In addition to traditional risks, agentic AI systems introduce new security threats, such as data exfiltration through agent-driven workflows, unauthorised or unintended code execution, and “agent hijacking,” where agents are manipulated to perform harmful or malicious actions. These risks are amplified by the way many agentic AI applications are built today. Around 90% of current AI agent use cases rely on low-code platforms, prized for their speed and flexibility. However, these platforms often depend heavily on third-party libraries and components, introducing significant supply chain vulnerabilities and further expanding the overall attack surface.

Agentic AI represents a shift from passive prediction to action-oriented intelligence, enabling more advanced automation and interactive workflows. As organisations deploy networks of interacting agents, the systems become more complex, and their exposure to security risks increases. With more interfaces and autonomous exchanges, it becomes essential to establish strong security foundations early. A critical first step is mapping agent activities to maintain transparency, support effective auditing, and enable meaningful oversight.

Security Best Practices

1. Activity Mapping & Security Audits

Since AI agents operate autonomously and interact with other systems, mapping all agent activities, processes, connections, and data flows is crucial. This visibility enables the detection of anomalies and ensures alignment with security policies.

Regular audits are vital for identifying vulnerabilities, ensuring compliance, and preventing shadow AI where agents act without oversight. Unauthorised agents can expose systems to significant risks, and shadow AI, especially unsanctioned models, pose major data security threats. Auditing decision-making processes, data access, and agent interactions, along with maintaining an immutable audit trail, supports overall accountability and traceability.

To mitigate these risks, organisations should adopt clear governance policies, comprehensive training, and effective detection strategies. These practices should be backed by a strong library of AI controls and data governance policies. However, audits and governance alone aren’t enough. Robust access controls for AI agents are necessary to restrict actions and protect the system’s integrity.

      2. AI Filtering

To avoid the agent performing inappropriate actions, the first step is to ensure that its decision-making system is protected. One of the most efficient ways is by filtering potentially malicious inputs and outputs of the Decision-Maker, often composed of an orchestrator & an LLM.

Several technical ways to perform AI filtering:

Keyword filtering – Medium-Low Efficiency: Prevent the LLM from considering any input containing specified keywords and from generating any output containing these keywords.

• Pro: Quick win, particularly on the outputs, for example preventing a chatbot from generating any rude words.
• Con: Can easily be bypassed by using obfuscated inputs or requiring obfuscated outputs. For example, “p@ssword” or “p,a,s,s,w,o,r,d” can be ways to bypass the keyword “password”

LLM as-a-judge – High Efficiency: Ask to the LLM to analyse both inputs & outputs and identify if they are malicious.

• Pro: Extend the analysis to the whole answer.
• Con: Can be bypassed by overflowing the agent’s inputs, so it has trouble dealing with the whole input.

AI Classification – Very-High Efficiency: Define categories of topic that the LLM can answer or not. It can be done through whitelisting (the LLM can answer to only some categories of topics) and blacklisting (the LLM cannot answer to some precise categories of topics). Use a specialised AI system to analyse each input and output.

• Pro: Ensure the agent’s alignment by not letting it receive inputs on topics it should not be able to answer.
• Con: High cost, as it requires additional LLM analysis.

These filtering actions need to be performed for the users’ inputs, but sometimes also for the data retrieved from external sources (they can be poisoned).

      3. AI-specific Security Measures

Human-in-the-loop (HITL) oversight is essential for ensuring the responsible and secure operation of agentic AI. While AI agents can autonomously perform tasks, human review in high-risk or ethically sensitive situations provides an extra layer of judgment and accountability. This oversight helps prevent errors, biases, and unintended consequences, while allowing organisations to intervene when AI actions deviate from guidelines or ethical standards. HITL also fosters trust in AI systems and ensures alignment with business objectives and regulatory requirements. To maximise the benefits of automation, a hybrid AI-human approach is critical, supported by ongoing training to address compliance and inherent risks.

Some actions may be strictly forbidden to the agent, some should require human validation, and some could be done without human supervision. These actions should be determined through classical risk analysis, based on the agent’s impact & autonomy.

Triggers should be set-up to determine if and when human validation is needed. This can be set-up in the LLM Master Prompt, and access can be restricted by using an appropriate IAM model.

      4. Access Controls & IAM

As AI agents take on more active roles in enterprise workflows, they must be managed as non-human identities (NHIs), with their own identity lifecycle, access permissions, and governance policies. Accordingly, this requires integrating agents into existing identity and IAM frameworks, applying the same rigor used for human users.

Managing AI agents introduces new requirements. When acting on behalf of end-users, agents must be constrained to operate strictly within the permissions of those users, without exceeding or retaining elevated privileges. To achieve this, organisations should enforce key IAM principles:

• Just Enough Access (JEA): Limit agents to the minimum set of permissions required to complete specific tasks.
• Just in Time (JIT) access: Provision access temporarily and contextually to reduce standing privileges and exposure.
• Segregation of duties and scoped credentials: Define clear boundaries between roles and prevent unauthorised privilege escalation.

In addition, to further enhance control, security teams should implement real-time anomaly detection to monitor agent behaviour, flag policy violations, and automatically remediate or escalate issues when necessary.

Access to sensitive data must also be tightly restricted. Violations should trigger immediate revocation of privileges and deny lists should be used to block known malicious patterns or endpoints.

Ultimately, while technical controls are essential, they should be supported by human oversight and governance mechanisms, particularly when agents operate in high-impact or sensitive contexts. IAM for agentic AI must evolve in step with these systems’ increasing autonomy and integration into critical business functions.

      5. AI Crisis Response & Red teaming

While AI-specific controls are essential, traditional measures like crisis management must also extend into the AI landscape. As cyberattacks become more sophisticated, organisations should consider crisis management strategies for potential AI failures or compromises; by ensuring all teams such as AI scientists, operational teams, and security teams are equipped to respond quickly and effectively to minimise disruption.

Concrete guidelines for CISOs

This year CISOs will be exposed to increased threats introduced by agentic AI alongside ongoing regulatory pressure from complex regulations such as DORA, NIS 2 and the AI Act. Both CISOs and CTOs will collaborate closely, with CISOs overseeing the secure deployment of AI systems to ensure that agent interactions are carefully mapped and secured to safeguard the security of their organisations, workforce and customers.

Key starting points for CISOs:

• Limit access to AI agents by enforcing strong access controls and aligning with existing IAM policies.
• Monitor agent behaviour by tracking activity and conducting regular audits to identify vulnerabilities.
• Filter the agent’s inputs and outputs to ensure that the decision-maker does not launch any unwilled action.
• Implement Human-in-the-Loop oversight to validate AI outputs for critical decisions/tasks.
• Provide agentic AI awareness training to educate employees on the risks, security best practices and identifying potential attacks.
• Perform AI red teaming on the agent, to identify potential weaknesses.
• Despite all security measures, AI operates on probabilistic principles rather than deterministic ones. This means that the agent might occasionally behave inappropriately. Therefore, it’s crucial to establish clear accountability for any wrongful actions taken by AI agents.
• Prepare for AI crises early by initiating discussions with relevant teams to ensure a coordinated response if an incident occurs.

Over the past several years, Wavestone has observed a marked increase in client maturity around AI security. Many organisations have already implemented robust processes to assess the sensitivity of AI initiatives and to manage associated risks. These early efforts have proven valuable in reducing exposure and strengthening governance.

While agentic AI does not fundamentally rewrite the AI security playbook, it does introduce a meaningful shift in the risk landscape. Its inherently autonomous, interconnected nature increases both the impact and likelihood of certain threats. The complexity of these systems can be challenging at first, but they are manageable. With a clear understanding of these dynamics and the emergence of new market standards and security protocols, agentic AI can deliver on its transformative potential.

As this transition unfolds, we remain committed to helping CISOs and their teams navigate the evolving risk environment with confidence.

References

[1] Orlando, Fla., Gartner Identifies the Top 10 Strategic Technology Trends for 2025, October 21, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-10-21-gartner-identifies-the-top-10-strategic-technology-trends-for-2025

[2] Stamford, Conn., Gartner Predicts Agentic AI Will Autonomously Resolve 80% of Common Customer Service Issues Without Human Intervention by 2029, March 5, 2025. https://www.gartner.com/en/newsroom/press-releases/2025-03-05-gartner-predicts-agentic-ai-will-autonomously-resolve-80-percent-of-common-customer-service-issues-without-human-intervention-by-20290

[3] Stamford, Conn. Gartner Survey Shows AI-Enhanced Malicious Attacks Are a New Top Emerging Risk for Enterprises, May 22, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-05-22-gartner-survey-shows-ai-enhanced-malicious-attacks-are-new0

[4] OWASP, OWASP Top 10 threats and mitigation for AI Agents, 2025. OWASP-Agentic-AI/README.md at main · precize/OWASP-Agentic-AI · GitHub

Thank you to Leina HATCH for her valuable assistance in writing this article.

Cet article Agentic AI: typology of risks and security measures est apparu en premier sur RiskInsight.

Figure 1 : Example of the Leaking exploit found in ChatGPT in December 

Scandals like these highlight a deeper truth: the core architecture of Large Language Models (LLMs) such as GPT and Google’s Gemini is inherently prone to data leakage. This leakage can involve Personally Identifiable Information (PII) or confidential company data. The techniques used by attackers will continue to evolve in response to improved defenses from tech giants, the underlying vectors remain unchanged. 

Today, three main vectors exist through which PIIs (Personally Identifiable Information) or sensitive data might be exposed to such attacks:  

• The use of publicly available web content in training datasets 
• The continuous re-training of models using user prompts and conversations 
• The introduction of persistent memory features in chatbots 
   

LLM Pre-Training Data Leakage  

Most models available right now are transformer models, specifically GPTs or Generative Pre-Trained Transformers. The Pre-Trained in GPT refers to the initial training phase, where the model is exposed to a massive, diverse corpus of data unrelated to its final application. This helps the model learn foundational knowledge such as grammar, vocabulary, and factual information. When GPTs were first released, companies were transparent on where this training data came from, but currently the largest models on the web have datasets that are too large and too diverse and are often kept confidential.  

A major source of the data used in GPT pre-training are online forums such as Reddit (for Google’s models), Stack Overflow, and other social media platforms. This poses a significant risk since these social media forums often contain PIIs . Although companies claim to filter out PII during training, there have been many instances where LLMs have leaked personal data from their pre-training data corpus to users after some prompt engineering and jail breaking. This danger will become ever more present as companies race to gather more data through web scraping to train larger and more sophisticated models.  

Known leaks of this type are mostly uncovered by researchers who develop more and more creative methods to bypass the defenses of chatbots. The example mentioned earlier is one such case. By prompting the chatbot to repeat forever a word, it “forgets” its task and begins to exhibit a behavior known as memorization. In this state, the chatbot regurgitates data from its training set. While this attack has been patched, new prompt techniques continue to be found to change the behavior of the chatbot.

User Input Re-Usage and Re-Training  

User Inputs re-training is the process of continuously improving the LLM by training it on user inputs. This can be done in several ways, the most popular of which is RLHF or Reinforcement Learning from Human Feedback.   

Figure 3 : The feedback buttons used for RLHF in ChatGPT 

This method is built on top of collecting user feedback on the LLM’s output. Many users of LLMs might have seen the “Thumbs Up” or “Thumbs Down” buttons in ChatGPT or other LLM platforms.  

These buttons collect feedback from the user and use the feedback to re-train the model. If the user signifies the response as positive, the platform takes the user input / model output pair and encourages the model to replicate the behavior. Similarly, if the user indicates that the model performed poorly, the user input / model output pair will be used to discourage the model from replicating the behavior.  

However, continuous re-training can also occur without any user interaction. Models may occasionally use user input / model output to re-train in seemingly random ways. The lack of transparency from model providers and developers makes it difficult to pinpoint exactly how this happens. However, many users across the internet have reported models gaining new knowledge through re-training from other users’ chats all the way back to 2022. For example, OpenAI’s GPT 3.5 should not be able to know any information after Sept 2021, its cut-off date. Yet, asking it about recent information such as Elon Musk’s new position as CEO of Twitter (now X) will provide you with a different reality as it confidently answers your question with accuracy.   

Essentially, what this means for end-users is that their chats are not kept confidential at all and any information given to the LLM through internal documents, meeting minutes or development codebases may show up in the chats of other users thus leaking it. This poses significant privacy risks not only for individuals but also for companies, many of which have already taken action, like Samsung. In April 2023, Samsung banned the use of ChatGPT and similar chatbots after a group of employees used the tool for coding assistance and summarizing meeting notes. Although Samsung has no concrete evidence that the data was used by OpenAI, the potential risk was deemed too high to allow employees to continue using the tool. This is a classic example of Shadow AI, where unauthorized use of AI tools leads to the possible leakage of confidential or proprietary information. 

Many companies globally are waiting for stricter AI and data regulations before using LLMs for commercial use. We are seeing certain industries such as consulting open up but at an incredibly slow pace. Other companies, however, are tightening their control over internal LLM use to avoid leaking confidential data and client information.  

Memory Persistence 

While the two precedent risks have been recognized to exist for a few years, a new threat has emerged with the introduction of a feature by ChatGPT in September 2024. This feature enables the model to retain long-term memory of user conversations. The idea is to reduce redundancy by allowing the chatbot to remember user preferences, context, and previous interactions, thereby improving the relevance and personalization of responses.  

However, this convenience comes at a significant security cost. Unlike earlier cases, where leaked information was more or less random, persistent memory introduces account-level targeting. Now, attackers could potentially exploit this memory to extract specific details from a particular user’s history, significantly raising the stakes. 

Security researcher Johannes Rehberger demonstrated how this vulnerability could be exploited through a technique known as context poisoning. In his proof-of-concept, he crafted a site with a malicious image containing instructions. Once the targeted chatbot views the URL, its persistent memory is poisoned. This covert instruction allows the chatbot to be manipulated into extracting sensitive information from the victim’s conversation history and transmitting it to an external URL. 

This attack is particularly dangerous because it combines persistence and stealth. Once it infiltrates the chatbot, it remains active indefinitely, continuously exfiltrating user data until the memory is cleaned. At the same time, it is subtle enough to go unnoticed, requiring careful human analysis of the memory to be detected. 

LLM Data Privacy and Mitigation  

LLM developers often intentionally make it hard to disable re-training since it benefits their LLM development. If your personal information is already out in public, it has probably been scraped and used for pre-training an LLM. Additionally, if you gave ChatGPT or another LLM a confidential document in your prompt (without manually turning re-training OFF), it has most probably been used for re-training.  

Currently, there is no reliable technique that allows an individual to request the deletion of their data once it has been used for model training. Addressing this challenge is the goal of an emerging research area known as Machine Unlearning. This field focuses on developing methods to selectively remove the influence of specific data points from a trained model, thus deleting those data from the memory of the model. The field is evolving rapidly, particularly in response to GDPR regulations that enforce the right to erasure. For this reason, it is important to mitigate and minimize these risks in the future by controlling what data individuals and organizations put out on the internet and what information employees add to their prompts.  

It is vital for many business operations to stay confidential. However, the productivity boost that LLMs add to employee workflows cannot be overlooked. For this reason, we constructed a 3-step framework to ensure that organizations can harness the power of LLMs without losing control over their data.  

Choose the most optimal model, environment and configuration  

Ensure that the environment and model you are using are well-secured. Check over the model’s data retention period and the provider’s policy on re-training on user conversations. Ensure that you have “Auto-delete” as ON when available and “Chat History” to OFF.   

At Wavestone we made a tool that compares the top 3 closed-source and open-source models in terms of pricing, data retention period, guard rails, and confidentiality to empower organizations in their AI journey. 

Raise employee awareness on best practices when using LLMs  

Ensure that your employees know the danger of providing confidential and client information to LLMs and what they can do to minimize including corporate or personal information in an LLM’s pre-training and re-training data corpus.  

Implement a robust AI policy   

Forward-looking companies should implement a robust internal AI policy that specifies:  

• What information can and can’t be shared with LLMs internally  
• Monitoring of AI behavior  
• Limiting their online presence  
• Anonymization of prompt data  
• Limiting use to secure AI tools only  

Following these steps, organizations can minimize the digital risk they face by using the latest GenAI tools while also benefiting from their productivity increases.  

Moving Forward  

Although the data privacy vulnerabilities mentioned in this article impact individuals like you and me, their cause is the LLM developers’ greed for data. This greed produces higher-quality end products but at the cost of data privacy and autonomy.  

New regulations and technologies have come out to combat this issue such as the EU AI Act and OWASP top 10 LLM checklist. However, relying solely on responsible governance is not enough. Individuals and organizations must actively recognize the critical role PIIs play in today’s digital landscape and take proactive steps to protect them. This is especially important as we move toward more agentic AI systems, which autonomously interact with multiple third-party services. Not only will these systems process an increasing amount of personal and sensitive data, but this data will also be transmitted and handled by numerous different services, complicating oversight and control. 

References and Further Reading  

[1] D. Goodin, “OpenAI says mysterious chat histories resulted from account takeover,” Ars Technica, https://arstechnica.com/security/2024/01/ars-reader-reports-chatgpt-is-sending-him-conversations-from-unrelated-ai-users/ (accessed Jul. 13, 2024). 

[2] M. Nasr et al., “Extracting Training Data from ChatGPT,” not-just-memorization , Nov. 28, 2023. Available: https://not-just-memorization.github.io/extracting-training-data-from-chatgpt.html 

[3] “What Is Confidential Computing? Defined and Explained,” Fortinet. Available: https://www.fortinet.com/resources/cyberglossary/confidential-computing#:~:text=Confidential%20computing%20refers%20to%20cloud 

[4] S. Wilson, “OWASP Top 10 for Large Language Model Applications | OWASP Foundation,” owasp.org, Oct. 18, 2023. Available: https://owasp.org/www-project-top-10-for-large-language-model-applications/ 

[5] “Explaining the Einstein Trust Layer,” Salesforce. Available: https://www.salesforce.com/news/stories/video/explaining-the-einstein-gpt-trust-layer/ 

[6] “Hacker plants false memories in ChatGPT to steal user data in perpetuity” Ars Technica , 24 sept. 2024 Available: https://arstechnica.com/security/2024/09/false-memories-planted-in-chatgpt-give-hacker-persistent-exfiltration-channel/

[7] “Why we’re teaching LLMs to forget things” IBM, 07 Oct 2024 Available: https://research.ibm.com/blog/llm-unlearning

Cet article Leaking Minds: How Your Data Could Slip Through AI Chatbots  est apparu en premier sur RiskInsight.

At the same time, fraud has grown in scale and complexity. According to the Banque de France, payment fraud will represent a loss of 1.2 billion euros by 2022, a considerable sum which is unlikely to diminish as fraudulent transactions continue to increase. Around 70% of these fraudulent transactions come from online banking.

The fight against fraud is therefore one of the most important concerns for online banking, but other sectors are also beginning to address the issue.

Identity fraud, business fraud

The term fraud is part of everyday language and can have a wide variety of definitions. It’s possible to “defraud” a metro ticket, an insurance policy, or a loyalty account with a major retailer.

When it comes to computer fraud, particularly banking fraud, we distinguish between identity fraud and business fraud.

The former involves manipulation of the issuer’s identity data, the context in which he/she accesses the service, or information relating to his/her authentication and authorization. This can be detected by analyzing the user’s authentication behavior, the machine he is using, the IP address from which he is connecting, and so on.

The second involves manipulating data relating to the transaction itself, the banking profile of the sender and receiver, and the context in which the transaction was carried out. Indicators of business fraud could be, for example, a receiving IBAN from an unusual country, a large transaction amount, etc.

The two types of fraud and their detection rely on different signals, but these two protection mechanisms can and must exchange and feed off each other to provide additional context and enable a more holistic analysis of risk.

This need for synchronization has led to a recent organizational rapprochement between business fraud and IAM teams.

What risks are covered by identity fraud detection?

Identity fraud conceals many different uses. Detecting it therefore covers a wide range of risks that are difficult to apprehend today. Here is a non-exhaustive list of techniques used by attackers that could be detected by an anti-fraud tool:

• SIM swapping: SIM swapping involves convincing the victim’s telephone provider to send a new SIM card to the attacker, who can then validate double authentication requests via OTP by pretending to be the victim.
• MFA fatigue: MFA fatigue involves sending a large number of MFA validation notifications, to the point where the victim ends up accepting the request and inadvertently authorizing access to one of their accounts.
• Social engineering: social engineering is used in attacks targeting an individual, where the attacker gathers information about them and their bank account, then exploits it to extract money from them. An increasingly common example is bank advisor fraud, in which an attacker poses as the victim’s advisor and urges him or her to make a bank transfer, often under the pretext of a risk of… fraud.
• Bots: attack automation opens up new possibilities for attackers, who can target a large number of accounts in a single campaign. By emulating devices or launching massive phishing campaigns, it is becoming increasingly easy to recover personal information and passwords.

Banks in the lead, but joined by new players

Unsurprisingly, the banking sector has a head start on these issues. Firstly, because the impact of fraud is very real, and the bank is a prime target. Secondly, because users are accustomed to, and even reassured by, significant security processes at the expense of their user experience. Finally, because the massive shift to online banking has raised questions that other sectors didn’t have to ask themselves immediately.

Today, fraud detection for an online bank focuses on three key stages of the user journey:

• Enrolling a new device.
• Validating a payment.
• Performing sensitive actions on the account, such as adding a beneficiary for transfers.

While the banking sector is undoubtedly the most affected and the most protected, other sectors are beginning to address the issue of fraud detection. Retail, e-commerce, and luxury goods, for example, are all in the crosshairs of attackers. This is forcing these sectors to devise new processes and invest in the fight against fraud, in turn driving the evolution of solutions and practices to limit the impact on business.

New technological advances: protocols and algorithms

The pressure of attacks explains much of the interest in fraud detection solutions. These have developed rapidly, embedding more and more functions and demonstrating a growing capacity to combat the complex attacks that are on the rise.

Recent technological advances in fraud detection are manifold, but two main mechanisms have made these solutions more powerful: the ability to exchange information between detection bricks, and the precision of risk estimation algorithms.

The first mechanism is a product of the current trend towards standardization of detection protocols and signals, enabling the various IS bricks to pool the information gathered and the appropriate reactions. The Shared Signals working group (Okta, Cisco, Disney, OpenID Foundation, etc.), for example, has produced a framework used in two protocols: Continuous Access Evaluation Protocol (CAEP) and Risk Incident Sharing and Coordination protocol (RISC).

The second mechanism – the precision of algorithms – is based on the growing number of criteria that can be exploited. A few years ago, a detection engine relied on IP analysis, geolocation and a few identity attributes. Today, the criteria are multiplied, including the user’s own behavior (mouse movements, typing speed), analysis of the devices used (model, OS, browser), account history, common user paths, as well as a panoply of weak signals from other applications or IS bricks. This multiplication of signals entering the algorithms enables a much more refined analysis of each transaction, and an ever more pertinent estimation of risk.

AI and orchestration in the fight against fraud

Increasing the number of criteria helps to improve algorithms, but to get the most out of this information it is essential to take advantage of the capabilities of Machine Learning and artificial intelligence. Each criterion becomes a dimension enabling AI to dynamically learn user behaviours (such as common paths, mouse click locations or typing speed) and what constitutes a normal, non-risky access context, in order to better detect anything that deviates from it.

Despite AI’s ability to produce a decision from a very large number of parameters, it remains a victim of the setbacks of all decision algorithms: false positives. And with the interest of new sectors, which need to balance security and user experience to limit negative impacts on business, the management of false positives is an issue in its own right for software publishers. Today, detection models can be adjusted in several ways: by training them recurrently, to adapt them to new use cases; by playing with the weights of the criteria, according to the customer’s context; and by going back over the decisions taken by the algorithm in order to report false positives.

Beyond these adjustments, fraud detection solutions offer great flexibility in terms of orchestration, i.e. the reaction to be implemented in response to the algorithm’s recommendations. In this way, it is possible to limit the impact on users, by using invisible challenges for low-risk transactions, and by limiting constraining requests such as MFA or deferred manual processing to high-risk transactions. Orchestration also makes it possible to implement the tool progressively: reactions can be limited to raising alerts transmitted to a SIEM tool, for example, to refine the algorithm, then moving on to effective, real-time blocking.

Conclusion

The fight against fraud is a subject that concerns many sectors. While the banking sector is ahead of the game, with e-commerce and luxury goods following suit, any organization can be targeted by fraud. This implies a wide range of use cases and issues to which fraud detection solutions can often, but not always, respond.

The sector of activity, the context, the recurrence and type of attacks, the impact and associated risk, as well as the resources that can be deployed – all these dimensions need to be taken into account to contextualize countermeasure solutions. These solutions may be expensive or unsuitable, despite the innovative mechanisms put in place, and other remediation mechanisms may need to be considered depending on the context.

This is the case with anti-bot solutions, for example, or risk-based authentication mechanisms, or simply the redesign of certain business processes to make them intrinsically more resilient to fraud. These remedies can accompany a fraud detection solution or be sufficient to counter the cases of fraud observed in the context studied.

Cet article Fighting fraud: a new challenge for digital identity? est apparu en premier sur RiskInsight.

CHATGPT

What opportunities for the underground world of cybercrime ?

Need a refresh about ChatGPT?

Figure 1 – Screenshot from ChatGPT when prompted “Introduce ChatGPT in a funny way and at the first person”

Unless living under a rock, you have heard about the incredibly notorious AI powered chatbot developed by OpenAI: Chat GPT, a tool that relies on the Generative Pre-trained Transformer architecture. But just in case, you must know that ChatGPT has been trained on a vast amount of data from the Internet and is able to understand human speech and interact with users. Chat GPT has not finished to be talked about: on March 14^th 2023, Open AI has announced the arrival of Chat GPT 4.0[i].

The growing popularity and potential future applications of ChatGPT have also caught the attention of cybercriminals. Nord VPN’s examination of Dark Web posts from January 13th to February 13th revealed a significant increase in Darkweb forum threads discussing ChatGPT, jumping from 37 to 91 in just a month. The main topics of these threads included:

• Breaking ChatGPT
• Using ChatGPT to create Dark Web Marketplace scripts
• A new ChatGPT Trojan Binder
• ChatGPT as a phishing tool with answers indistinguishable from humans
• ChatGPT trojan
• ChatGPT jailbreak 2.0
• Progression of ChatGPT malware

Figure 2 – Screenshot from CheckPoint: Cybercriminal is using ChatGPT to improve Infostealer’s code

These threads give a first interesting overview of all the rogue usage that can involves ChatGPT or be carried out via the chatbot. Another key security concern could also be included in this list when thinking about ChatGPT’s limitations in terms of cybersecurity, which is the risk of personal and/or corporate data leak, that could lead to identity theft, fraud, or other malicious uses.

What are the plausible cybercriminal use cases?

 Figure 3 – Screenshot of a ChatGPT answer when prompted “Talk at the first person about possible cybercriminal usage of ChatGPT”

Use Case #1 – Support malware creation and kill chain attack

ChatGPT is designed to decline inappropriate requests but there are ways to bypass its restrictions and generate malicious code. For example, instead of directly requesting a ransomware script, users can describe step-by-step functions needed for such a script, ultimately receiving functional parts of malicious code.

Figure 4 – Screenshot of a ChatGPT answer to the request “Write me a function named “find_files” in Python that searches all files that end up with “txt, pdf, docx, ppt, xlsm” starting from the root directory and that return all paths of files that match with the criteria”.

It has been proven possible to use ChatGPT to insert harmful code into a commonly used computer program and create programs that constantly change their appearance, making them harder for security software to detect and block and to obtain an entire process of an artificial intelligence-driven cyberattack, starting with targeted phishing emails and ending with gaining unauthorized access to someone’s computer.

Figure 5 – Screenshot from CheckPoint: Example of the ability to create a malware code without anti-abuse restrictions in a Telegram bot utilizing the OpenAI API

However, as highlighted by NCSC and Kaspersky, using ChatGPT for creating malware is not that reliable, due to potential errors and logical loopholes in the generated code, and even if it provides a certain level of support, the tool doesn’t currently reach the level of cyber professional.

Use Case #2 – Discover and exploit vulnerabilities

When it comes to code vulnerabilities, ChatGPT raises several challenges in terms of detection and exploitation.

In terms of detection, ChatGPT is currently able to detect vulnerabilities in any piece of code submitted if properly prompted to do so, but it can also debug code. For example, when a computer security researcher asked ChatGPT to solve a capture-the-flag challenge, it successfully detected a buffer overflow vulnerability and wrote code to exploit it, with only a minor error that was later corrected.

In terms of exploitation, the risks posed by ChatGPT, and more generally Large Language Models (LLMs) can be used to produce malicious code or exploits despite restrictions, as they can be bypassed. Additionally, LLMs may generate vulnerable and misaligned code, and while future models will be trained to produce more secure code, it’s not the case yet. Moreover, some security researchers remain skeptical about AI’s ability to create modern exploits that require new techniques.

Use Case #3 – Create persuasive content for phishing and scam operations

Creating persuasive text is a major strength of GPT-3.5/ChatGPT, and GPT-4 performs even better in this area. Consequently, it’s highly probable that automated spear phishing attacks using chatbots already exist. Crafting targeted phishing messages for individual victims is more resource-intensive, which is why this technique is typically reserved for specific attacks.

Figure 6 – Screenshot from chatGPT, pishing mail generation

ChatGPT has the potential to significantly change this dynamic, as it allows cybercriminals to produce personalized and compelling messages for each target. To include all necessary components, however, the chatbot requires detailed instructions.

A notable advantage of ChatGPT is its capability to interact and create content in multiple languages, complete with reliable translation. In the past, this was a key way to identify scams and phishing attempts. While some methods are being developed to detect content created by ChatGPT, they haven’t yet proven entirely effective.

This poses a significant risk to all companies, as it makes their employees more susceptible to such attacks and may expose their resources if passwords are stolen in this manner. As mentioned earlier, it is essential to raise awareness about this issue while also strengthening authentication methods, such as implementing two-factor authentication as a potential solution.

Interestingly, other uses have been made of ChatGPT notoriety to develop scams without using the tool itself, such as phishing mails/Scams in order to push towards the purchase of a (fake) ChatGPT subscription and to provide personal data details

Use Case #4 Exploit companies’ data

ChatGPT has been trained on a massive amount of internet data, including personal sites and media content, meaning that it may have access to personal data that is currently hard to remove or control, as no “right to be forgotten” measures exist to date. Consequently, ChatGPT’s compliance with regulations like GDPR is under debate. GPT-4 can manage basic tasks related to personal and geographic information, such as identifying locations connected to phone numbers or educational institutions. By combining these capabilities, GPT-4 could be used to identify individuals when paired with external data.

Another significant concern is the sensitive information users might provide through prompts. Users could inadvertently share confidential information when seeking assistance or using the chatbot for tasks, like reviewing and enhancing a draft contract. This information may appear in future responses to other users’ prompts. They might not only find their confidential documents or research leaked on such platforms due to employees’ inattention, but also reveal information about their system or employees which will be used by hacker to facilitate an intrusion. The primary course of action should be to increase awareness on this subject by providing formation and explanation or to restrict access to the website in the sensitive domains until there is a better comprehension of how data is utilized.

Not only the real ChatGPT can be used for this objective, but the creation of other chatbots using the same model as ChatGPT but configured to trick victims into disclosing sensitive information or downloading malware has also been observed.

Use Case #5 Disinformation campaigns

ChatGPT can be used to quickly write very convincing articles and speeches based on fake news. The American startup Newsguard has conducted an experience on ChatGPT to demonstrate its disinformation potential: on 100 fake information submitted to ChatGPT, the tool has produced fake detailed articles, essays and TV scripts for 80 of them, including significant topics such as Covid-19 and Ukraine[ii].

As highlighted (again) by the war between Ukraine and Russia, the crucial role of information and disinformation through cyber channels, can have significant consequences.

Use Case #6 Create darknet marketplace

Cybercriminals have also been observed using ChatGPT to support the creation of DarkWeb marketplaces. ChekPoint has illustrated this phenomenon with some examples[iii]:

• A cybercriminal post on a Darkweb forum showing how to code with ChatGPT a DarkWeb Market script that does not rely on Python or Java Script, using third-party API to get up-to-date cryptocurrency (Monero, Bitcoin and Etherium) prices as part of the Dark Web market payment system.
• Dark web discussions threads linked to fraudulent usage of ChatGPT, such as how to generate an e-book or a short chapter using ChatGPT and then sell its content online.

Figure 2 – Screenshot from CheckPoint: Multiple threads in the underground forums on how to use ChatGPT for fraud activity

What are the key take aways?

Even if ChatGPT tends to lack of the necessary level of features, it can still be a useful tool to facilitate cyberattacks. Even if it is an obvious support tool mostly for script kiddies and unexperimented actors, ChatGPT – as any AI tool – can be a facilitator for any type of hackers, either to completely conceive a malware, to accelerate malicious actions such as phishing or to increase the sophistication level of cyberattacks.

With the release of GPT-4, OpenAI has made efforts to counter inappropriate requests, however ChatGPT  still raise serious security issues and challenges for business security. It is important to keep in mind that the malicious use cases detailed in the previous section are only hypothetical scenarios: malicious use of ChatGPT has already been observed and it is essential to convey strong cybersecurity messages on the topic:

• Don’t include sensitive info in queries to #ChatGPT : Avoid personal/sensitive information sharing while using ChatGPT
• Stay informed and vigilant: AI-related topics are evolving quickly, it is central to stay put regarding tools evolution (e.g. release of Chat GPT 4.0), and new security topics that can emerged over time
• Scams and phishing are likely to become more and more realistic in their crafting: continue raising awareness about this risk and train yourself and your ecosystem
• Basic cybersecurity practices are still true: have a regular vulnerability management, set up doble authentication, train your teams and raise awareness…
• ChatGPT opening the door to the possibility of creating realistic fake content, it is central to stay informed about tooling initiatives aiming at detecting machine-written text such as GPT Zero, a tool developed by Princeton student (Note: OpenAI is also working on a tool to detect machine-written text, but is for now far from being perfect since it detect machine-written text only one in four times)

Reading of the Month

CERT-EU : RUSSIA’S WAR ON UKRAINE: ONE YEAR OF CYBER OPERATIONS

https://cert.europa.eu/static/MEMO/2023/TLP-CLEAR-CERT-EU-1YUA-CyberOps.pdf

[i] https://cdn.openai.com/papers/gpt-4.pd

[ii] https://www.newsguardtech.com/misinformation-monitor/jan-2023/

[iii] https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/

Cet article CDT Watch – March 2023 est apparu en premier sur RiskInsight.

Attackers have understood this issue and we are seeing more and more cyber-attacks affecting backups. As highlighted in the 2021 benchmark of cyber-attacks in France, in 21% of ransomware attacks, backup systems were targeted until they were rendered unusable.

What is the attackers’ modus operandi for reaching backups?

First, backups can be affected as collateral damage. This was the case a few years ago during a cyber-attack at one of CERT-Wavestone’s clients. In this, the backup management infrastructure was itself encrypted by the ransomware and had to be rebuilt before backups could be restored.

In ransomware attacks, attackers can also directly target backups to force their target to pay the ransom. For example, less than a year ago during a CERT-Wavestone incident response, the attacker took care to destroy all backups before encrypting the customer’s information system. The attacker was able to do this because the backup management infrastructure was administered through an account in the Active Directory. The attacker was able to elevate its privileges to the highest level and was able to easily connect to the backup infrastructure and delete all the backed up data.

Some initial protective measures can significantly reduce the risk

In 100% of the ransomware crises managed by CERT-Wavestone, the attacker had Active Directory domain administration accounts. To prevent the attacker from reaching the backups by this mean, it is therefore necessary to separate the backup infrastructure from the Active Directory. To do this,  make sure that the backup administration accounts as well as the backup servers are outside the Active Directory (NB: this will not prevent this infrastructure from backing up the resources managed in the Active Directory).

To further reduce the risk of an administration account being compromised, backup administration access should also be strengthened, for example with multi-factor authentication (MFA).

Furthermore, since ransomware attacks often propagate on the same operating system, it may be worthwhile to adopt a different operating system for the backup infrastructure. Alternatively, at the very least, make a copy of the backup catalogue (database containing pointers to backups) on a different operating system. This enables rapid restoration of the backup infrastructure in the event of a compromise.

In addition, it is sometimes possible to apply retention measures to the backup storage technology, such as applying a delay before the actual deletion of the data or keeping a copy (or snapshot) on the storage array. This allows for a delay of one or more days before the data is completely lost in the event of a deletion.

To go further…

Various initiatives are emerging to standardize data protection measures to face the growing threat (e.g. Secure Tertiary Data Backup Guideline by the HKAB – Hong Kong Association of Banks, Sheltered Harbor in the United States…).

In addition, backup vendors are building their solutions with the cyber threat in mind, with ransomware detection features, immutability features (to make backed up data completely unalterable, even for an administrator) or even “offline” backup isolation capabilities.

These solutions can be adopted to replace or complement existing backup solutions. Nevertheless, they often require significant investments. As we have seen, a certain number of initial protection measures can already greatly reduce the risk. It is therefore important to identify the feared threat scenarios and your level of exposure. It is also important to identify any compliance requirements (regulations, standards, etc.), in order to define an appropriate roadmap of maturity improvement.

This article is intended as an introduction to protecting backups against cyber-attacks. We will have the opportunity to go into more detail on this subject in future publications.

Cet article Cyber-attacks: what are the risks for backups and how to protect yourself? est apparu en premier sur RiskInsight.

What is a cyber risk analysis?

Did you ever wonder what would happen if a device your company developed and sells leak the data it collects? Or if that data were corrupted or suddenly made unavailable? What would be the most detrimental? What if your solution was vulnerable to a cyberattack? Could the consequences be a takeover of device(s) which leads to a safety hazard such as a building taking fire or even a human casualty? Or maybe it could “just” be a pivot attack onto your customer’s network that leads to a full incapacity for your and your customer’s businesses to operate.

If you are currently developing an IoT solution and are not having a nervous breakdown when considering such possibilities, you are probably wondering though how your CISO (Chief Information Security Officer) is not having one.

Well it is probably because your CISO has a method: they consider every risk from an unbiased perspective and in a comparable manner. Ensuring each risk is correctly evaluated (i.e. not overestimated or underestimated) and sharing the outcome of this evaluation with all project stakeholders is the first important step. Once all stakeholders agree upon every risk your company has the right basis to decide control measures.

This approach does not mean you should address every risk to the point that your solution is virtually unhackable. Frankly, this is not technically possible, and your budget would vanish far before achieving a so called zero cyber risk solution. Each control measure must be prioritized and proportional to the risk likelihood and severity.

What we described above is known as a risk analysis methodology. Cybersecurity professionals use this methodology as the baseline to their company’s cybersecurity initiatives. The professionals evaluate risk scenarios (often tied to service availability, data integrity, confidentiality and/or traceability of actions) and the impacts on their company’s brand image, legal liabilities, safety consequences and of course financial outcomes. The higher the risk is evaluated, the higher the priority is set to lower the likelihood of the risk occurring (e.g. add barriers to an attack, reduce the attack surface, etc.) or the severity of outcomes if the risk occurs (e.g. apply segmentation to reduce the spread of an attack).

If you want to learn more about the existing risk analysis methodologies you should start with ISO27005 which has a wide scope of adoption and understanding across various industries.

Be reassured that talking about risks will not increase the likelihood of the problem occurring (if you ever feared that), however not talking about them puts the project at great risk.

What makes an IoT Project risk analysis different?

Hopefully we have convinced you that doing a risk analysis of your project is an important task; we will touch upon how you can get started quickly in the next chapter. Before we get there, we will detail what makes the exercise specific for an IoT project: what are the characteristics of such projects and what makes the risk analysis more difficult or simpler?

Let us start with the common characteristics that should be considered for a risk analysis. First of all, an IoT initiative often relies on a very decentralized network of hardware (sensors, gateways, servers, etc.). These devices can be spread over a large geographical area, sometimes all over the world, and are meant to remain in the field for a long time with little to no onsite maintenance. It is common to see B2B IoT devices that aim for a lifetime of more than 10 years (e.g. a water metering project for utility companies). B2C devices can also aim for such lifetimes – think of connected vehicles for instance. It is also noteworthy that IoT devices usually have limited user interfaces such as a screen and keyboard. Despite this, the buttons, LED and mobile applications allow the necessary interactions or customizations to the IoT device for you to collect data from the field. Remember, the data collected from connected devices is where the value resides. Thus, whether that data is critical or not is essential in the risk evaluation. Finally, we need to remind ourselves that an IoT project is still an IT project. If the devices are not typical laptops, the application servers and storage remain central in most cases. This is where a large part of the risk remains, but fortunately, there are many best practices for this portion of the solution as well.

From a cybersecurity perspective such characteristics can make IoT projects riskier. For instance:

• The physical security of a decentralized network is very hard to enforce. Where are the devices located? Are the devices accessible to the public? Can someone easily steal, damage or tamper the devices? For example, a tracker installed on a pallet travels outside trusted premises and can be damaged or removed – intentionally or not. Of course, this risk is amplified by a wider geographical footprint.
• Given the limited user interactions and the longer device lifetime, it can become very costly and time-consuming to maintain the devices, especially if you must physically dispatch technicians. Hands-on intervention can be simply unrealistic, but even firmware upgrades have a failure rate. Because of all this, the controls must be relevant for the long run.
• In any IoT project, the sensitivity of the data is a factor that must be considered. Is it critical for your company? For consumer projects the sensitivity of the data can be perceived as very high because the devices will collect data from the “real” world.
• IoT solutions consist of many different technologies and vendors. This is a challenge for us: what are the security practices followed by each of these vendors and do these practices sufficiently cover my risks?
• Finally, the security controls that can be applied are dependent on the capacities of the devices and softwares. For example, many sensors run on 8-bits MCU and thus cannot run complicated encryption algorithms.

Fortunately, all these characteristics also play a role in reducing the cyber risks for IoT projects.

• With very decentralized deployments, the level of effort required by an attacker to access a large number of devices is burdensome. Compromising a single device is one thing but compromising the entire fleet of devices is an entirely different task. This is especially true if physical tampering or proximity is required.
• The application of the IoT devices are rarely handled directly by a user and there are limited user interactions after installation. Thus, attackers have limited opportunities to trick the user into misusing the application.
• Depending on the context, the value of the data can be very limited for attackers (e.g. room temperature monitoring used to control AC systems). What is more, the value can also decrease sharply with time. Production data can be critical for real-time control of processes, but it becomes a lot less valuable a few minutes after.
• The architecture of IoT solutions is usually segregated from the IT systems including servers or data centers. This segregation enables companies to easily define and protect integration points.
• Finally, the limited capacities of the device play a role in preventing any harmful attempt. Attackers simply cannot access, implant malware or effectively control sensors with 8-bit MCUs.

So now, how can I get started?

Well, take a deep breath and involve your CISO.

The CISO must identify and evaluate applicable regulations, decide what level of risks is acceptable, provide policies to follow and tools to implement security measures. Perhaps you should appoint Product Security Officer to specifically address IoT security in your company or even a given IoT product’s security if the stakes require it.

Getting to an acceptable level of security will require expertise on the various areas of the IoT solution. If you are that expert, then you should probably be ready to get involved. This will drive the whole team to consider the:

• End-to-end security on the technology stack: from hardware to cloud including embedded software, network connectivity, mobile apps, etc.
• End-to-end security from a device lifecycle perspective. When you design your device, think about all phases: from manufacturing to distribution; from initial use to normal usage; resell, refurbish, recycle or trash.
• Partners involvement: make sure not to forget them and assess their maturity. You might need to take measures to support them or upskill them (hint: ask your CISO or PSO for it).
• Audit of your device and the whole technology stack. Do this regularly because your software may not have changed but the threats and known vulnerabilities may have.
• Long-term security updates and maintenance: define for how long you will update and deploy your devices.
• Incident response organization: define how you can be notified of vulnerabilities or breaches and how you can plan to respond (from a technical and a communication point of view).

IoT cybersecurity is not impossible. It actually provides methodologies and tools to help achieve a secure landscape.

Project stakeholders and customers are seeking and pressuring for secure products. Regulation to enforce security are imminent and frameworks to help align every actor regarding its duties will continue to be applied. It is time to get ahead now if you are looking to make cybersecurity an asset for your product on your market!

Cet article Risk analysis and IoT: a marriage of love or reason? est apparu en premier sur RiskInsight.

However, how to model these different FAIR input data?  How to compute with these data? Are there tools to simplify their collection or estimate their quality, and what efforts do they require to be implemented?

Having seen previously how trustworthy the risk quantification method was in its processes, let’s now see how the inevitable part of subjectivity can be isolated, and which facilitators can help to obtain reliable results.

The FAIR fuel: data

The risk analysis proposed by FAIR (according to the standardization document published by openGroup)[3]  is carried out in four stages:

• At first, in a fairly conventional way, it is a question of specifying the scope of the examined risk : what is the asset (subject to risk), what is the threat context (agent and scenario), and what is the loss event (the dreaded event in terms of losses);
• The second step (called Evaluate Loss Event Frequency) aims at collecting all the frequency data related to the loss event (and thus intimately linked to the threat agent). This consists of collecting the values for the left branch of the arborescence below.
• The third one (called Evaluate Loss Magnitude), because it assesses the loss, is focused on the asset. It is then a question of estimating the various primary losses (i.e. the inevitable loss in case of risk occurrence) and secondary (or possible loss, i.e. not occurring systematically when the risk advent). Its goal is to collect the values of the right branch in the tree below.
• Finally, the last step (called Derive and Articulate Risk) consists in merging the collected data as defined in the FAIR tree by the various calculations, to obtain the result in the form of usable outputs.

Link between FAIR analysis and taxonomy

Without detailing more the taxonomy, already discussed in the article presented before2, one can note that the standard analysis of a single risk requires seven data  (corresponding to the elements at the base of the tree):

1. Contact frequency;
2. Possibility of action;
3. Threat capability;
4. Resistance strength;
5. Primary loss magnitude;
6. Secondary loss magnitude;
7. Secondary loss event frequency.

It should be added that FAIR invites to decline losses (primary and secondary) into six categories (in order to ease and accurate estimate of the loss):

• The production losses: related to the interruption of the service produced by the asset;
• The response cost: related to the incident response;
• The replacement costs: related to the replacement of damaged constituents of the asset;
• The fine/judgement costs: related to fines, court fees and legal proceedings;
• The financial impact on competitive advantage: related to the impact on the organization in its sector;
• The reputation costs: related to the impact on the public image of the organization.

How do we correctly model risk uncertainty?

Furthermore, it is good to ask the question of what a FAIR data is actually.

Indeed, it is too reductive to define a data by a single numerical value. For example, lets consider a ransomware attack: it would be incorrect to say that an occurrence of this risk would cost exactly 475k €[4] (illustrated by the blue curve on graph 1).

Graph 1: A distribution, a more realistic model than a single value

However, adding uncertainty to this data by accompanying it with a minimum value (which could be  1€ in our example) and a maximum one (of  300 M€ in the same example), while keeping the most likely value stated above, would allow to model much more accurately the reality (purple curve of graph 1).

A data is then defined by a minimum, a maximum and a most likely value (corresponding to the peak of the distribution). We can also, note that such a probability distribution is independent of the kind of values considered: it may as well be a loss in any currency  (cf. the previous example), than an occurrence (for example, between once a year and once every 10 years, and a value more likely around once every two years), or even a ratio (between  30% and 70%, more likely 45%). Hence, we can use these distributions to model all the  data of the FAIR taxonomy.

Another advantage of predicting uncertainty through distribution is that it is possible to fine-tune the degree of confidence in the most likely value, via the kurtosis coefficient of the curve. The higher it would be, the greater the data will be trusted (corresponding to a very marked peak, see the green curve on graph 2). On the other hand, an unreliable data will be modelled by a much more homogeneous distribution (see the red curve on graph 2).

Graph 2: Reflecting the level of trust through distributions

However, using distributions rather than fixed values is a problem when it comes to combine them, which will necessarily be the case when we will make the computations of the FAIR tree. As we can indeed see on graph 3 (the addition of the green distribution and the red one giving the violet), the addition of two distribution does not allow to obtain a distribution as ‘simple’ as the previous ones (it no longer follows a log-normal distribution). This is also the case in the context of a multiplication (the result of which is also complex).

Graph 3: addition of two distributions.

To obtain a mathematically consistent result, game theory gives us a simple way: The Monte Carlo simulations. It is in fact a matter of dissecting the distributions (the green and the red of the graph 3), in a predefined number of random values (called number of simulations), distributed in such a way as to correspond to the given distribution. We can then combine the distributions thus dissected by performing the calculations on pairs of values of each distribution. The new distribution can then be approximated, and will be all the more precise as the number of simulations will be large.

Hands on toolboxes to automate FAIR…

To make these calculations and obtain a numerical value of risk, solutions have emerged (mainly from the FAIR method). We will therefore address here the pros and cons of these tools, which are also cited in the previous article1.

The OpenFAIR Analysis Tool

The first we can cite hire is the OpenFAIR Analysis Tool[5]. While this tool has a pedagogical purpose, it nevertheless helps to understand how FAIR works. It is thus possible to have a first concrete application of the method, and to obtain simply results (only for the analysis of a single risk). Developed by the University of San José (California) in collaboration with the OpenGroup, this tool relies on an Excel sheet to obtain a risk assessment from a predetermined number of  simulations, scrupulously respecting the FAIR taxonomy.

OpenFAIR Risk Analysis Tool: a tool that is first and foremost educational

Very useful to have a first contact with quantification, this tool remains however very limited in terms of use. Finally, one should note that Excel is needed, and it is only accessible with an evaluation license limited to 90 day.

Riskquant

For a larger scale use, Netflix’s R&D department has developed Riskquant[6] solution. It is a Python programming library, relying more particularly on tensorflow (a specialized python module for massive statistical calculation). Riskquant’s particularity is to propose a quantification of risk inspired by the FAIR taxonomy, but with a great freedom in its approach and its implementation. Developed to facilitate the use on containers, it would allow by its design very fast evaluations from csv files.

Riskquant: an original approach but lacking maturity

However, keeping of FAIR taxonomy only a single loss value and a single frequency makes it not very usable, especially in the context of an organization that would seek to precisely scope its risks. In addition, it provides so far only a few exploitable results and clearly lacks maturity. Finally, it seems to have been dormant since May 1^st, 2020 (the date of the last commit on the GitHub page of the solution).

PyFAIR

To conclude on this paragraph on solutions that can be used for a basic implementation of FAIR, the PyFAIR library is available on the official python repository (downloadable via the pip tool). Now mature, the tool allows a decomposition of risk according to the FAIR taxonomy. It also allows the feed of the FAIR tree with intermediates values, or the aggregation of data that can be used for several risks (e.g. allowing groupings by asset or threats). It is capable of calculating overall and global risks, and provides easily usable distributions (exploitable with other simple python modules), but also gives access to advanced charts and HTML pre-formatted reports.

PyFAIR, a complete and efficient library in Python

Although it remains a programming toolbox, hence requiring an appetence and time to develop and maintain a Python solution, PyFAIR is well-designed. It facilitates the implementation of FAIR by staying very close to the taxonomy, and provides functions facilitating implementation and the exploitation of the results. Suitable to be operated on multiple levels (i.e. using it only to calculate results by influencing the fine settings of FAIR and Monte Carlo, or by exploiting its high-level reporting functions), it makes it possible to envisage a use of quantification technically facilitated and on a large scale.

‘Turnkey’ platforms to make data acquisition easier:

Nevertheless, the main difficulty of FAIR remains, as we have seen before, obtaining the data and their trust level. To deal effectively, the most efficient solution is to rely on a platform that integrates a CTI database.

These platforms provide risk threat statistics (very few company-dependent). They also support in deploying and implementing the quantification method in the organization, which includes a guidance in obtaining the appropriate loss data.

RiskLens

The first of these solutions is the RiskLens[7] platform. This solution, directly derived from the FAIR methodology, was co-founded by Jack Jones. It is used as technical support for the development of the method, linked to the FAIR Institute. Emphasing on a technical approach of the method, it focuses on the respect of the standards of analysis  in general  and the definition of the perimeter (first  step  of FAIR) in particular.

RiskLens, FAIR’s application to the letter

Nevertheless, it should be noted that, on the one hand, this solution requires advanced notions in the FAIR methodology to be easily operable. Indeed, the platform does not provide a consequent help in obtaining data (which, as we have seen, remains the keystone of quantification), on the basis that the definition of the perimeter is enough to define precisely the data, and thus to obtain it easily. On the other hand, it is an American platform, which implies that the interface (quite unintuitive) is only available in that language, and that the data collected is also subject to U.S. regulations.

CITALID

The second platform we will mention here is the French startup CITALID, whose approach is fundamentally different. Indeed, it has been founded by two ANSSI analysts, who wanted to link the CTI to the risk management. Thus, using FAIR as the tool to make this link, it makes its effort on the conception and the maintenance of the database, made of solid figures kept up to date, to closely monitor the local and international cyber geopolitical situation.

CITALID, a high value-added database

The CITALID platform provides real support in the definition and the collection of the FAIR data, thus allowing to identify precisely where is the remaining part of subjectivity undeniably linked to risk. Available in French and English, it facilitates the management of cyber risk by taking into account all the parameters of the organization (location, size, sector of industry, level of maturity, compliance with standards, etc.), to provide data originating from appropriate contexts. Furthermore, and in addition to an interactive explanation of each of the platform’s fields, the startup supports its customers in collecting the needed inner data of their organization.

First step with FAIR…

Anyhow, the difficulty will always be to succeed in the transition from qualitative to quantitative estimation. Even if solutions can facilitate this shift, leaving a controlled qualitative method for a new unassimilated assessment method remains a challenge, despite all the benefits the new method promises.

If three points were to be highlighted to pursue on the quantitative way, they could be:

• First, to make sure the required maturity is reached. Quantification requires a good understanding of the level of security of the concerned IS, and a pre-existing and well-established risk management method. If quantification provides solutions to assess the cost of a risk, provision it or estimate  the  ROI  of a measure, it is however useless  (or even counterproductive) to embark on this path too early (at best it will be a waste of time, at worst it will degrade the existing risk management process).
• Then, to have a gradual approach in the deployment of quantification. In a mature IS with stable risk management, it is preferable to gradually adopt the quantitative method. This allows to gain confidence in the estimates produced (potentially by making it coexist with the elder qualitative estimation method) and to assimilate the methodology, while ensuring its integration into the existing risk management workflow.
• Finally, rely on existing experience in collecting cyber risk data. As the difficulty stays confined in obtaining reliable data, it is crucial (to be confident in the method) to have trusted figures. It then seems appropriate make use of a platform that can provide data of quality, and a support in the collection of our own data. It will furthermore have more experience deploying the methodology to various customers. The quality of the provided results will then be the key element in the confidence that the organization will have in the quantitative method.

[1] https://www.riskinsight-wavestone.com/en/2020/11/quantified-risk-assessment-1-2-a-quantification-odyssey/

[2] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[3] https://publications.opengroup.org/c13g

[4] https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[5] https://blog.opengroup.org/2018/03/29/introducing-the-open-group-open-fair-risk-analysis-tool/

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

[7] https://www.risklens.com/

Cet article Quantified risk estimate (2/2): What data, what tools? est apparu en premier sur RiskInsight.

It is therefore useful at this point to take a look at the existing methods and the theories that could lead us to concrete results. In the big bang of cyber risk quantification, what are the theoretical foundation for the development of a method? Which ones have succeeded, which ones seem mature? Can we expect in the short or medium term, alternatives to the current quantitative assessment methods?

Roadmap: Risk analysis and quantification:  what can we expect of it?

To locate the quantification in the field of risk management, let’s start by clarifying what we are looking for. Within the risk management process, the primary objective is to define an efficient numerical value, illustrating a level of risk (usually a financial cost).

It is therefore, according to the ISO27k standard, only a new risk assessment. Indeed, preceding phases of risk contextualization and identification have no reason to be affected by quantification. The phases of risk treatment, acceptance, supervision or communication, while they will benefit from the results of the quantitative analysis, are unchanged in their workflow. Simply put, it is only question of changing the way each risk is estimated and computed.

This point, rather trivial but crucial, allows us to ensure that, even if they are fundamentally different from the qualitative methods in their results, the quantitative ones will in any case support pre-existing methods. So, we can be reassured that, although it is necessary to use them to have a mature risk management process, it will also be the basis for the quantification (that will thus exploit the pre-existing risk identification phase).

Now that we have framed the contribution of quantification in an organization’s overall risk analysis, let us specify what we would expect (regardless of the possibility of achieving these assertions):

• On the one hand, it is imperative for this method to be more precise in its result, compared to the qualitative method that it has to replace. This means above all that, from the first occurrence and without having previous results records, it must give a precise numerical estimation (which may as far as possible contain several values: maximum risk or probable risk in particular).
• We may also want it to be faster to achieve (or at least to be carried out in an acceptable time), in order to be able to completely replace the qualitative estimate in the long-term. We are here talking about the time it would take to implement the analysis, without worrying a lot about the time it would take for computations (which can now be efficiently delegated, especially via the cloud). In the end, correlating this with the previous point, it is only question of having a better efficiency than the qualitative evaluation.
• Furthermore, we wish the quantitative assessment to be based on concrete data, in order to gain credibility in the results that will be produced. Indeed, since the workflow of a quantitative method is based on mathematical theories, only an incorrect implementation could introduce subjectivity into the values obtained. This last point would justify that in a time equivalent to qualitative analysis, we have finer results.
• Finally, and this stems from the previous point, we need to have a precise taxonomy, for the collected data to be clearly defined (regardless of the kind of risk). Indeed, if the quantitative estimate is based on proven mathematical theories, the quality of the data produced will then depend only on the quality of the data used as input, and in particular on the relevance and the consistency of the data, depending largely on its definition..

At the core of the galaxy: moving from theory to practice

Having specified what are the characteristics of quantification, let us now see what mathematical theories would take into account the hazard associated with a risk.

Consider, for example, the fuzzy sets theory. This mathematical theory is based on the principle that an element, instead of classically belonging or not to a mathematical ensemble, may only partially belong to it, according to a stated degree. This could be useful to highlight the occurrence or the impact of a risk with the degree of belonging of that risk to ensembles. This theory, while interesting, has not led to concrete applications.

Another approach, which could be called correlative, would be based on the use of self-learning neural networks, to determine from CTI data what the level of risk of a company would be, according to its characteristics. This theory has benefited from the current popularity for artificial intelligence. This led to academics’ studies comparing different modes of machine learning (notably BP[2] or RBF)[3], in order to be used in cyber risk analysis. However, to date, it does not appear mature enough to lead to a realistic method.

Finally, the only mathematical solution that has paid off has been the statistical analysis (and game theory, which offers the means to combine statistical distributions, see the “Risk Quantification and Data: Advice and Tools”[4] article about this subject). The principle of statistical analysis is to rely on statistical observations to estimate the level of a risk. The hazard of risk is then, in large part, taken into account by the distribution of the statistics.

Based on these statistics, two approaches are practicable:

• The first is illustrated by a method proposed by the IMF[5]. It proposes to assess a cyber risk by a detailed statistical analysis. However, it is highly computational and inaccessible for regular use or as a part of a quantified risk estimate. However, it retains an undoubted interest in an analysis of a level of cyber risk on several entities that would have similar data, which may be useful for an insurer or in the banking community. However, it remains confined to this use. Reduced to the already limited scope of entities with acceptable cyber maturity, this method does not seem to be able to offer in the short or medium term an exploitable solution for the IS level of an organization.
• The second is to break down any cyber risk based on common characteristics. This is in particular the approach of the FAIR methodology: it proposes in its taxonomy (see ‘how to apply the FAIR method’1) a dissociation of risk according to its occurrence and the estimated impact, from a financial point of view. FAIR then proposes a declination of these two parameters which, because of their universal nature, may therefore be applied to any cyber risk. This type of method has the advantage of proposing an identical process for the analysis of any cyber risk, facilitating its use in an organizational context (that can then compare cyber risks of distinct natures).

The galaxy of quantification

The FAIR method: a supermassive black hole

Currently, only the FAIR method has risen to applicated quantification solutions for a company. Its monopoly in the field is such that it has become an inescapable reference for a solution or methodology to remain credible. Like a black hole, it attracts to it all the current solutions of quantification. We can, for example, illustrate this with the Risquant Library, developed by Netflix’s R&D department[6]. This one clearly announces that it relies on the FAIR methodology. Nevertheless, he takes great freedom in the interpretation of taxonomy and analysis, but the fact of quoting it allows him to be more easily accepted and recognized.

This hegemony of FAIR can be explained quite easily:

• To begin with, it’s a pragmatic method by design. Its inventor, Jack Jones, set it up when he was an RSSI of a large American group, and was asked to justify cyber ROI. It was therefore initiated for operational purposes, then refined and gained credibility by relying on mathematical tools and theories. This concept of development  (i.e.  the fact that the method was born out of a need, and then mathematically justified) makes of FAIR a method particularly appreciated by the first concerned, that are the CISO and the other cyber-risk managers.
• Then, it was particularly visionary, as she preceded all other methods. Appeared in 2001, the first book about the method was published in 2006, detailing its operation and taxonomy. As time went on, a community was made up around Jack Jones and his method: the FAIR Institute. This community continued the maturation and thz diffusion of the method. More precisely, it helped developing the efficiency of the method by placing facilitators to make it ever usable.
• The FAIR method also has a particularly solid basis: in addition to the publication mentioned above and which was the subject of an enriched reissue in 2016, it is based on two  standardization documents, published by the OpenGroup (the consortium behind the architecture standard of SI TOGAF). The OpenGroup also offers certification to the method, based on its two standards, and which add to the interest laying on the method.
• Finally, FAIR is strongly supported (particularly across the Atlantic): the community that drives it is particularly active, and contributes as much to its evolution as to its promotion: the links between the OpenFAIR and the FAIR Institute, both mentioned above, are substantially close. The strength of his ties is ensured by the fact that Jack Jones, father of the method, plays a central role in both organizations.

Thus, in the world of cyber-risk quantification, the only operational solutions to date all rely on the FAIR methodology, with a more or less large but still displayed parentage.

If the maturity of this method seems now acquired, its monopoly in the field of quantification allows with little doubt to envisage, at least for next years, that it will remain the only method of quantification. In order for another method to be equal, and in addition to the fact that it will have to establish its conceptual credibility, it will above all have to make a place for itself  alongside the hegemony of FAIR, while proving that it is more efficient.

[1] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[2] Back-propagation

[3] Radial basis functions

[4] See the 2nd article on Risk Insight

[5] https://www.imf.org/en/Publications/WP/Issues/2018/06/22/Cyber-Risk-for-the-Financial-Sector-A-Framework-for-Quantitative-Assessment-45924

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

Cet article Quantified Risk Assessment (1/2): A Quantification Odyssey est apparu en premier sur RiskInsight.

Paradoxically, only 35% of organizations consider their third-party cybersecurity management process as effective (according to a study conducted by the Ponemon Institute).

How to define an effective third-party cyber risk management strategy? What are the key success factors?

Adapt your third-party cybersecurity strategy to the risks

From business partners to subcontractors and IT service providers, a lot of your suppliers manage or have access to your assets. Therefore, they represent a risk for your organization and thus it is important to ensure they are committed to respect a cybersecurity level that meets your requirements.

Depending on which business perimeter they operate and which type of service they provide, the level of risk would be more or less critical. Therefore, our recommendation is to classify your suppliers to adapt your cybersecurity strategy according to the risks they imply.

Since your suppliers can be thousands, this classification will also allow you to prioritize and keep an acceptable workload for your teams.

In order to do that, our first piece of advice is to inventory your suppliers. We notice that few organizations have an exhaustive cartography and that its realization is a tedious project that requires the involvement of many stakeholders (purchasing, legal, department, business…). Therefore, we advise you to start by defining a process to capture your new third parties and by identifying your suppliers involved in the critical business activities identified in your BIA (Business Impact Assessment). Afterwards, you will be able to extend progressively to other third parties.

From this cartography, you will be able to assess your supplier’s criticality and classify them on a scale with several levels. We advise you to consider the following criteria:

• The business criticality of the project or the asset the supplier is working on;
• The degree of interconnection to your information system;
• The access to sensitive or confidential data;
• The service exposure on the Internet.

Nevertheless, we can observe in our client’s environment that applying those criteria can be challenging due to the lack of information about some third parties. Then, we suggest organizing workshops with cybersecurity teams, IT teams and business teams to validate your cybersecurity classification by expert knowledge.

Example of a classification scale with 3 levels

Consider cybersecurity throughout the whole lifecycle

The feedbacks from the field show that most organizations assess their third party’s cybersecurity level before contracting and include cybersecurity clauses into their contracts. Nevertheless, cybersecurity is not always taken into account thereafter.

We recommend integrating cybersecurity throughout the whole third-party lifecycle by empowering them and adopting a control position.

Third party management lifecycle

During contractualisation

Before the contract signature, the objective is to ensure that the supplier chosen by your business meets your cybersecurity requirements. To do so, we advise you to integrate cybersecurity at each step of the supplier selection process:

• Include your cybersecurity requirements in your Request For Proposals;
• Assess the maturity level of the suppliers responding to your Request For Proposals;
• Provide a cybersecurity recommendation to your business according to the project sensitivity and the risk implied by the third party,
• Include in the contract cybersecurity requirements adapted to the criticality and the type of service delivered.

 During the contract period

 To ensure your third parties respect their cybersecurity commitments throughout the contract period, we advise to:

• Integrate your third parties into your risk analysis when they operate on the scope of a project. For instance, the methodology allows you to identify all the stakeholders involved in a project and to define an action plan to secure and monitor your ecosystem. The implementation of the security measures must be followed-up with the third-party;
• Organize cybersecurity reviews at a frequency adapted to the risks and thus the level of classification. For instance, the most critical third parties can be reviewed at least annually while the less critical ones can be reviewed at contract renewal;
• Define a process dedicated to cybersecurity incidents involving a third party and create emergency instructions;
• Perform audits only when necessary (for instance following a major cybersecurity incident or after identifying a critical risk…)

At the end of the contract

 A contract renewal is an opportunity to perform a new assessment of the third-party cybersecurity posture and if necessary, update the contractual requirements.

If the contract ends, you must apply your reversibility clauses and ensure that cybersecurity is part of the decommissioning of the service provided.

Industrialize third parties’ assessments thanks to market solutions

We observe that many organizations assess and monitor the cybersecurity level of their third parties with proprietary and non-automated questionnaires that require many external resources. In addition, big-sized suppliers may refuse to complete these questionnaires while smaller ones may not always answer correctly.
Furthermore, we also notice that few organizations have yet adopted a mass assessment approach.

In order to rationalize the approach, we therefore suggest giving-up these historical assessment tools to adopt solutions adapted to the supplier classification level and thus be able to scale up.

For the most critical third parties

We advise you to adopt a co-constructive approach with your most critical suppliers, while adopting a position of control. This translates into the following actions throughout the lifecycle:

• Assess your most critical suppliers based on their cybersecurity certifications and compliance reports on the scope of the service provided;
• Define a contractual Security Assurance Plan to precise the security governance of the service;
• Organize security reviews (at least once a year) to control the security level of your suppliers based on the indicators defined in the Security Assurance Plan (maintaining certifications, security incidents, audits, security roadmap…). These committees are also an opportunity to build a relationship of trust with your suppliers, for example by discussing security news and events as well as the conferences that you could do together.

For third parties with a medium to low criticality

In order to take a massive approach in assessing and reviewing the cybersecurity level of your non-critical third parties, market solutions can be used. Indeed, editors and startups (such as CyberVadis, CyberGRX, Risk Ledger…) are positioned on the industrialization of third party’s cybersecurity assessments. This will be the topic of one of our next articles.

Their solutions are based on maturity questionnaires whose results are shared with all their customers. More concretely, these platforms work as follows:

Third party maturity assessment platforms

Although these solutions are currently not customizable according to your organization’s specific requirements, they will allow you to:

• Get cybersecurity assessments tailored to non-critical third parties;
• Reduce the workload of your cybersecurity teams;
• Share third-party assessments with other customers and therefore be able to quickly access assessments already performed;
• Adopt a win-win approach with your suppliers who will share a single questionnaire with all their customers and will be proposed action plans to remedy any discrepancies;
• Popularize third-party cybersecurity management to your business or purchasing teams thanks to didactic scores on different topics.

Ensure the effectiveness of your third-party cybersecurity management process

From business to IT project managers and including purchasing and legal teams, third-party cybersecurity management involves many players in your organization. It can only be successful if your process is well-known and applied by all. Therefore, it is key to train and raise the awareness of all stakeholders.

To ensure that your process is properly implemented, it is important to define and implement controls covering all stages of the supplier management life cycle. As a first step, we recommend that you define realistic targets by focusing on your most critical third parties. Over time, these targets may evolve to consider your suppliers with lower levels of criticality. Your controls may include the classification of your third parties, their assessment and their review at an appropriate frequency during the contract period.

Integrate third-party cybersecurity management in a “Know Your Supplier” approach

Just as the KYC (Know Your Customer) approach in B2C sectors, we suggest that you include third-party cybersecurity management in a KYS (Know Your Supplier) spirit where the objective is to take all supplier risks into account in a consolidated way.

Cybersecurity assessments and notably maturity assessment platforms can be integrated within supplier management tools (source to contract), as well as financial, CSR, environmental impact, anti-corruption and anti-money laundering assessments. This will ease the integration of cybersecurity into your sourcing and supplier review processes.

See you next episode for an article about market solutions that automate the cybersecurity assessments of your suppliers.

Cet article How to define an effective third-party cyber risk management strategy? est apparu en premier sur RiskInsight.

Testing is an important part of operational resilience and can take many shapes and forms, from disaster recovery testing for ensuring service continuity to end-to-end crisis simulations examining decision-making. It enables to proactively manage risk, embed crisis management framework, and allows to continuously improve capabilities such as business continuity (BC), crisis management (CM), disaster recovery (DR), and cyber resilience (CR). Needless to say, training plays an important role in such a testing programme.

“Better awareness nurtures an organisational culture that embraces operational resilience and, as a result, improves the company’s preparedness to deal with adversity.”

From firm to firm, good testing programmes vary in nature, scale and complexity. Depending on how a firm is structured and what it does, testing is addressed at different organisational levels and locations, with involvement of external parties (i.e. critical suppliers). In reality, given little guidance from the regulators on what ‘good’ looks like, programmes are often fragmented and can cause a real headache.

Principles for creating a successful testing programme

2. Start with threats

Every test needs to link to threat(s) resulting in one or several plausible major incident scenarios (and impacts). Anticipate and understand new threats through market watch and leverage audit reports and risk assessments when building or reviewing your programme.

 

3. Focus on Important Business Services (IBS)

Align testing of existing contingency arrangements to important business services and key processes. This ensures preparedness when a situation of high business impact occurs and avoids challenges arising from lack of end-to-end vision.

4. Diversify testing

The most likely and most impactful scenarios should be examined with different stakeholder groups through different types of testing. This ensures that the theory works in practice and different reflexes are embedded in the organisation’s DNA.

To achieve more benefits, go beyond standalone contingency plans and comms tooling testing and examine a combination of them with internal and external, business and technical stakeholders.

 

The radar above is an indicative example of what a good testing programme would consist of. The threat categories considered are random and could be selected differently as long as diversification is maintained (mix-and-match).

 

Crisis simulation

Crisis simulations examine a hypothetical disaster situation with defined parties and multi-cells of stimulus. They allow to rehearse the establishment and communication of recovery requirements and carry out relevant activities effectively. Crisis simulation can be a tabletop exercise (level 1), a hands-on simulation (level 2), a multi-cell hands-on crisis simulation (level 3) or an international hands-on multi-cell multi-party simulation (level 4).

Work area recovery testing

Work area recovery testing checks whether full end-to-end business processes can be run offsite, ensuring that all elements of a process can be completed during a test and not just the technical aspects. They can involve a team (level 2) or a number of geographically dispersed teams (level 3) working from recovery sites or home. Both third parties (i.e. outsourced teams) and internal teams should be considered.

IT disaster recovery plan and cyber range testing

IT DRP and Cyber range testing practically examines each step in a specific disaster recovery plan or tests cyber forensics capabilities. This ensures the possibility to recover data, restore critical IT system after an interruption of its services, critical IT failure or complete disruption due to cyber attacks or IT disruptions. This testing can happen as a standalone (level 2) or as part of a crisis simulation (level 3-4).

Business recovery plan walkthroughs

Business Recovery Plan walkthroughs for group/business divisions/business units are undertaken following a major revision of a plan or team and are designed to increase the understanding of the recovery processes, roles and responsibilities, and question the suitability and completeness of the plan. Normally this would be carried out as a review-and-challenge session with the plan owner and a BC expert (level 1) or to test the efficiency of the specific measures and planned workarounds (level 2).

Communication cascade tests

Communication cascade tests establish whether contact details are accurate, determine whether cascade roles and responsibilities are understood by staff, and establish whether or not the documented procedures are robust. They can be completed in one of three ways – either a standalone live test (e.g. text cascade; level 2), as part of a crisis simulation exercise (level 2-4), or an audit involving review of plans and interview of staff with key responsibilities (level 1).

5. Stay current

Review your testing programme at least once a year in order to adapt to the changing threats landscape and ultimately ensure operational resilience. Make sure your crisis management framework and contingency plans are regularly improved based on the testing outcomes and changes in the business.

6. Engage and drive

Involve different parties in shaping and running your testing programme (e.g. cyber, risk, Ops, DPO, legal, business resilience champions, etc.). Use MI to share progress and alignment with the 3-year operational resilience vision.

 

What next: how do you structure your testing programme?

While it is not possible to prescribe a testing programme without better understanding the organisation of interest and deep-diving into the specifics of a threat landscape, it is clear that investing time and resources is worthwhile from operational resilience and regulatory standpoints.

“Having recently gone through a pandemic, it is a high time to keep the momentum and continue fostering the right culture and correct reflexes for the next major crisis.”

A few concluding tips

• Make it realistic: Where maturity allows, aim for more complex and realistic tests as they are essential to effectively respond to real events and increase end-to-end resilience. This means engaging more internal and external parties in the ‘live’ exercises.
• Leverage internal and market crises: Continuously monitor events happening on the market (major incidents and crises) as well as your internal major incidents to feed your testing program, prioritise your threats and devise your scenarios making it more tangible for your stakeholders.
• Engage early: Share the vision for testing with key stakeholder groups so they understand the journey on which you want to bring the organisation. This will enhance collaboration and, therefore, outcomes.
• Facilitate remotely: Remote working arrangements should not put your whole testing programme on hold – use collaborative solutions or leverage tools from the market for carrying out the exercises. This is especially relevant for cyber range testing and follow-the-sun testing. Experience shows that digital workplace solutions introduce a more democratic participation and is an excellent way to record interactions.
• Continuously improve: Reflect on tests by producing post-test reports and defining an action plan to drive and track improvements. Involve key stakeholders throughout so they understand the gravitas of the outcomes and help with driving positive changes.

Cet article Test, test and increase your Resilience: how to build your testing programme est apparu en premier sur RiskInsight.

In a previous article, we told you all about the new European NIS directive and Belgium’s choice to use the ISO 27001 standard as a basis for increasing the security of Essential Service Operators (ESOs) with all that it entailed for the newly designated organizations.

A European directive does not mean a European regulation: it is therefore up to each member country to transpose the requirements of the NIS directive into its national law. Belgium has chosen to use an existing standard (ISO 27001), while some of its neighbours, including France, have chosen an approach based on the definition of a precise reference system of requirements combining both technical and governance measures (administrative IS, partitioning, approval process, etc.).

Today, let’s try to understand what it means for Belgian ESOs, and more broadly for all organizations attracted by international standards, to follow the requirements of ISO 27001.

The ISO 27001 standard, adulated by some and criticized by others

Some voices are rising up against the reference in the field, castigating in particular its bureaucratic aspect and its red tape which, however, can help to set up a useful reference system for the continuity of services and the training of people through the sharing of practices – especially when it is thought out pragmatically. Criticism is also rife about the added level of complexity, which is even more present for smaller structures. Here again, pragmatism is the rule, and measures must be adapted to the size of the organization and integrated into existing structures to avoid ex nihilo structures that are too cumbersome to manage.

Finally, some preconceptions have a hard time and often reduce ISO 27001 compliance to a list of checkboxes, with no real implications for the security of the organization. But the famous Declaration of Applicability (DoA), required by ISO 27001 for all those seeking certification, is not the same as listing all the controls of ISO 27002. It requires a real assessment regarding the issues and risks. This will provide concrete elements for the security of the organization.

ISO 27001, ISO 27002, are there many like that?

In the ISO family, a lot, really a lot. For cybersecurity, on the other hand, it is these two that are the most used, with ISO 27005 for risk management (if it is data protection that interests you, read also our article on the newcomer ISO 27701).

The ISO 27001 standard provides a framework for cybersecurity and aims to set up an ISMS (Information Security Management System). To help organizations in this direction, it is accompanied by the ISO 27002 standard which details the good security practices presented in Annex A of ISO 27001. The certification (the Belgian ESOs’ holy grail) is based on the ISO 27001 standard but the two standards work well together.

Certification is obtained on a perimeter defined from a business and IT point of view on which the main risks are identified. This risk assessment, combined with the consideration of the organization’s context, helps to select the relevant ISO 27002 good practices to formalize the Declaration of Applicability (DoA) and to exclude controls that are not applicable (be careful to justify these exclusions: they will be analyzed by the certification body). If less useful practices can be removed, other practices can also be added: the organization can thus complete the existing list of 114 security measures regarding its risks. The ISO 27002 standard does not address the exhaustiveness of possible security measures. This is where cybersecurity expertise comes into its own.

5 tips to find the right balance and achieve ISO 27001 compliance

Of course, seen as a whole, an ISO 27001 compliance program can quickly make you dizzy… Here are 5 reflexes to keep in mind to facilitate the launch of an ISMS and the maintenance of its performance over time:

1. Identify a sponsor invested in the service of the security objective. As with cinema, there is no film without a director, and no director without the support of the producer. The perfect match must be fully aware of the added value of compliance with ISO 27001 to improve the security level, beyond pure compliance with the legal framework. He must use normative frameworks for the benefit of a better security level and must therefore see this project as a security project rather than a compliance project.

Implementing a sustainable ISMS requires human, organizational, physical and financial resources and means. Steering the compliance project will only work if it is supported by a manager who has the authority to allocate the resources and means necessary to manage the risks and ensure an acceptable level of security regarding the business challenges. Compliance with the NIS directive, at European or Belgian level through compliance with the ISO 27001 standard, is above all a means of increasing the security level and not an end in itself.

2. Manage by risk. This is the basis of security; the key concept to always keep in mind. This management makes it possible to identify the risks within the perimeter and to ensure that the business challenges are considered. Risk management does not stop at the identification and initial treatment of risks. It requires the mobilization of teams and activities to deal with existing risks and monitor the evolution of risks (existing and new risks that emerge) and their treatment, through periodic updates and during major events within the scope.

By implementing this global approach to risks, the organization ensures a cross-functional vision of risks that allows it to focus its security measures where the stakes are highest. This validation and arbitration must be carried out in consultation with the owners of the risks (business or IT) who are responsible for the risk within their perimeters and must position themselves on the possible treatments (acceptance, reduction, transfer or avoidance). Refined and tightened risk management thus enables real, informed decisions to be taken, by players who are sometimes far removed from security.

3. Establish a pragmatic documentary repository. This step helps to define and document practices and thus promote business continuity, control and continuous improvement. This documentation must reflect reality while ensuring consistency with the requirements of the ISO 27001 standard to help define the practices to be implemented and manage them on a daily basis (implementation and updates as changes occur, etc.).

The key words when setting up this reference system are pragmatism and usefulness: it must be integrated into the existing system by completing existing procedures and creating new ones that were missing; it must not unnecessarily complicate the situation but be based on a relevant interpretation of the standard; it must be useful to the teams carrying out the activities to enable operations to be maintained. Therefore, avoid copying and pasting requirements from the standards. They create a useless referential for the field teams and will arouse the curiosity of your auditors who will then doubt the effectiveness of the measures…

4. Regularly evaluate performance. Any self-respecting management system requires a control loop to assess its performance and, in the case of ISMS, its non-compliance with the ISO 27001 standard and with the reference system in place in the organization (summarized in the DoA). The identification of these non-conformities must make it possible to trace them back to their source and initiate reflection on the best way to manage them. The reflection to be carried out must focus on how the non-conformity will be resolved to ensure an increase in the level of security while ensuring that the measures correspond to the requirements of the standard and are adapted to the context, the risks and the stakes of the organization.

The different levels of control (self-monitoring by the teams, internal/external audits, management reviews) must all keep the objective of improving the security level in mind by pragmatically using the requirements of the standard and the company’s reference framework, and if necessary, make the latter evolve in the light of the practical reality of the organization. It is a question of finding the right balance between the context of the organization and the management of the identified risks. If your challenges are mainly related to the availability of an activity, focus your efforts (measures and controls) on this issue as a priority. To be relevant, this assessment cycle must distribute efforts on the most relevant perimeters for the organization (according to its risks and impacts) and feed the next steps of the ISMS life cycle.

5. Engage the teams. An ISMS implementation project is not only the prerogative of the CISO or a team of documentalists. It is first and foremost a large-scale project that requires a wide range of expertise, from cyber security to business, IT, legal, procurement, human resources, etc. It is a real change management process that needs to be organized with the full and complete involvement of the various teams and the organization’s management to ensure an ISMS that serves the sustainable improvement of the security level for the entire perimeter.

ISO 27001 certification, yes but pragmatic!

The real strength of ISO 27001 certification is above all to trigger a security dynamic within the organization. Documentation can certainly make practices more cumbersome but does not detract from the philosophy of continuous improvement of the level of security. By providing a minimal basis for cybersecurity, without defining strict requirements, the standard leaves the organization the choice of placing the security cursor at a level that is suitable and to obtain positive results – as long as you surround yourself with good people who are aware of the topic.

Treated with a critical and pragmatic eye, the standard thus provides a framework for installing cybersecurity governance within each organization by mobilizing key concepts while leaving the necessary room to propose complementary measures that, together, serve to improve the level of security.

The free implementation of the NIS Directive at the European level offers a new testing ground where different cultures and different visions of cybersecurity are mixed. Only the future will be able to tell us what works at European level, but the Belgian approach once again demonstrates the culture of compromise between strict framework and freedom of movement. For Belgian ESOs and certification bodies alike, the unknown is above

Cet article Belgian ESO and ISO 27001: which way to more cyber security? est apparu en premier sur RiskInsight.

DIFFERENT STRATEGIES TO safeguard AGAINST DEEPFAKES

Concurrently with the legal framework, public and private organisations get organised to put forward solutions allowing to detect and prevent the malicious spread of deepfakes. We can distinguish four strategies to safeguard against deepfakes.

1/ Detecting the imperfections

Detecting the deepfakes by their imperfections is one of the main existing methods. Some irregularities remain in the generated contents, such as the lack of blinks and of synchronisation between the lips and the voice, distortions of the face and accessories (arms of the glasses), or the inaccuracy of the context (weather, location).

The deepfakes are however built to learn from their mistakes and generate a content that is increasingly alike the original, making the imperfections less perceptible. The tools using this deepfake detection strategy can be effective but require a constant improvement to detect ever more subtle anomalies.

We can cite in this category Assembler, a tool intended for journalists developed by Jigsaw (branch of Alphabet, parent company of Google). It enables to verify the authenticity of contents through their analysis via five detectors, amongst which the detection of anomalies of patterns and colours, of copied and pasted areas, and of known characteristics of deepfakes algorithms.

2/ Screening and comparative analysis

Comparing the contents with a database of authentic content or by looking for similar content on search engines to see whether they have been manipulated (for instance, by finding the same video with a different face) is another strategy allowing to pre-empt deepfakes.

In 2020, the AI Foundation should make available a plugin, Reality Defender, to integrate to web browsers and over time to social networks. It will allow the detection of manipulations of contents, targeting first the politicians. Users will be led to adjust the sensitivity of this tool, according to the manipulations they will want to detect or not, not to be notified for every manipulation of content, notably for the most ordinary manipulations (photo retouch on a web page done on Photoshop for example).

3/ Watermarking

A third method consists in marking the contents with a watermark, or digital tattoo, to facilitate the authentication process by filling in their source and following the manipulations undertaken on these contents.

A team from the New York University works on a research project to create a camera embedding a watermarking technology meant to mark the photographed contents, in order not only to authenticate the original photography, but also to mark and follow all the manipulations carried out on it throughout its lifecycle.

4/ Involving the human factor

Involving the users in the detection process allows both mitigating deepfakes’ impacts by making them realise that the alteration of the acceded contents is possible, and to reduce deepfakes’ occurrence by allowing them to report the ones they suspect.

The plugin Reality Defender already mentioned will give users the possibility to report the contents they judge as fake so as to inform the other users – which once added to the analysis realised by the tool, will be able to see if the contents have been reported by other users, offering a second level of indication.

Some initiatives carried by cooperation of cross-sector actors combine these four strategies for a maximal efficiency against deepfakes. Some are already used or tested by journalists. It is the case of InVID, initiative developed within the scope of the European Union Horizon 2020 program of financing of research and innovation, used by the French press agency (AFP).

Solutions and strategies are therefore emerging, the market is developing, and new innovative solutions should appear very shortly with the results of the Deepfake Detection Challenge. This contest anti-deepfake was launched by Facebook upon the approach of the American presidential election, and more than 2,600 teams signed up. Results the 22^nd of April!

Below a table presenting examples of initiatives combining different strategies to safeguard against deepfakes.

Different means to protect one’s activity

The risk deepfakes present for businesses is genuine, and a few actions can be taken to protect one’s activity and mitigate its impacts from now on.

• Estimating the exposure: The use cases of deepfakes and the worst-case scenario of their use must be determined on the perimeters of the company, taking the fraud and undermining risks into consideration, and identifying the appropriate security strategies.

• Raising awareness: The collaborators must be made aware of the detection of deepfakes (to avoid the cases of fraud) but also of the limitation of shared contents on social media that can be reused to create deepfakes (to avoid the undermining). Just like anti-phishing campaigns, this awareness campaign focuses both on the detection of technical faults (form) of the deepfakes (although they will be led to disappear with the improvement of techniques), but mostly on the detection of the suspicious nature of information (content), encouraging the audience’s suspicion, cross checking of information and notification of the suspicions to the appropriate teams (what to do if I see a suspect video of my head of communications on the social networks during the weekend? What to do if I receive a vocal message of my chief asking me to execute a punctual operation that is slightly out of my perimeter?).

• Adapting the verification processes: The existing anti-fraud plans can be redesigned to be applied to deepfakes. For instance, for a Fake President fraud via deepfakes, one of the recommendations is to suggest to the interlocutor to hang up and call him back (if possible on a known number, and after an internal check). For the most sensitive fraud scenarios, these reaction processes must be finely defined, and the concerned collaborators regularly trained to the reflexes to adopt. Tools such as the ones defined earlier can also be used to verify all or any part of the media used by the collaborators.

• Protect the contents: The contents representing collaborators shared internally or externally by the company can be controlled to avoid them being reused to generate deepfakes. Businesses can limit the diversity (angle of the people and types of media) of the data potentially usable by malicious actors, and play on the digital quality (definition) of the shared contents. In fact, the more the malicious actors benefit from diverse and good quality contents representing the collaborators, the more it facilitates their reuse to generate deepfakes. Moreover, businesses can limit their means of communication to an official channel, verified social networks and their official websites – which creates contents’ consumer habits for the audience, that will be suspicious of all diffusion out of these habits.

• Anticipate the crises: The communications requirements in the case of a proven incident linked to deepfakes must be anticipated, and the management of the deepfake case must include the “generic” communications scenarios addressed in the crisis communication plans.

Cet article Deep dive into deepfake – How to face increasingly believable fake news? (2/2) est apparu en premier sur RiskInsight.

The recent events linked to the COVID-19 outbreak have proven the necessity of acceding to reliable and true news for all the society. More than the epidemic, we have witnessed an « infodemic », rapid spread of false or misleading information on the social networks, raising the question of the trust given to the platforms relaying the news and of the authenticity of the information they pass on.

The use of deepfakes is a topical phenomenon affecting firstly the general public. It is inherently linked to the importance gained by the social and online media in our daily life.

In September 2019, we counted near 15,000 deepfake videos online, twice more than in December 2018. If 96% of these videos were pornographic deepfakes posted on specialised websites, the extent of the affected topics has however increased to reach all the famous social networks (YouTube, Vimeo, Dailymotion).  Amongst the deepfakes posted on YouTube, 20% already represented politicians, business owners and journalists[1]. Their disinformation power on the general public allows them to influence major political and societal events from the moment they star famous personalities.

Deepfakes keep getting better, while the tools to generate them become more accessible (such as Lyrebird, for the audio deepfakes, Zao, for face-swapping, and the most recent one, Avatarify, integrated to Zoom and Skype, for the video). Their harmful power weighs more and more not only on public actors and organisations, but also on private ones, and must be taken into account in every business sector.

A RISK WORTH CONSIDERING FOR BUSINESSES

Deepfakes can also be used against businesses. They offer a new playground for malicious actors, particularly through two means of action:

• The improvement of Fake president frauds, whose impacts and probability are increased by deepfakes. The fraud becomes more credible thanks to photos, videos and audios copying the person who is impersonated. The targeted collaborators therefore consider these contents as an authentication in itself of the interlocutor, and the chances of successful attacks are increased – which is an incentive to ask for larger sums. Besides, the tools to generate deepfakes being accessible to the large public, the use of these frauds by malicious people increases.
• The undermining of the business through relayed false information can strongly damage its image, leading to a certain number of consequences, notably financial and legal. We can wonder what would be the impacts of an ExCom member’s video speech sharing fake results or strategic orientations on the price of his firm’s share or on the trust of its prospects; or those of the disclosure of a product anomaly on the direct order intake. Moreover, denying the rumours is harder when deepfakes are used. Today, many businesses still feel afar from the subject: How many have already wondered what would the impacts of a deepfake be on their activities?

A legal framework IN PROGRESS

The states start putting together an answer to the deepfake concern and legislating to regulate their diffusion. Some countries such as China criminalise the diffusion of deepfakes without notifying the audience about it (since the 1^st of January 2020). In the United States, the treatment of the deepfakes’ question is speeding up as the presidential election of November 2020 approaches, and it is dealt with both at the federal level (bills prohibiting the diffusion of deepfakes in California, Virginia and Texas) and at the national one (the DEEPFAKE Accountability Act[2]  is being discussed by the Congress to “combat the spread of disinformation through restrictions on deep-fake video alteration technology”). In France, the question of deepfakes is included in the law of the 22^nd of December 2019, related to the fight against the manipulation of information – and is therefore not dealt with specifically.

These legal frameworks remain dawning and heterogeneous, and only represent one part of the answer to provide to this technology. More than condemning their malicious use, the issue is mostly to be able to detect and avoid them.

In this first part, we have given an overview of the risks presented by deepfakes for the businesses. In the second part of the article, we will focus on the technical and organisational means available today to safeguard oneself.

[1] Study published by Deeptrace in September 2019.

[2] Defending Each and Every Person from False Appearances by Keeping Exploitation Subject to Accountability Act.

Cet article Deep dive into deepfake – How to face increasingly believable fake news? (1/2) est apparu en premier sur RiskInsight.

Managing risks in the long term

Equipment hardening

In addition to secure architecture and administration tools, security levels for each item of equipment should be increased according to the strict necessity principle. A generic hardening guide can be created and then adapted to each of the technologies identified by the industrial IS mapping. This allows some of the vulnerabilities to be remedied at configuration and system levels.

Additional security can be provided by adding complementary solutions, such as:

• Antivirus software, which will cover industrial workstations against the most common viruses, whether connected to the network or not (although the latter will require manual updates);
• Implementing strict rules on local machine firewalls, which can be used to prevent communications, and therefore intrusions, on unused ports, and to filter the origin of flows according to the protocols used – which means attempted attacks can be more easily detected;
• Local administrator account-management solutions (for example, LAPS for Windows) finally make it possible to manage native administrator accounts on workstations in a central and individualized way.

However, sometimes it may no longer be possible to harden equipment due to obsolescence. In such cases, there is a need to work with the relevant business functions on obsolescence management of the equipment – its potential replacement and, as a last resort, options to isolate it from the rest of the IS. On obsolete workstations, configuration blockers can be used to ensure the installation and use of components is limited only to those that are strictly necessary.

It’s important to remember that, while industrial ISs have vulnerabilities, they are, above all, part of the company’s means of production. Dialog with the relevant teams is therefore essential in understanding how equipment is used – in order to resolve the vulnerabilities while limiting effects on the business as far as possible.

Security maintenance

Once equipment has been brought up to the right level of security, a plan will be needed to maintain this over time. A choice of options for managing security patches can be developed to meet the needs of the business (in terms of availability, integrity, etc.) and synchronized with the maintenance of the industrial equipment through:

1. Integration into standard operating processes; for example, an installation’s qualification/quality processes may require that equipment be up to date. The updating and administering of equipment can therefore take advantage of plant shutdowns, especially where recertification is needed.

2. Planning a “hot swap” update process in the event of a critical security breach and a procedure for the preventive isolation of production lines – until it’s possible to interrupt the production process;
3. The identification of redundant or peripheral equipment where interventions can be carried out on the basis of straightforward interaction with production managers.

To put in place these patching processes, the mapping carried out previously must have generated a precise equipment inventory, including:

• The identification of the equipment: type, location, and number of units;
• The industrial processes that each item of equipment is used for, and the associated criticality;
• The version of the operating system and/or firmware, and the tools and configurations deployed;
• The cybersecurity needs of supported processes;
• The availability of redundancy, data buffering, and cold spares;
• The required patching frequency and patching history.

But maintaining security levels isn’t simply about applying patches to equipment, it should also:

• Define the process for updating the security solutions installed on equipment isolated from the network;
• Install removable media cleaning solutions, given that these types of tool remain in widespread use on industrial sites. Here, the use of portable solutions allows such media to be analyzed while moving around the site;
• Ensure the safeguarding of equipment configurations and their integration into the DRP in order to guarantee that equipment can be restarted following an incident while still meeting availability needs;
• Set up monitoring of the industrial IAM[1] to ensure robust physical and logical access control. This can also be used to automate a number of time-consuming activities that are still sometimes done manually.

Detecting cybersecurity incidents

The measures set out above help reduce the likelihood of risks occurring and increase the availability of equipment, which benefits the business. Nevertheless, there will still be a need to prepare for the worst and to have in place the tools needed to detect an incident – to be able to remedy such events as quickly as possible and minimize interruption times.

Putting in place detection

The first step is to activate the IDPS[2] functions on networked equipment to ensure that a first stage of detection, and potentially automatic blocking, is in place.

The next step is to collect information by deploying a concentrator on site. The network equipment and server logs can then be sent to existing or dedicated SIEMs[3] where correlation and detection can take place. SOC[4] and CERT[5] teams can then carry out analysis and detection, and respond, if needed, to an incident, by working through standard scenarios.

Anticipating specific risks

However, detection based on standard scenarios may offer only limited value to the business functions. Considering the entirety of sources (PC, Linux, UNIX, etc.) and setting up dedicated industrial IS probes, capable of interfacing with the SCADA systems, can enhance the detection system. Such solutions, however, can be costly.

The key factor is to ensure a progressive and rapid increase in the maturity and value added by the SOC. Agile methods are a good fit here and involve the iterative application of the cycle described in the text box below.

Planning for remedial activities

Lastly, detecting an incident will only result in effective remediation if the business-function teams are involved. As with equipment updates, emergency stop procedures should be reviewed jointly with industrial IS users. A formal Incident Response Plan enables the actions for an industrial cyber-incident to be planned.

Dedicated industrial IS crisis-management exercises should also be carried out to ensure that teams are optimally prepared and to highlight any shortcomings.

Taking a progressive and participative approach guarantees an initiative’s success

The security maintenance of an industrial IS is a complicated undertaking that can only be successful if it is carried out in partnership with the business functions. A progressive and participative approach should be taken to work with them in each of the following areas:

• Understanding the industrial IS, by mapping and prioritizing the most critical elements;
• Mitigating the risks on the industrial IS, by implementing state-of-the-art secure network architecture and defining the administration processes – due to their criticality, safety ISs must be given particular attention;
• Ensuring an adequate level of safety, by hardening and ongoing security maintenance – in particular, this will involve discussions with equipment suppliers and manufacturers;
• Putting in place the tools needed to detect security incidents – these can have a bearing on production and define the response processes.

The actions above can’t always be carried out in parallel. Defining a clear roadmap will enable such actions to be prioritized. This will aid cost control and maximize the value added for the business functions.

Given that such significant undertakings are often driven centrally, the challenge is to engage the individual industrial sites (which may be spread across the world) to ensure security levels can be maintained in the long term. In general, we observe that companies take a two-stage approach:

1. A multiyear cybersecurity program (typically carried out over three years), with a budget of €10m-15m, aimed at:
   • Creating the industrial IS inventory
   • Raising the security levels of existing assets by putting in place protective measures, often involving separation and filtering, and remedying the most critical vulnerabilities – here, defining procedures is essential;
   • Putting in place an initial network of local cybersecurity coordinators;
2. Create an industrial cybersecurity team and its associated management structures that bring together:
   • A framework of key activities that local players will need to manage;
   • The participative construction of the tools that will help this network of local managers carry out their cybersecurity activities;
   • The development of approaches to manage the increase in security maturity levels and change (such as maturity matrices, site-level budget-modeling tools, the definition of steering indicators, central services that the sites can draw on, etc.).

Implementing the management processes can start immediately after the program and therefore benefit from the initial network of site-level cybersecurity coordinators put in place.

Once constructed, it becomes a question of energizing the initiative and steering progress on the sites and industrial ISs, in terms of both security and maturity levels.

Doing this typically involves:

• A network of local cybersecurity coordinators, of size 0.5 to 2 FTEs[6] per site, who are responsible for carrying out projects, implementing ongoing cybersecurity activities, continuous security improvements, and reporting;
• A central team of 3 to 10 FTEs, to provide overall steering and support local managers – especially in terms of expertise.

[1] IAM i.e. Identity and Access Management.

[2] IDPS i.e. Introduction Detection and Prevention Systems.

[3] SIEM i.e. Security Incident and Event Management.

[4] SOC i.e. Security Operation Center.

[5] CERT i.e. Computer Emergency Response Team.

[6] These figures can vary significantly depending on the size and number of local sites; they are the typical arrangements we observe in the large international organizations that Wavestone supports

Cet article Saga (3/3) – Feedback from the field and good practices for the protection and the security maintenance of industrial ISs est apparu en premier sur RiskInsight.

La prévention des risques cyber auprès des plus jeunes, mais aussi des parents, est un véritable enjeu de société. C’est pour apporter une nouvelle solution de sensibilisation et d’accompagnement que le Centre de la Cybersécurité pour les Jeunes (CCJ) et le cabinet de conseil Wavestone – avec la contribution de Cybermalveillance.gouv.fr – lancent le kit de jeu “1,2,3 CYBER!”, une initiative ludique et participative.

Une approche ludique pour sensibiliser les plus jeunes aux dangers du net

Face au constat de l’exposition croissante des plus jeunes aux multiples visages de la menace cyber, l’association « Centre de la Cybersécurité pour les Jeunes » (CCJ) s’est rapprochée du cabinet de conseil Wavestone au début de l’année 2019. L’objectif : relever le défi de la création d’un jeu destiné à sensibiliser les 11-14 ans aux dangers du net tout en s’amusant, mais également outiller les éducateurs et les parents pour un accompagnement adapté à cette tranche d’âge. De cette collaboration est né le jeu « 1, 2, 3 Cyber ! ».

1,2,3 CYBER – un jeu de sensibilisation des plus jeunes au risque cyber

Le jeu de société met en avant 35 thématiques clés telles que le cyberharcèlement, l’ami virtuel, la vie privée, le hameçonnage, les mots de passe, le signalement, le chantage, le challenge, la cellule d’écoute, sans oublier les fake news…. Une session, qui peut compter de 6 à 12 joueurs, dure environ 1h15 (l’introduction, le temps de jeu et le bilan).

Le jeu est inspiré du Time’s Up, souvent connu et apprécié par la population visée, et se déroule en trois manches. Le but étant, à chacune de ces manches, de faire deviner un maximum de mots inscrits sur les cartes mises à disposition.

• Lors de la première manche, les joueurs doivent user de leur voix pour faire deviner les mots inscrits sur la carte. Si le jeu est trop simple et que les joueurs sont particulièrement sachants en la matière, il est possible d’apporter une complication : trois mots sont inscrits sur la carte qu’il ne faut pas prononcer, et ce sous peine de pénalité.
• Lors de la deuxième manche, les joueurs doivent faire deviner les mots grâce au dessin. Pour cela, il vous est conseillé de vous munir d’ardoises / feutres véledas.
• Enfin lors de la troisième manche, les joueurs ne peuvent prononcer qu’un mot afin de faire deviner celui inscrit sur la carte.

Les mêmes cartes sont utilisées pour les trois parties, et le niveau de difficulté est croissant pour assurer la bonne appropriation des termes par tous les participants. En déroulant le jeu, il est possible que les participants rencontrent des difficultés pour faire deviner certains mots. C’est notamment le cas de hameçonnage, vie privée, etc. Pas de panique pour autant, la difficulté permet de s’imprégner davantage de leur signification et les jeunes trouvent toujours un moyen de s’en défaire (rébus, devinette, etc.).

L’animateur joue un rôle clé dans ce jeu : à la fin de chaque manche, celui-ci doit déboucher sur un moment d’échange sur plusieurs mots. Il devra ainsi faciliter les échanges avec et entre les joueurs, orienter les discussions pour en déduire les bonnes pratiques à adopter sur Internet. Pour ce faire, un livret est mis à sa disposition. Il contient les règles du jeu détaillées ainsi qu’un guide leur permettant de rebondir sur certains termes clés et les bonnes pratiques qui devront être partagées.

Un jeu testé en conditions réelles à diverses occasions

La période de mai à juillet a été l’occasion de tester le jeu en conditions réelles à plusieurs dizaines de reprises, auprès de plusieurs tranches d’âge, potentiels joueurs ou animateurs (11-14 ans, 15-18 ans, etc.). Un franc succès, tant auprès des joueurs que des animateurs rencontrés ! Jusque-là, nous sommes ravis de l’engouement des jeunes et des animateurs pour ce jeu. Les premières sessions de test nous ont conforté sur le format qui permet d’échanger librement sur les usages d’Internet et les bonnes pratiques associées.

Nous avons notamment pu constater que la sensibilisation effectuée dans les écoles ou par les diverses organisations portent leurs fruits : beaucoup de jeunes sont d’ores et déjà à l’aise avec certains termes inscrits sur les cartes, ce qui constitue une base solide au développement d’une meilleure hygiène numérique. L’objectif de ce jeu sera ainsi d’approfondir ces connaissances, de découvrir de nouvelles notions mais surtout de leur permettre d’en retirer des bonnes pratiques concrètes, à mettre en application sans plus attendre.

Un jeu gratuit et accessible à tous

Pour une diffusion et une utilisation les plus larges possible, le kit 1, 2, 3 Cyber est en téléchargement libre et gratuit depuis début août sur la plateforme Github. Ainsi, tous les parents, éducateurs et toute autre personne ayant des jeunes de cette tranche d’âge dans leur entourage peuvent sans difficultés dérouler le jeu.

Pour répondre aux besoins de tous et continuer à le faire évoluer, le jeu est diffusé en licence libre : « la mise à disposition du jeu en open source n’est que le début, le but est que chacun puisse participer à son amélioration dans le temps ! » affirme Etienne Capgras, manager cybersécurité chez Wavestone. Création de nouvelles cartes de jeu, ajout d’informations pratiques spécifiques à d’autres pays que la France, traduction dans d’autres langues… Toute volonté de contribuer sera la bienvenue ! Pour cela, il suffit de se rendre sur la plateforme Github ou de contacter le CCJ (contact@cyberccj.com) et Wavestone (123cyber@wavestone.com).

* Sondage réalisé par questionnaire auto-administré en ligne du 13 au 14 février 2019 auprès d‘un échantillon de 1 003 personnes, représentatif de la population âgée de 18 ans et plus résidant en France métropolitaine.

Cet article Prévention des risques cyber : sensibiliser les plus jeunes par le jeu ! est apparu en premier sur RiskInsight.

And statutory auditors, internal controllers, and auditors, are only too well aware of this; they’ve been increasing pressure for several years now to bring these risks under control and ensure compliance with the relevant regulations.

ERP permission-related risks that need to be brought under control

What’s needed is to take a serious look at the topic of “permissions ” (which are also called rights, authorizations, roles, or access profiles). In fact, the permissions granted to users on a company’s ERP enable them to carry out a large part of their activities—legitimate or otherwise. By ensuring you provide only the right people with the right permissions at the right time, you can significantly reduce the risks mentioned above.

Over two articles, we present our vision for this area, and share proven good practices that can bring the risks associated with ERP permissions under control.

Companies show little rigor when it comes to ERP permissions

ERP ecosystems are complex, and companies typically spend a great deal of time and energy setting their ERPs up. Yet a minimalist approach is often taken to the “identity and access management” aspect of ERPs. Over time, this results in a deterioration in levels of control and security:

• Obsolete, generic, and shared accounts accumulate.
• The number of roles explodes.
• The principle of least privilege is not properly applied.
• Toxic combinations of rights (infractions of the segregation of duties principle) occur, etc.

All of these factors tend to increase the risks mentioned above.

Key Success Factors for an ERP permissions risk-remediation project

As a result, few companies can claim to have complete mastery of the identities and permissions aspects of their ERPs. To illustrate this, consider the indicative questions below to assess your understanding of the subject:

• How many accounts can’t actually be associated with a single individual (generic accounts, accounts not reconciled with an HR repository or Active Directory, etc.)?
• How many users can change the access rights of other users?
• How many users have profiles with high levels of privilege (such as “SAP_ALL” and “SAP_NEW” in SAP ECC)? Of these, how many are really legitimate?
• How many users can change the suppliers master data?
• On average, how many roles are assigned to users? Is it typically two or three roles per user, or do numbers of roles often reach double digits?
• How many IT roles are assigned to business-function users and vice versa?
• How many roles give more rights in reality than they should theoretically provide (roles that should be read-only but have write permissions too; roles whose applicability is broader than it should be; etc.)?

How can you address the issue?

Now that the problem has been defined, what can be done about it? It’s important not to feel overwhelmed or discouraged by the apparently huge task that the issue suggests! It is possible to improve the situation and bring risks related to ERP permissions under control. In addition to the obvious point of providing sufficient resources to do it, there are a number of key success factors that must be met; and these that are the subject matter of our two articles.

1. Steering things carefully

When embarking on such a project, you clearly can’t address everything straight away. It’s more a case of strategically targeting defined scopes which will yield significant results within a reasonable amount of time. For example, it might be a key application or a central ERP module, a process that’s been highlighted in a recent audit, or a series of risks already identified as critical in the corporate risk register. The analysis of real data extracted from ERP systems can be a great help in knowing what to prioritize, and in justifying the priorities chosen.

In terms of approach, there are three areas that the project must cover:

• The analysis and control of permission-related risks—the core work of such a project.
• Implementing a technical solution that supports the chosen methodology.
• Steering and change management—both essential for the success of such a project.

It’s important to pace the project by incorporating regular milestones for each of the three areas—and for each project phase:

• The preparation phase, which includes the detailed framing of the project, putting in place the tools, and completing the prerequisites.
• The deployment phase—known as Get-Clean—aims to control the current risks, by demonstrating the approach at pilot scale, rolling it out more widely, and adjusting the tools according to user feedback.

The ongoing operating mode—known as Stay-Clean—can take the project to the next stage, but the groundwork for it must be done during the initial phase, if the risks are to be controlled over the long term.

A model approach to an ERP permissions risk-remediation project

It’s imperative to closely monitor the actions taken by the various people and decision makers involved, and, more generally, to check that the commitments made at each step are being successfully achieved. These commitments can be represented by results that are both quantitative (a reduction of X% in the number of critical risks; no more than 5 risks per user, etc.) and qualitative (the development of processes or compensatory controls). There will also be a need to measure and demonstrate the value of these results to the project’s sponsors and representatives from the business functions.

2. Preparing the ground

Technical and business-function-related questions are closely linked in projects that address permissions, something especially true in the case of ERPs. As a result, you need to put in place the right sponsors from the start: from both the security and IT sides, and the business-function and Internal Control sides.

There may also be a need to involve numerous other players: access rights officers, security managers, representatives from the business functions, process managers, team managers, internal controllers, etc. Coordination is essential throughout the project, and future contributors, as well as those affected by the changes, need to be brought on board and engaged from the start—in terms of sharing the challenges, objectives, and approach. The approach must be framed positively: it must not be about stigmatizing states of affairs or behaviors, or comparing one part of the business with another; rather, it should be about moving the company and its employees forward in the management of risks.

The preparation phase first involves gathering the various inputs needed for the project, and especially those that will enable an initial analysis of the data: organizational information about users (department, function, etc.), permissions, access logs, control repositories, segregation of duties matrices, etc. For this last item, in particular, workshops are a must if the matrices are to be completed and “translated” into technical permissions that can become automated controls within a tool.

There is also a need to define the indicators, dashboards, and reports that will be used both during the project phase and also in the long term by those in charge of continuous monitoring.

Another important activity during this preparatory phase is to improve data quality. This prerequisite becomes all the more indispensable when a company’s maturity level, in identity and access management terms, is low. Improving quality isn’t just about user accounts though, it’s also—and especially—about the ERP authorization model. If the roles or access profiles themselves carry risks (in particular, in terms of the segregation of duties), this must be remedied before tackling the individual risks introduced by users.

Examples of prerequisites for an ERP permissions risk-remediation project

We’ve now discussed the first two key success factors in an ERP permissions risk-remediation project: close steering and preparing the ground. Three other key success factors will be discussed in a second article, to follow.

Cet article ERPs: how to control permission-related risks (Part 1) est apparu en premier sur RiskInsight.

Bien que les principes fondamentaux d’identification des enjeux, des risques et des actions de remédiation demeurent, la méthode s’illustre par son appel à des scénarios d’attaque complexes tirant partie de vulnérabilités multiples, à la manière d’attaques réelles comme celle contre les systèmes de connexion à SWIFT de la Banque Centrale du Bangladesh en 2016 ou contre Sony Pictures en 2014… Autre évolution majeure, l’apparition d’une analyse approfondie des attaquants potentiels, de l’écosystème et des parties prenantes du périmètre étudié.

Ce changement de posture permet à EBIOS RM de répondre spécifiquement aux problématiques posées par des attaquants toujours plus professionnalisés qui étudieront méthodiquement les vulnérabilités d’une cible ainsi que l’ensemble de son écosystème pour parvenir à leurs fins. Elle vient ainsi remplir une zone de vide dans l’espace des méthodologies d’analyse de risques.

Néanmoins, malgré cette approche réellement innovante et comme nous allons l’étayer ci-dessous, EBIOS RM ne doit pas forcément être considérée comme la nouvelle démarche globale d’analyse des risques mais plutôt comme une nouvelle corde à l’arc méthodologique du RSSI pour traiter les scénarios d’attaque les plus complexes.

S’appuyant sur nos premiers retours d’expérience de l’application concrète de cette méthode, nous présenterons en détail les évolutions qu’elle apporte ainsi que leurs implications sur la gouvernance plus générale des risques SSI.

EBIOS RM, une nouvelle méthodologie pour mieux appréhender les risques complexes de cybersécurité

Depuis bientôt 10 ans, EBIOS 2010 propose une méthode centrée sur la notion de menaces unitaires tirant partie de vulnérabilités et de prévention de leurs impacts sur des processus métiers. Cette méthode, qui remettait à l’époque le métier au centre de l’analyse de risques, n’est cependant pas conçue pour identifier et traiter des menaces complexes. Ces menaces, composées de rebonds de l’attaquant d’une vulnérabilité à une autre pour atteindre ses fins, constituent pourtant aujourd’hui une part majeure de l’univers des risques SSI et ont été mises à l’ordre du jour de nombreux comités exécutifs à la suite des dernières attaques majeures comme NotPetya ou WannaCry.

EBIOS RM vise à compléter ce manque par une approche intégrant dans un premier temps de l’étude poussée des intentions des attaquants potentiels, puis la prise en compte formelle de l’écosystème et enfin l’identification de scénarios d’attaque complexes de type kill chain. L’objectif final de cette étude n’est plus l’alignement des mesures de sécurité à des failles unitaires comme pour EBIOS 2010 mais bien la capacité à maîtriser des risques aux facettes multiples.

En préalable, mener un travail préparatoire concernant les vulnérabilités

EBIOS RM propose dans un premier temps la mise place d’une étude structurée du niveau de sécurité du périmètre analysé par une revue de conformité. Cette vérification permet d’identifier un premier panel de vulnérabilités, comme le ferait un attaquant en testant par exemple la version des infrastructures ou les vulnérabilités de l’OWASP.

Contrairement à ce qui est proposé dans la méthode EBIOS 2010, la principale finalité de cette approche n’est pas de remédier à des vulnérabilités unitaires mais bien d’alimenter la définition des scénarios d’attaque complexes en identifiant les potentiels points de rebond de l’attaquant.

Ensuite, mieux prendre en compte l’écosystème et les sources d’attaque

Par ailleurs, afin d’adapter l’analyse des risques à la réalité des SI contemporains et de l’univers de menace, EBIOS RM intègre une innovation majeure sous la forme de la revue systématique de l’écosystème du périmètre étudié, depuis les tiers de confiance connectés à celui-ci jusqu’aux tiers présumés hostiles tels que des concurrents, des états voire des activistes.

L’étude des tiers de confiance met en lumière leurs interactions avec le périmètre étudié, trop souvent acquises comme sûres, qui constituent un vecteur d’attaque idéal pour un attaquant contournant ainsi les défenses périmétriques voire les mesures de gestion des accès internes.

L’étude des tiers hostiles place quant à elle la notion d’intentionnalité de la malveillance au cœur de l’étude. EBIOS RM propose donc de les identifier précisément et d’analyser les objectifs possiblement visés. Ce changement d’angle de vue sert de base au développement de scénarios d’attaque complexes dans la suite de la démarche.

Cette nouvelle approche vise notamment à faire face aux attaques par water-holing ou encore des conséquences de la compromission d’un SI tiers comme les fuites de données de l’enseigne américaine Target en 2013.

Enfin, un travail itératif de construction des scénarios d’attaque

Sur la base de cette connaissance approfondie du contexte, la démarche EBIOS RM vise à réaliser une étude préliminaire et plus fonctionnelle des évènements pouvant survenir sous la forme de scénarios stratégiques, puis un zoom plus technique sous la forme de scénarios opérationnels détaillés. L’objectif est que ces deux visions s’alimentent tout au long de l’étude dans une réflexion itérative.

EBIOS RM demande tout d’abord de définir de 3 à 5 scénarios stratégiques combinant source d’attaque, objectif visé et principaux moyens utilisés pour atteindre cet objectif. Cette vision de haut niveau et aux aspects techniques très limités, atout clef pour présenter les risques cyber aux métiers voire aux instances dirigeantes d’une organisation, permet également de préciser le périmètre de la réflexion plus technique qui sera réalisée au travers de 10 à 15 scénarios opérationnels.

Ces scénarios opérationnels racontent un fil détaillé d’évènements qui, combinés, mènent à un impact majeur. EBIOS RM structure ce cheminement au travers de quatre phases. Tout d’abord, la prise de connaissance par l’attaquant du SI ciblé, de son fonctionnement et de ses acteurs. Ensuite, la phase d’entrée dans ce SI au travers d’actions comme le phishing ou l’exploitation d’une backdoor. Puis vient la phase de recherche des données ou du SI critique que l’attaquant souhaite compromettre. Enfin, c’est la phase d’exploitation de cette cible via par exemple l’exfiltration de données ou l’implantation d’une bombe logique.

Chaque scénario d’attaque opérationnel aura donc sa propre histoire à raconter, sa propre kill chain, dont la vraisemblance sera déterminée. Cette spécificité est une des forces de l’étude, facilitant sa restitution, mais lui permettant également d’alimenter la réflexion d’un SOC concernant la définition de scénarios de corrélation à implémenter dans un SIEM.

Cette hauteur d’analyse en fait d’ailleurs un outil de choix pour l’étude des risques des périmètres les plus critiques d’une entreprise, comme par exemple les SI d’importance vitale.

Un outil ambitieux dont il faut cadrer l’utilisation

EBIOS RM présente des atouts séduisants par la prise en compte des motivations et méthodes des attaquants, de l’étude approfondie des tiers de confiance comme potentiels vecteurs d’attaque ou encore par sa capacité à produire des scénarios d’attaques complexes mais capables de convaincre des publics non-initiés.

L’une des principales qualités d’EBIOS RM, imposer réflexion et créativité pour définir les scénarios stratégiques et opérationnels pertinents, a néanmoins un revers notable : EBIOS RM ne pourra ainsi pas, exception faite de l’étude du socle et des acteurs menaçants, faire l’objet d’une industrialisation poussée des outils associés sans craindre une perte de créativité et donc une perte de qualité dans ses résultats. Cette logique s’écarte donc de celle en vigueur pour EBIOS 2010 qui rendait par exemple possible une revue exhaustive des menaces, permise par la complexité très souvent limitée de celles-ci.

En l’absence de cadre largement outillé et afin d’éviter que la subjectivité des participants n’y fasse son lit, EBIOS RM va ainsi exiger de son pilote un éventail de compétences qui reste rare sur le marché : des connaissances techniques pointues et orientées test d’intrusion pour déterminer ce que serait capable de réaliser un attaquant selon son niveau d’expertise, de la créativité, une capacité au story telling, à la synthèse et à la pédagogie, afin de définir des scénarios d’attaques qui auront à la fois suffisamment d’impact et de pertinence pour convaincre à la fois les équipes métiers et techniques tout en illustrant avec justesse et moins de quinze scénarios opérationnels toutes les facettes remarquables de la situation étudiée.

Ces différentes qualités renforceront par ailleurs la légitimité du pilote de l’étude, indispensable pour animer et recadrer efficacement les différents groupes de travail demandés par la méthodologie, afin d’éviter les discussions sans fin qu’elle peut risquer d’entraîner par ses aspects subjectifs. Il faut en outre garder à l’esprit que par son aspect itératif et les nombreux groupes de travail qu’elle implique, EBIOS RM sera une démarche significativement plus coûteuse en temps qu’EBIOS 2010. De plus, ses résultats seront difficilement réutilisables d’une étude à l’autre, en cela qu’elle se concentre justement sur les spécificités des périmètres étudiés.

Les sources accidentelles écartées

Dernier point d’attention, EBIOS RM, en plaçant l’intentionnalité au cœur de sa démarche, écarte les sources accidentelles. Pourtant, celles-ci se produisent régulièrement, qu’il s’agisse d’un coup de pelleteuse, d’une corruption d’une base de données ou de l’erreur d’un administrateur. Par ailleurs, le cœur de la démarche EBIOS RM, en générant un nombre limité de scénarios opérationnels, ne vise pas à l’exhaustivité qui était une des forces d’EBIOS 2010. La réponse de la démarche à ce biais méthodologique est l’étape d’étude du socle, mais celle-ci n’est qu’une revue de conformité. Si on imagine appliquer la démarche à un périmètre existant présentant de nombreux axes d’améliorations et qu’on utilise un référentiel de conformité suffisamment exhaustif (les 42 règles de l’ANSSI ou ISO27002), on pourra se retrouver avec une liste à la Prévert des mesures correctives à mettre en œuvre, sans moyen rigoureux de les prioriser, sauf à faire appel à EBIOS 2010 qu’EBIOS RM visait à remplacer…

Vers une refonte de la gouvernance de la gestion des risques

EBIOS RM est donc une démarche qui nécessite un temps de mise en œuvre certain ainsi que des expertises à la disponibilité souvent déjà limitée, et dont les résultats seront difficiles à réutiliser. En tenant également compte de ses priorités méthodologiques, nous pensons préférable de concentrer l’application de cette démarche aux systèmes présentant des enjeux forts et dont le niveau de sécurité a déjà un certain niveau de maturité, par exemple parce qu’ils seront passés par l’étape EBIOS 2010. Il nous semble également préférable d’utiliser EBIOS RM pour des ensembles cohérents de SI (exemple : une voiture ou les activités marketing) afin de conserver un périmètre d’étude suffisamment important pour permettre des attaques avancées. Enfin, sur des ensembles cohérents de SI appartenant à des acteurs différents, il est possible d’appliquer la méthode jusqu’aux scénarios stratégiques afin de fixer des priorités d’étude pour les analyse de risques plus détaillées qui seront mises en œuvre par chaque entité sur ses périmètres propres. EBIOS RM sera dans ces cas d’autant plus pertinente qu’elle se concentrera uniquement sur des scénarios au plus proche des pratiques métiers.

EBIOS RM, une brique dans l’offre de services d’analyse de risque

L’arrivée d’EBIOS RM, démarche novatrice quoique à utiliser avec mesure, et qui finalement complète plus qu’elle ne remplace EBIOS 2010, participe donc à créer ce qu’on pourrait appeler une offre de service EBIOS. Les ressources et les compétences nombreuses qu’elle nécessite pour être mise en œuvre la réserveront ainsi à des périmètres spécifiques, fortement exposés ou porteurs d’enjeux majeurs comme par exemples les SI d’importance vitale, ayant déjà fait l’objet d’un socle de mesures d’hygiène SSI.

Tout ceci plaide en faveur de la mise en œuvre, en amont des projets, d’une démarche de gouvernance des risques, transverse à l’entité, qui permettra de déterminer rapidement les enjeux, l’exposition et la maturité sécurité de ses périmètres fonctionnels et applicatifs, puis de décider en fonction quelle méthodologie de sécurisation mettre en place : simple revue de conformité à un socle minimal de règles de sécurité, étude EBIOS 2010 plus ou moins approfondie ou enfin, sur les périmètres à la fois sensibles et matures, étude EBIOS RM.

Cet article EBIOS (2010) est mort, vive EBIOS (RM) ? est apparu en premier sur RiskInsight.

« Va parler à la maitresse si quelqu’un t’embête à l’école », « Je ne te louerai pas ce DVD, ce film est trop violent pour toi » ou encore le classique « Surtout, ne suis pas un inconnu, même s’il t’offre des bonbons ». On a tous encore en tête, même après des décennies, les conseils de nos parents concernant notre sécurité dans la vie de tous les jours. Mais avec une utilisation de plus en plus précoce d’Internet par les enfants, cette vie de tous les jours s’est maintenant étendue à la toile. Il est donc devenu impératif de sensibiliser les plus jeunes aux risques auxquels ils s’exposent en surfant sur le web pour qu’ils puissent en tirer tous les bénéfices !

L’éducation aux risques numérique, une nécessité

C’est la mission que se donne ISSA France sous le patronage du secrétariat d’état chargé du numérique avec son cahier de vacances « Les As du Web ». Et le besoin est là : selon un récent sondage IPSOS, plus d’un tiers des jeunes interrogés (entre 9 et 17 ans) ne protègent en rien les informations personnelles qu’ils mettent en ligne. Plus inquiétant, un cinquième de ces enfants pourrait envisager de donner rendez-vous à un étranger rencontré sur Internet, et 10% discutent d’ailleurs régulièrement avec de parfaits inconnus.

La sensibilisation de cette population à ces dangers est d’autant plus importante que l’autorité parentale ne suffit pas toujours : ils sont 65% à déclarer ne pas respecter au moins une règle de conduite édictée par leurs parents… Ces derniers ne sont d’ailleurs pas toujours très au courant eux-mêmes des dangers de la toile.

Sensibiliser les enfants, et par transitivité des parents, est donc un enjeu qui a déjà fait l’objet d’initiatives, avec notamment la création du Permis Internet par le Ministère de l’Intérieur. La publication de ce cahier de vacances « Les As du Web » est une étape supplémentaire dans l’intégration du numérique au sein de l’éducation des jeunes générations.

Comment parler simplement d’un sujet complexe

Pour autant, aborder une thématique technologique avec un public aussi particulier peut relever d’une véritable gageure, et ce d’autant plus qu’ISSA France a choisi de s’adresser aux 7 – 11 ans. Cibler cette tranche d’âge tombe sous le sens car c’est l’âge auquel ces internautes en herbe accèdent à Internet et sont les plus vulnérables.

Le premier challenge est donc d’arriver à isoler les sujets à aborder dans l’ouvrage. Ils doivent traiter les grands risques auxquels les enfants seront exposés de la manière la plus didactique et rassurante possible. Le choix d’un cahier de vacances, avec ses jeux et son graphisme ludique répond à cet objectif. Ensuite, il s’agit de trouver les bons mots. Le monde du numérique est truffé d’anglicismes et utilise un vocabulaire très particulier qu’il faut simplifier et expliquer si besoin au jeune lecteur afin de faciliter sa compréhension.

Les grands thèmes du petit cahier

Le cahier de vacances « Les As du Web » aborde donc dans un ouvrage ludique et pédagogique d’une vingtaine de pages les six thématiques suivantes :

• Qui se cache derrière ton écran ? Et pour quoi faire ? Pour bien expliquer que l’on peut facilement masquer son identité et prétendre être celui que l’on n’est pas.
• Tes données personnelles : apprends à les reconnaitre et protège-les ! Pour montrer la valeur de ses données et les enjeux à long terme.
• Le monde numérique n’est pas que pour les enfants. Ne t’y promène pas seul. Pour démontrer que le web n’est finalement pas si différent du monde « réel ».
• Le cyberharcèlement : c’est grave ! Cette partie donne les bons réflexes sur comment réagir lorsque l’on est visé ou témoin ?
• Internet ne dit pas toujours la vérité. Gare aux mensonges pour ne pas les répéter. Important en ces temps-de « fake news ».
• Sur Internet, reste cool et toi-même. Afin de démystifier et donner les bons réflexes de posture.

De la page web aux enfants, il reste du chemin à parcourir

Le projet est maintenant arrivé au bout de sa première phase : la création du contenu. Wavestone est d’ailleurs très heureux d’y avoir, avec d’autres, participé. Mais cette première étape ne constitue que 10% du chemin car tout l’enjeu maintenant est de faire que ce contenu atteigne sa cible !

Pour se donner les moyens d’y arriver, ISSA France souhaite imprimer un million de copies papier d’ici cet été. Car si pour le moment, le cahier n’est disponible qu’en ligne, l’association souhaite en effet placer de nombreux exemplaires physiques à des endroits stratégiques, comme les gares, les aéroports ou les aires d’autoroute lors des départs en vacances. Et c’est là que vous pouvez aider et participer au succès de cette initiative. A votre échelle en partageant autour de vous le cahier de vacances mais aussi à l’échelle de votre entreprise, puisqu’ISSA France est toujours à la recherche de partenaires pour participer à la diffusion de cet ouvrage et lui permettre d’atteindre sa cible.

Cet article Les As du Web : Participez à l’initiative de sensibilisation des 7-11 ans aux risques du web est apparu en premier sur RiskInsight.

Under the French Military Programming Act (MPL), certification is a mandatory procedure that applies to Vitally Important Operators (VOI). It helps to manage the issues and security levels for all Vitally Important Information Systems (VIIS)

Certification is a core issue to the MPL compliance strategy, because it provides a concrete and operational means of breaking down the MPL’s requirements while reducing security risks.

ANSSI—The French National Cybersecurity Agency—has produced a guide that describes the key steps in certification. These steps are:

• Defining a certification strategy (a scoping document describing how to achieve certification)
• Performing a risk analysis on a VIIS
• Conducting a certification audit
• The certification decision
• Post-certification monitoring

The approval decision must be made by the Certification Authority (CA), which is the legal entity responsible for certifying VIIS. It is assisted by the Certification Commission, an internal group of experts responsible for doing the preparatory work for the certification decision.

The information required to make the decision is compiled in the certification file. This allows the Certification Commission to attest to the level of security and accept the residual risks. Ultimately then, it is the Certification Commission that attests to the fact that the risks are being properly managed.

An approach to quickly assess existing VIIS

Retro-certification: how to certify VIIS already in production

For existing VIIS, the certification model is different, although the objectives remain the same. An assessment of existing VIIS is the starting point for certification, and performing a dry-run audit (or using a previous audit report) serves to speed up the gathering of information and the identification of risks.

Conversely, the security measures have to be applied to a history that can be challenging to transpose. Compensatory measures therefore have to be identified, prioritized, and implemented.

This retrospective certification, or retro-certification, must enable the business to consider the risks in an exhaustive fashion, and prioritize the actions, in order to reduce them to an acceptable level by making the necessary investments.

While it’s important to design the certification process such that it has the capacity to process future VIIS, it is mostly for existing VIIS that VOI are actually busy with, and retro-certification is, therefore, a priority.

Adopting a test & learn approach

In order to define and deploy a certification procedure within the framework of the MPL, VOI can define an initial pilot stage to test and refine the process before using it—at full scale—on a VIIS.

The objective of this pilot phase is to compare the methodology and the reality on the field, with the aim of validating the approach and the steps defined (procedures, people who need to be involved, etc.). Taking such approach highlights areas of difficulty (related to IS administration, partitioning, patch management, etc.), and enables a concrete and achievable remediation plan to be put together.

The choice of pilot VIIS is essential in anticipating the problems that will be encountered. It makes sense to choose a pilot VIIS that is representative of all the other VIIS (typical size, limited interactions, etc.).

Demonstrating the security level generated by the MPL

Among the various work streams and projects triggered by the MPL, it’s the certification program that enables security to be strengthened effectively. This can be achieved not just by highlighting security at high level both internally (with senior management and those with accountability for certification) and externally (with ANSSI and the government), but also by quantifying the degree of risk reduction required (through risk analysis) and achieved (through audit).

Achieving certification enables actual risks to be communicated, and the players involved to be made responsible and aware (particularly senior management—as a result of interactions with those accountable for certification).

All the activities undertaken for MPL compliance are compiled in a certification file, which gives them a practical reality. This includes observations about security, obstacles encountered, and an overview of the complexity involved in compliance.

The certification file must be made available to ANSSI. The file represents a showcase for ANSSI with respect to the VOI’s compliance with the MPL—and it pays not to cut corners! The VOI must demonstrate the gains made in security and the clear validation of the theoretical responses to compliance.

Maintaining a high level of security over time

Creating a certification mindset

Certification doesn’t end when the certification decision has been made and the system put into production. This only marks the start of the risk-management process. It’s then a question of maintaining momentum, increasing visibility, and ensuring the ongoing management of security. Certification must be renewed at least every three years, or during periods of major change to the VIIS, something that forces a reconsideration of whether the VIIS is actually secure in the way described in the risk analysis.

Therefore, for an existing VIIS, a process needs to be set up to monitor and identify security-related changes to it. This must be carried out in the context of an organizational structure, for example with a named person holding the responsibility to identify and assess any changes. This person, can, in particular, establish a list of key events, for example: changes to the level of exposure of the VIIS, the arrival of new Service Providers, functional developments in the VIIS, or modifications to infrastructure or operational management); these will provide a basis for assessing any requirements for the system to be overhauled.

The establishment of a certification governance committee ensures a degree of momentum in the certification process. Updating the methodology for integrating security into projects enables new projects to be taken into account, risk management to be applied from the beginning, and advance preparation for VIIS compliance.

Providing a clear and understandable framework for application owners

Application owners are key players in maintaining security and certification over time. This is not just because they have a good overview of their VIIS, but also because they are aware of developments to it. If their attitude is one of fear of the MPL, this can lead to a poor approach to security. Conversely, a good understanding of MPL issues, certification, and continuous improvement, can enhance VIIS security.

Special attention should be paid to supporting application owners, and raising their awareness about security in general, and the certification process in particular. To achieve a win-win approach, and improve security over time, you must bring application owners together and get their buy-in.

Security certification: an approach that enhances risk management over time

Beyond essential regulatory requirements, the MPL has to be seen as a catalyst that can enhance risk management within a VOI: from operational level, through application owners, right up to the senior management.

After taking the first step of overhauling and implementing risk-reduction measures on an existing VIIS, certification ensures that levels of security are maintained right across it. Given this, it’s vital that the players involved remain engaged over time to ensure that the initial momentum is maintained.

Cet article Security certification: the key to complying with the french military programming Law (MPL) est apparu en premier sur RiskInsight.

The NIS directive: a major piece of legislation

At a national level, the directive requires the establishment of a cybersecurity strategy and the establishment of a CSIRT, along with an authority figure to oversee these matters. For companies, it introduces two new areas of responsibility for two different types of players:

• Operators of Essential Services must implement technical and organizational measures to manage network and information system security risks
• Digital Service Providers are required to notify the appropriate authority of security incidents

The need for a robust and standardized approach

The NIS Directive is the security counterpart to the European Digital Single Market strategy, which was launched in 2015 and aims to turn digital systems into an engine of growth. Business and consumer trust is essential to this project: because without trust, there will be no growth!

European countries are becoming increasingly dependent on digital and information systems while their networks are becoming ever-more interconnected. This interconnectivity is both a strength and a weakness because an information system’s level of security is only as good as its weakest link.

However, there are marked differences when it comes to Member States because to date, cybersecurity issues have been handled at national level.

It is this inherent systemic risk that Europe is seeking to remedy with the NIS Directive, which is the first piece of European legislation to govern cybersecurity practices in a cross-sectoral manner.

The NIS Directive  differs from regulations designed to deal with specific issues, such as the GDPR. Though often associated with the NIS Directive, the GDPR does not have the same objectives –  its scope is solely about the protection of personal data. Conversely, the directive aims to ensure a base level of cybersecurity through the implementation of security standards and a requirement to give notice when incidents occur (whether they are personal-data related or not). Having said that, a cyber-attack often involves both areas, and it doesn’t make sense to not(?) consider the two pieces of legislation when thinking about compliance.

A transposition process already in motion

As the text is a directive and not a regulation, each Member State has to transpose the directive’s provisions into its own national legislative framework.

Many countries have already announced their first steps:

• The UK has confirmed that it plans to transpose the text, despite Brexit; the levels of penalties provided for in the text, which are particularly heavy, have recently been announced;
• Poland has announced the opening of a new national center dedicated to cybersecurity (NC Cyber);
• Belgium has set out six flagship measures to strengthen cybersecurity: a reaction to WannaCry, a global cyber-attack that paralyzed many businesses in recent months;
• The Czech Republic (Czehia) has amended its cybersecurity laws to take account of more critical sectors and comply with the directive’s requirements;
• Italy has revised its National Plan for Cyber Protection and Digital Security to align with the directive’s provisions;
• Croatia has set up a working group to determine how the directive will be transposed;
• Sweden has already revealed some of the details of its transposition, such as the levels of penalties and the bodies responsible for implementation.

In several respects, the text is very “non-directive” –  setting out objectives but not specifying how they should be achieved. It will be up to each country to work out its own interpretation and draw up the concrete measures that will meet the objectives.

The challenge, therefore, is to reduce the degree of difference between European countries, while standardizing the levels of cybersecurity to a greater extent by avoiding large differences so that players operating in several countries don’t face undue complexity..

To achieve this goal, collaboration is taking place at the EU level:

• A review of the remit of ENISA (the European agency in charge of network and information security) is being considered with the aim of, among other things, giving it the powers needed to carry out directive-related activities.
• A Cooperation Group made up of national representatives, ENISA, and the European Commission, will provide strategic direction;
• A network of CSIRTs will also be active and able to ensure that good practice is communicated and exchanged, as well as supporting Member States on directive-related matters.

How should you prepare for the directive coming into effect ?

Or, more specifically, how can you prepare for this new legislation now and what plan of action will you need to have in place? In practice, that depends on the type of entity in view (an OES or DSP).

For Digital Service Providers (DSPs), a standardized approach is needed: Member States cannot impose additional security or notification requirements and, therefore, for this type of player the directive is closer to an EU regulation. This particular treatment, compared with OESs, arises from the cross-border nature of their activities and the fact that many are foreign companies without bases in Europe.  DSPs will have to appoint an entity which is based in a member state to be their official representative on NIS-related issues (as required by Article 18 of the directive). Thus, it is essential that each Member State has the same requirements, ensuring that future decisions to  enter an EU country are not influenced by uneven interpretation of these criteria.

The obligations for DSPs are somewhat less onerous. For example, they are obliged to notify regulator about an incident only in cases where they have access to the information needed to assess its impact against the criteria defined in the directive (Article 16).

It is already time for DSPs to begin the process of compliance since the implementing acts were published In August of 2016.

For the Operators of Essential Services (OESs) in France, there are two main scenarios.

First, let’s consider the operators already identified as VIOs—Vitally Important Operators—under the French Military Programming Act. For them, the issue of compliance is less significant given that the Act already introduces numerous obligations. The directive probably will not impose more onerous requirements. Some elements such as reporting may be adapted, but there are no major changes in sight.

However, the scope of the directive is likely to be wider than that of the Act, and some operators within the critical sectors defined by each state under the directive will need to begin complying. Member States have until November 2018 to designate operators as “OESs” based on the criteria defined in the text. This list will then be reviewed by the European Commission in May 2019.

Those involved will then have to ensure that they monitor legislation in order to follow developments in the transposition process, which is important because Member States have the power to impose measures that go beyond the common, base-level requirements set out in the directive.

Much of the development of the directive’s provisions must now be carried out by Member States: the specification of the security measures to be put in place, the definition of notification procedures, the penalties to be applied—not to mention the designation of critical sectors and OESs in each country.

The upshot of all this is a genuine renewal of the European cybersecurity legislative landscape, with the primary aim of increasing standardization of IS security levels between Member States—a process that will prove interesting to follow.

Cet article The EU NIS directive: what are the issues and how can you prepare for it? est apparu en premier sur RiskInsight.

La directive NIS : un texte majeur

Au niveau national, la directive requiert notamment l’établissement d’une stratégie cybersécurité et la mise en place d’un CSIRT ainsi que d’une autorité en charge de ces sujets. Pour les entreprises, elle introduit deux volets d’obligation pour deux types d’acteurs :

• Les Opérateurs de Services Essentiels doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et et des systèmes d’information
• Les Fournisseurs de Services Numériques sont tenus de notifier les incidents de sécurité à l’autorité compétente

La nécessité d’orientations fortes et communes

La directive NIS est le pendant sécurité de la stratégie européenne du Marché Unique Numérique, lancée en 2015, qui vise à faire du numérique un moteur de la croissance : la confiance des entreprises et des consommateurs est indispensable pour ce projet, car sans confiance, pas de croissance !

Les pays européens sont de plus en plus dépendants du numérique et des systèmes d’information, et leurs réseaux sont de plus en plus reliés. Et cette interconnectivité fait leur force comme leur faiblesse, puisque le niveau de sécurité d’un système d’information est équivalent à celui de son point le plus faible.

Or, on observe une très forte hétérogénéité entre les Etats Membres au regard de ces enjeux, étant donné que la prise en charge de la cybersécurité se faisait jusqu’ici au niveau national.

C’est à ce risque systémique que l’Europe cherche à remédier avec la directive NIS. Il s’agit de la première législation européenne régissant les pratiques cybersécurité de façon cross-sectorielle.

Elle se démarque des textes spécifiques à une problématique particulière, tels que le GDPR. Souvent associé à la directive NIS, il n’a pourtant pas les mêmes objectifs puisqu’il se concentre sur le seul périmètre de la protection des données personnelles tandis que la directive vise à assurer un certain niveau de cybersécurité via la définition de standards de sécurité et la notification des incidents (qu’ils touchent à des données personnelles ou non). Reste qu’une cyber-attaque mettra souvent en jeu les deux domaines, et qu’il fait donc sens de ne pas considérer ces deux textes séparément lors de la mise en conformité.

Un processus de transposition déjà engagé

Le texte étant une directive et non un règlement, il est nécessaire que chaque Etat Membre transpose ces orientations dans son cadre législatif national.

De nombreux pays ont déjà annoncé des premières mesures s’inscrivant dans le cadre de la directive :

• Le Royaume-Uni a confirmé son intention de transposer le texte malgré le Brexit ; le montant des pénalités prévues dans le texte vient d’être communiqué et celles-ci sont particulièrement importantes
• La Pologne a annoncé l’ouverture d’un nouveau centre national dédié à la cybersécurité (NC Cyber) ;
• La Belgique a présenté six mesures phares pour renforcer la cybersécurité, à la suite de WannaCry, cyberattaque mondiale qui a paralysé de nombreuses entreprises le mois dernier ;
• La République Tchèque a amendé sa loi cybersécurité pour prendre un compte plus de secteurs critiques et se conformer aux exigences de la directive ;
• L’Italie a révisé son Plan National pour la Cyber Protection et la Sécurité Digital, en accord avec les orientations données par la directive ;
• La Croatie a mis en place un groupe de travail pour préciser les modalités de transposition de la directive ;
• La Suède a d’ores et déjà fourni des détails sur la transposition, tels que l’ordre de grandeur des pénalités applicables, ou encore les entités responsables de la mise en œuvre.

Sur un certain nombre d’aspects, le texte est très peu directif et fixe des objectifs sans imposer de moyens. Il est du ressort de chaque pays de travailler à l’interprétation et de définir des mesures plus concrètes permettant l’atteinte de ces objectifs.

L’enjeu est donc d’atténuer l’hétérogénéité entre les pays européens et de parvenir à lisser le niveau de cybersécurité en limitant les écarts trop importants, afin de réduire la complexité de mise en conformité pour les acteurs présents dans plusieurs pays.

Pour ce faire, une collaboration structurée s’organise à l’échelle de l’UE :

• Une révision du mandat de l’ENISA, l’agence européenne en charge de la sécurité des réseaux et de l’information, est à l’étude, avec entre autres l’objectif de lui donner la latitude nécessaire à l’accomplissement des missions relatives à la directive ;
• Un Groupe de Coopération, composé de représentants nationaux ainsi que de l’ENISA et la Commission Européenne, donnera des orientations stratégiques ;
• Un réseau de CSIRT s’organise aussi, et sera en mesure d’assurer la communication et l’échange de bonnes pratiques, ainsi que d’appuyer les Etats Membres pour les sujets relatifs à la directive.

Comment se préparer à l’arrivée de la directive ?

Concrètement, comment anticiper dès maintenant ce nouveau texte et quel plan d’actions déployer ? Cela dépend en pratique du type de structure (OSE ou FSN).

Concernant les fournisseurs de service numériques (FSN), une approche harmonisée est requise : les Etats Membres ne peuvent pas imposer d’autres exigences liées à la sécurité ou aux notifications, et en ce sens, la directive se rapproche d’un règlement pour ce type d’acteur. Cette singularité par rapport aux OSE provient du caractère transfrontalier de leurs activités et du fait que beaucoup sont des entreprises étrangères non implantées sur le territoire européen, qui devront désigner un représentant basé dans un Etat Membre pour être l’interlocuteur attitré concernant les questions liées à NIS (Article 18 de la directive). Il est donc essentiel que chaque pays impose les mêmes obligations, dans l’objectif d’éviter que le choix du pays d’implantation ne soit orienté par ce critère.

Les obligations pour les FSN sont d’ailleurs un peu moins contraignantes : par exemple, ils ne sont dans l’obligation de notifier un incident que s’ils ont accès aux informations nécessaires pour évaluer son impact au regard des critères définis dans la directive (Article 16).

D’ici le 9 août prochain, la Commission Européenne publiera les actes d’exécution et il sera alors possible de commencer le processus de mise en conformité.

Pour les Opérateurs de Services Essentiels (OSE), en France, il y a deux principaux cas de figure.

D’abord, les opérateurs déjà identifiés comme OIV, opérateurs d’importance vitale, dans le cadre de la Loi de programmation militaire française (LPM). Pour eux, l’enjeu de mise en conformité est moins significatif, puisque la LPM introduit déjà de nombreuses obligations ; la directive n’en introduira probablement pas de plus exigeantes. Quelques éléments tels que le reporting pourraient être à adapter, mais il n’y a pas de changement majeur à prévoir.

Toutefois le périmètre de la directive est susceptible d’être plus large que celui de la LPM, et certains opérateurs des secteurs critiques définis par chaque Etat devront alors commencer leur mise en conformité. Les Etats Membres ont jusqu’à novembre 2018 pour désigner les OSEà partir des critères définis dans le texte. La liste des opérateurs désignés sera ensuite passée en revue par la Commission Européenne en mai 2019.

Les structures concernées devront ensuite mettre en place une veille juridique pour suivre l’évolution du processus de transposition, puisque pour les OSE, les Etats Membres sont en droit d’imposer des mesures allant au-delà du socle commun défini par la directive.

Beaucoup de chantiers restent maintenant à mener par les Etats Membres : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables, sans oublier la désignation des secteurs critiques et des OES par chaque pays.

On assiste ainsi à un véritable renouveau du paysage législatif de la cybersécurité en Europe visant avant tout à homogénéiser le niveau de sécurité des SI entre états membres, dont il sera intéressant de suivre l’évolution.

Cet article Directive NIS : quels enjeux et comment s’y préparer ? est apparu en premier sur RiskInsight.

L’IMPORTANCE DU FACTEUR HUMAIN

Selon la légende, un homme déguisé en moine pénétra sans attirer la méfiance dans une forteresse du sud-est de la France (actuel Monaco), une nuit de janvier 1297. Il put ainsi ouvrir à des soldats qui s’en emparèrent facilement. Il en va de même pour des attaques perpétrées à l’aide de dispositifs USB familiers, que l’utilisateur branche en tout confiance sur le port d’une machine.

Une étude publiée au Blackhat USA en 2016 a montré que 45% des 297 clefs USB disséminées sur un campus universitaire ont été connectées à des ordinateurs et leurs fichiers ouverts. Cette étude illustre bien la capacité à mener des attaques efficaces via des clefs USB et pour un coût minime.

Par ailleurs qui n’a jamais laissé un téléphone portable se recharger sur l’un des ports USB de son PC ?

Si la connexion au réseau fait le plus souvent l’objet de nombreuses mesures de sécurité, les autres portes que constituent les ports USB font, généralement, l’objet d’une attention moindre, sur les serveurs, les postes de travail et désormais les tablettes et smartphones qui intègrent la technologie USB On-The-Go.

Les dispositifs USB sont présents partout, tirant partie de l’interopérabilité de l’Universal Serial Bus.

Le revers de la médaille de ce développement historique et de sa compatibilité descendante, est qu’il n’a pas été techniquement conçu “security by design” et que ces dispositifs offrent une large surface d’attaque.

Figure -Vidéo illustrative de sensibilisation sur la sécurité des clefs USB

UN LARGE PANEL D’ATTAQUES RENDUES POSSIBLES PAR L’USAGE (PRESQUE) INCONTOURNABLE DES DISPOSITIFS USB ET AU MANQUE INTRINSÈQUE DE SÉCURITÉ DES STANDARDS HISTORIQUES

Les périphériques de stockage amovibles, clefs ou disques USB, peuvent servir de vecteur à la propagation d’un code malicieux. D’autres types de périphériques USB (ex : webcam, clef 4G) peuvent également intégrer une fonction de stockage amovible, par exemple pour faciliter l’installation du pilote logiciel du périphérique.

La provenance légitime d’une clef USB ne peut garantir entièrement son innocuité, si celle-ci a été compromise en usine ou avant l’envoi aux clients, comme cela a pu arriver récemment à un fournisseur de systèmes de stockage.

Par ailleurs, un périphérique USB d’apparence banale, peut avoir été reprogrammé ou modifié physiquement pour compromettre ou endommager le système sur lequel il est branché, par exemple :

• En se faisant passer pour un clavier et envoyer des commandes au système hôte, lesquelles vont par exemple permettre sa prise de contrôle à distance. Il est à cet effet possible de reprogrammer une clef USB du commerce (voir cas d’usage illustratif dans la vidéo ci-dessus) ou d’utiliser un dispositif ayant l’apparence d’une clef USB classique ;
• En se faisant passer pour une interface réseau et un serveur DHCP/DNS, afin notamment d’intercepter le trafic de l’utilisateur, d’introduire des portes dérobées sur le poste de l’utilisateur, de faire exécuter par son navigateur des codes malveillants sur des sites sur lesquels il est autorisé à se connecter, voire d’exposer un  routeur interne ;
• Pour détruire le système hôte en délivrant au connecteur des tensions élevées.

Une clef USB peut également être utilisée pour attaquer des équipements sensibles déconnectés du réseau de l’entreprise, par exemple des équipements industriels, lorsque celle-ci est utilisée en “navette” avec des postes connectés internet, donc à un attaquant externe potentiel.

Il est également possible de tirer parti du rayonnement électromagnétique qui peut se produire au travers d’un périphérique/câble USB, d’un poste isolé de tout réseau, pour permettre à un code malicieux, introduit via le dispositif USB, d’exfiltrer des informations à quelques mètres.

Les attaques consécutives à la modification de périphériques USB restent encore limitées, assez ciblées et potentiellement très efficaces (ex : Stuxnet en milieu industriel). La mise au point de certaines de ces attaques est facilitée par les sources d’informations, les tutoriels et les outils librement accessibles sur Internet.

L’arrivée de l’USB-C, également utilisé comme alimentation électrique des nouveaux ordinateurs portables, peut contribuer à augmenter un peu plus la surface d’attaque (chargeurs, packs de batterie), tant que la compatibilité avec des standards non sécurisés devra être maintenue pour des raisons de compatibilité descendante avec les autres versions d’USB et dans l’attente de la généralisation de futurs chargeurs sécurisés.

LES CONTRE-MESURES DOIVENT ÊTRE CIBLÉES SUR LES RISQUES LES PLUS ÉLEVÉS (ET DONC ÉGALEMENT SUR L’HUMAIN)

L’évaluation des risques liés aux dispositifs USB doit permettre d’identifier les périmètres du SI et les populations vers lesquels cibler en priorité les contre-mesures :

• Sensibilité des populations (VIP, mainteneurs, administrateurs systèmes …) ;
• Sensibilité de l’équipement sur lequel il est possible de connecter un dispositif USB (poste utilisateur, poste sensible déconnecté du réseau, station d’administration, serveur, équipement industriel …).

La connexion d’un périphérique USB à un équipement passe par un choix humain. Il est donc essentiel de sensibiliser les acteurs, y compris leur management opérationnel, par des actions classiques (supports de communication des risques et des bonnes pratiques, …) voire plus innovantes (ex : disperser des clefs USB témoins remontant une alerte une fois connectées à un poste de travail, effectuer des démonstrations, organiser des jeux de plateau pour entraîner des populations plus ciblées à évaluer certaines prises de risque, …).

Les contre-mesures techniques sont un complément. Leur efficacité demeure toutefois variable.

• Un antivirus pourra le plus souvent détecter un fichier infecté sur un périphérique de stockage USB avec la même efficacité que si ce fichier se trouvait sur un autre espace de stockage. Certains produits pourront n’autoriser la lecture du contenu d’un stockage amovible, que si celui-ci a préalablement été chiffré avec une clef permettant d’y accéder seulement depuis des postes de l’entreprise ;
• Des équipements de ‘sas’ de décontamination peuvent également être utilisés pour sécuriser les échanges de fichiers entre une clef USB et le SI de l’entreprise ;
• Des solutions logicielles permettent de contrôler la connexion d’un dispositif USB à des groupes de postes ou serveurs, en fonction de caractéristiques annoncées lors de son branchement. Il s’agit du moyen le plus répandu pour maîtriser la connexion des dispositifs USB. Cependant, un dispositif USB modifié peut dans certains cas arriver à tromper cette protection logicielle ;
• Le marché propose également des clefs USB avec un micrologiciel sécurisé, qui permettent de s’assurer que celui-ci n’a pas été reprogrammé. Néanmoins, il reste toutefois possible d’introduire dans l’entreprise des dispositifs piégés reprenant ou imitant le packaging extérieur de clefs USB sécurisées ;
• La neutralisation ou le blocage physique des ports USB, en particulier sur les postes les plus sensibles, tels que des stations d’administration ou des stations de conduite dans le milieu industriel, reste toutefois une solution assez efficace pour des périmètres spécifiques.

Nous devrons attendre encore un peu avant de pouvoir pleinement bénéficier d’une sécurité efficace portée par de nouveaux standards USB. En attendant, le parc non sécurisé et le risque s’accroissent. Pour y faire face, ne comptons pas uniquement sur des réponses techniques et ne négligeons pas le facteur humain.

Cet article L’habit ne fait pas le moine – Ou l’importance du facteur humain dans la maîtrise du risque USB est apparu en premier sur RiskInsight.

This can take different forms; the following aspects are usually examined:

• Finance and accounting (auditing, personnel inventory, balance sheet and profit and loss accounts analysis, forecasted business activity, etc.)
• Legal (company statutes, proceedings in process, patent and intellectual property ownership…)
• Strategy (competitor identification, company strengths, distribution channels, etc.)

Although current affairs and news offer plentiful examples of companies that have been impacted by cyberattacks, the issue of cybersecurity is all too often overlooked with regards to mergers and acquisitions.

But mindsets are evolving: in a recent survey conducted by Freshfields Bruckhaus Deringer, specialists in corporate law, 90% of respondents considered that a confirmed cyber-attack could lead to revise the acquisition cost downwards, and 83% of them thought that an attack during the due diligence phase could simply lead to abandon the deal.

Still, the cyber risk is real: as soon as two IT environments are interconnected, the resulting environment often inherits de facto the lowest level of security of the two. Besides, a merger or acquisition can highlight possible compliance gaps, in a context of increasing scrutiny by regulators all over the world.

Is cyber-risk assessment the next pillar of M&A?

Increasingly aware of this risk, companies progressively integrate the notion of “cyber risk” into their reconciliation strategies. The objective is, in principle, simple: to understand whether the merger of two companies, and thus the likely merger of their Information Systems, increases cyber risk.

There is, however, a major difference between standard due diligence and its cybersecurity equivalent. While accounting and legal regulations are clearly understood and shared at the international level, there is as yet no equivalent in the cybersecurity world. Standards are multiplying (by system type, data to protect, industry, country…), but they only remain good practice references which indicate how to properly implement considerations around cybersecurity – not if they actually were implemented properly. There are some notable exceptions, such as PCI-DSS (protection of credit card data) certified environments, or classified, Defense-type environments. These examples, however, are specific, with very restricted scopes.

For the purchaser, acting in good faith and being unaware of security breaches will do nothing to prevent cyberattacks: in cyber risk, we not only endorse responsibility, but directly the risk itself!

In the same manner, it is neither easy (yet, nor impossible) for a company to ensure that its cyber security is “good”. Managing the Information System in line with today’s best practices does not guarantee that its weaknesses will not be exploited tomorrow.

An M&A context is not the only context of interest for examining the IS security aspects through cyber due diligence. For several years, large international insurers have launched their cyber-insurance offers. In this context, they legitimately seek to know the level of information security of companies for which they will provide insurance. At the minimum, insurers seek to know what general level of cyber-risk they will have to cover. Thus, by upstreaming this type of underwriting, cyber-insurers are now supported by IT security experts, whose role it is to carry out due diligence at a fairly high level.

What approach should be taken for cybersecurity due diligence ?

What is security due diligence? It is neither an innovative technology nor a revolutionary method; rather it refers to the balanced and targeted use of different information security tools.

Several approaches are possible:

• A “comprehensive” approach, consisting of both a theoretical and organizational analysis of security, supplemented by penetration tests to gain a vision as closely aligned to reality as possible. This approach, ideal in essence, is often used in the case of start-up buyouts. However, it is almost never used in larger deals, for reasons relating to both cost and a lack of time.
• An “interview” approach, which involves an evaluation of the situation in relation to a known and adapted reference framework during exchanges with security managers at the company in question. The limitation of this approach is that it is based only on statements and declarations. As such, it does not provide any proof of for what is being put forward. Led by a seasoned expert in this activity, this approach nonetheless facilitates a general view of the type of security practices that have been implemented.
• A “questionnaire” approach is offered as a matter of dealing with answers to a series of questions, usually with multiple choice answers. Beyond the lack of depth of such an approach, its outcome strongly depends on the respondents of the questionnaire, and the manner in which the questionnaire is used. Unfortunately, it is often the case that it is barely read or referenced.

Irrespective of the chosen approach, it can be rolled-out at two stages: an initial analysis to provide knowledge and understanding of the security risks, which must feed directly into the “go / nogo” considerations behind the deal. A possible second step involves more detailed analysis for a more precise evaluation of risk(s) in order to determine the corrective actions.

Cyber due diligence as an input for valuation

Whether it is for acquiring a company or assessing the risk taken by cyber insurers, due diligence must serve as a platform for encouraging further reflection on the feasibility of a deal.

It must also constitute an element of added value for the company, to the extent that conforming to and respecting market best practices can prove to be costly.

Finally, cyber due diligence helps to identify the regulatory aspects that must be respected, such as laws affecting Critical Information Infrastructures (USA PCII Program, China’s Cyber Security Law, France’s “LPM”, Singapore’s upcoming New Cybersecurity Act…) and which may require a certain number of adaptations foreseen on the Information System of the company for sale, and / or the purchaser.

Have we ever seen a cybersecurity due diligence lead to the abandonment of a company purchase? Not publicly. We rather witness the rapid correction of the most serious identified vulnerabilities, or sometimes a decision to not connect certain components of the Information Systems.

Will cybersecurity due diligence have any real impact on transactions? To this question, Verizon provided a response with a figure: in February 2017, the operator decreased its offer to purchase Yahoo by US$350 million. This corresponds to more than 7% of the value (US$4.8 billion) initially offered.

Cet article “Cyber” due diligence is the new asset for business valuation est apparu en premier sur RiskInsight.

La transformation numérique : entre enjeu stratégique et menaces

La transformation numérique actuelle des entreprises se manifeste par une concentration et une circulation accrue de données. Ces dernières sont de plus en plus manipulées par des systèmes généralement non maîtrisés de bout en bout (big data, cloud, réseau social d’entreprise, etc.). Cette transformation numérique s’inscrit de plus dans un contexte d’allongement de la chaîne de prestataires et de partenaires (entreprise étendue), d’une mobilité et d’usages facilités (BYOD) et d’une attente forte d’immédiateté et de disponibilité de la part des clients et des collaborateurs. Concrètement cela engendre la mise en place d’outils transverses permettant de répondre à des enjeux d’agilité et de collaboration en cassant les silos entre les entités, mais avec des collaborateurs ou des clients peu formés aux nouveaux usages apportés.

Cette évolution rapide à laquelle aucun secteur d’activité n’échappe, entraine des risques qu’ils s’avèrent nécessaire d’identifier et de maitriser. Ces risques, loin d’être limités aux systèmes d’information, sont éminemment transverses et représentatifs de l’interconnexion existante entre les différents métiers.

Dans ce contexte, l’enjeu pour les directions en charge des risques (Juridique, Conformité, Risque, Contrôle Interne, Sécurité IT et Audit, etc.) est d’évaluer les risques liés à la transformation numérique et de garantir la continuité, la disponibilité ainsi que la protection des données et des applications.

La transformation numérique : révélateur et catalyseur des risques

La transformation numérique ne va pas générer de nouveaux risques mais va agir comme un catalyseur des problématiques déjà existantes. En effet, un tel programme va nécessiter de prendre en compte les besoins des métiers et de regarder les impacts potentiels (outils, processus métiers, etc.). Une lecture par les risques va permettre de faire resurgir toutes les problématiques et de réévaluer les risques et les dispositifs de couverture à la lumière du nouveau contexte.

L’identification des risques doit être accompagnée par la réalisation d’une cartographie des risques afin d’y intégrer les différentes problématiques concernées. En d’autres termes cela revient à regarder l’ensemble des risques qui pèsent sur la « donnée » dans ce nouveau contexte : compliance/juridique, sécurité, RH. À cela, peuvent également s’ajouter des risques d’image ou liés à la gouvernance.

Trois typologies de risques doivent être regardées avec une attention toute particulière :

Les risques réglementaires : l’identification des contraintes réglementaires sur la donnée

Depuis plusieurs années, les régulateurs ont commencé à s’intéresser à la manière dont les entreprises manipulent et sécurisent les données, ce qui a eu pour conséquence un renforcement croissant des contraintes réglementaires autour de ce sujet : nouveau règlement européen, durcissement du droit Russe, etc.

Compte tenu de cet environnement, les entreprises doivent identifier les réglementations auxquelles elles sont assujetties, les contraintes potentielles qu’elles peuvent générer et qui éventuellement ne sont pas respectées (partage de données bancaires ou de données industrielles hors du pays propriétaire, partage non encadré de données à caractère personnel hors de l’Union Européenne, etc.).

Une fois les contraintes identifiées, il est nécessaire de mettre en place les dispositifs adéquats pour y répondre : par exemple les Binding Corporate Rules (BCR) qui assurent une protection et une manipulation conforme des données à caractère personnel.

Les risques de sécurité SI : la sécurisation des données et des outils

Dans un monde digitalisé, les données peuvent être volatiles passant d’un outil à un autre facilement (emails, outils collaboratifs, applications mobiles, etc.). Il est donc nécessaire de formaliser un cadre clair (principes, règles, etc.) pour sécuriser l’information de bout en bout.

Au-delà du volet organisationnel et fonctionnel, il est également important de prendre en compte les contraintes d’architecture des systèmes d’information afin d’être en adéquation avec les enjeux de sécurisation (serveurs locaux, synchronisation ou non des données, enregistrement de population, etc.).

Les risques liés à la « conduite du changement » : l’évolution des dispositifs RH

La conduite du changement ne doit pas être limitée à la sensibilisation des collaborateurs sur les nouveaux outils ou les nouvelles modalités de travail. En effet, la transformation numérique peut avoir un impact profond sur le fonctionnement même d’une entreprise (management 2.0, mobilité, télétravail, Flex office, etc.). Il convient donc d’adapter les dispositifs RH existants et d’accompagner le collaborateur.

Par conséquent, un travail de formation et de sensibilisation doit être mené d’une part auprès des collaborateurs et des managers, mais également auprès des instances représentatives du personnel en les impliquant dès le départ dans le projet.

Traitement des risques liés à la transformation numérique : adopter une approche collaborative

Les risques liés à la transformation numérique embarquent une transversalité qui peut entrainer une difficulté lors de l’identification des porteurs et des actions à réaliser pour traiter lesdits risques. Cette difficulté est due à un périmètre des risques très large qui peut s’étendre sur plusieurs métiers ou sur plusieurs fonctions risques. Ainsi, il est nécessaire d’organiser une collaboration entre tous les acteurs pour prendre en compte cette transversalité et pour s’assurer in fine qu’il ne réside pas de zones de vulnérabilités pouvant être exploitées (cyber-attaque, fraude, indisponibilité, non-respect de la réglementation, etc.).

Cette collaboration doit être organisée à l’aide de quatre principes structurants :

• S’appuyer sur les programmes de transformation pour lancer les travaux sur les risques. En effet, les différents acteurs à mobiliser ont souvent peu l’habitude de travailler ensemble. Le « prétexte » d’un programme sur un sujet d’actualité doit permettre de créer une véritable dynamique,

• Réunir une équipe pluridisciplinaire composée de différentes fonctions et domaines d’expertises afin de confronter l’ensemble des points de vue,

• Accepter la remise en cause des dispositifs existants. La transformation numérique peut entrainer de profondes modifications dans l’organisation de l’entreprise, par conséquent, il peut également s’avérer nécessaire de faire évoluer le cadre normatif (dispositif de contrôle interne, nouvelles règles de gestion, etc.),

• Mettre en place une instance transverse afin de partager les avancements sur les travaux et disposer d’un niveau de validation nécessaire pour entériner les productions.

Aujourd’hui les entreprises s’appuient sur de nombreux référentiels pour aider l’identification et le traitement des risques (méthodologies internes, ISO 27005, ISO 31000, etc.).  Toutefois, le nouveau cadre que vient imposer la transformation numérique montre les limites de ces modèles qui ne prennent pas ou peu en compte la transversalité et les nouvelles connexions entre les métiers et les technologies. L’un des objectifs à venir pour les acteurs de la maitrise des risques est de faire évoluer rapidement les dispositifs et méthodologies existants afin de faire face à ces nouveaux enjeux.

Cet article Quels risques pour la transformation numérique ? est apparu en premier sur RiskInsight.

Données personnelles : le cadre réglementaire

Un cadre légal existe déjà et repose sur la Loi informatique et libertés du 6 janvier 1978, plus particulièrement l’article 34 qui impose aux responsables de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Ce cadre est en évolution. Un projet de règlement européen sur la protection des données devrait aboutir fin 2015, remettant au goût du jour la Directive européenne 95 / 46 relative à la protection des données.

Ces textes sont complétés par des réflexions du G29, groupe de travail des CNIL européennes émettant des opinions sur l’approche par les risques (Article 29 Data Protection Working Party).

Les principes de collecte, transmission, hébergement et traitement des données personnelles doivent suivre des exigences de protection légale très strictes : recueillir le consentement explicite; informer sur la finalité ; collecter uniquement les données liées et nécessaires à cette finalité ; détruire les données une fois la finalité atteinte ; respecter les droits à l’accès, la rectification et la suppression de ces données ; sécuriser la collecte, le transfert, l’hébergement et le traitement des données ; effectuer le traitement de façon loyale et licite.

Ceci donne un cadre légal aux démarches Big data avec un processus d’amélioration continue qui requiert parfois plusieurs itérations pour parvenir à un dispositif de protection de la vie privée acceptable. Il exige en outre une surveillance des évolutions dans le temps et des mises à jour régulières.

Pour faciliter la mise en œuvre concrète de ce cadre juridique, la CNIL a publié le 2 juillet 2015 une méthode pour mener une étude d’impacts sur la vie privée (EIVP). L’objectif est d’aider les responsables de traitement dans leur démarche de conformité, de leur permettre de justifier les mesures choisies et de montrer que les solutions ne portent pas atteinte à la vie privée.

Cette méthode est complétée par un guide d’outillage et par un guide de bonnes pratiques. Cette démarche de conformité se déroule en 4 étapes : délimitation et description du contexte du traitement considéré et de ses enjeux ; identification des mesures existantes ou prévues pour respecter les exigences légales et traiter les risques sur la vie privée de manière proportionnée ; appréciation des risques sur la vie privée pour vérifier qu’ils sont convenablement traités; décision de valider la manière dont il est prévu de respecter les principes de protection de la vie privée et de traiter les risques, ou bien de réviser les étapes précédentes.

L’accès aux données de Santé

L’article 47 du projet de loi de Santé de Marisol Touraine a été adopté par les députés le 11 septembre 2015. Il prévoit la création d’un système national des données de santé (SNDS), grande base de données médicales centralisées accessible au public, afin de faciliter l’accès aux données médicales issues des divers organismes du secteur.

Suivant l’avis favorable de la CNIL à la création d’un numéro d’identification unique, condition sine qua non de la création d’une plateforme numérique unique, le Numéro d’Inscription au Répertoire National (NIR), plus communément appelé numéro de sécurité sociale, deviendra l’identifiant unique de santé.

Pour protéger la vie privée des patients et le secret médical, qui reste la principale critique apportée par le Syndicat des Médecins Libéraux à cet article, de nombreuses garanties ont été apportées par le législateur :

• Open data : les données agrégées et anonymisées ne contenant « ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse » seront accessibles à tous, gratuitement et sans restriction. La réutilisation de ces données sera autorisée si elle n’a « ni pour objet, ni pour effet, d’identifier les personnes concernées ».
• Données personnelles : les données rendant l’identification possible seront détenues par une structure distincte et ne pourront être utilisées que sur autorisation de la CNIL et de l’Institut National des Données de Santé (INDS) à des fins de recherche ou d’étude pour l’accomplissement de missions poursuivant un motif d’intérêt public uniquement. L’article 47 interdit expressément l’utilisation de ces données à des fins commerciales ou d’évolution des primes et contrats d’assurance.

En leur permettant d’analyser une population donnée, le Big data dans le domaine de la Santé permettrait aux médecins d’améliorer leurs pratiques de prévention et de soin en matière de maladies chroniques, ainsi que leur connaissance de maladies rares et / ou orphelines. Cependant, selon un sondage Odexa paru le 19 janvier 2015, un médecin sur deux considère que l’utilisation de la santé connectée menace le secret médical et 1/4 à 1/3 d’entre eux qu’elle porte atteinte à la liberté des patients. En effet, à l’heure actuelle, la donnée de santé est qualifiée de « sensible » par la loi « Informatique et libertés » et est par conséquent très protégée. Mais, bien qu’un projet de règlement européen prenant position sur le sujet soit en cours de rédaction, les données de santé et les données de bien-être ne sont toujours pas juridiquement différenciables. Or, si l’on prend l’exemple du « quantified self », les agissements de l’utilisateur sont enregistrés et peuvent être utilisés. Cette limite doit donc être clarifiée pour lever les réticences des médecins.

Un contrat de confiance pour anticiper les craintes

Citoyens et autorités de régulation des données à caractère personnel expriment des craintes régulièrement relayées par les médias. Maîtriser les risques autour du Big data revient à anticiper ces craintes en communiquant : sur les usages envisagés, la proposition de valeur au regard de ce partage de données, les compétences des équipes en charge des technologies concernées et les mesures de sécurité permettant de garantir la protection des données manipulées.

Il faut donner à l’assuré la maîtrise de ses données personnelles, l’informer sur celles qui seront collectées et l’usage qui en sera fait. Il convient ensuite de lui laisser la possibilité d’arbitrer en permanence sur le partage de celles-ci. Les informations demandées doivent être nécessaires à la réalisation de la finalité. L’objet est d’obtenir un consentement, puis détruire les données brutes pour ne conserver que la finalité. Il est également envisageable de se limiter aux données anonymisées qui s’avèrent suffisantes dans de nombreux cas. Enfin, un rapport de proportionnalité est impératif : le service proposé grâce à ces données partagées doit être à la hauteur du niveau d’intrusion ressenti.

Ce contrat de confiance pourrait être « géré » via l’espace client / adhérent, donnant à ce dernier la possibilité d’exprimer explicitement son accord ou désaccord avec un historique des décisions.

Tout cela permettra de gagner la confiance du client, de mieux le connaître et de passer du diagnostic à une position prescriptive.

La transparence sur les données utilisées ne fera pas entrave aux secrets de fabrication qui se logent de manière plus structurante sur les algorithmes et sur le volume de données manipulées

Cet article Big data dans l’Assurance : gérer les risques liés aux données manipulées est apparu en premier sur RiskInsight.

Il ne s’agit pas de la seule méthode qui peut être imaginée pour pirater un avion, et la maintenance au sol peut aussi être un moment de choix pour s’infiltrer dans le système informatique d’un avion.
Quels sont les risques et comment s’en prémunir ?

Piratage d’un avion depuis le siège passager : un scénario probable ?

Si le récit fait par Chris Roberts a rendu quelques experts dubitatifs, le FBI prend la menace très au sérieux. En effet, l’événement a suscité l’ouverture d’un mandat d’investigation. Celui-ci a révélé que le matériel saisi à sa descente d’avion par le bureau fédéral se composait notamment d’un câble réseau modifié qui lui aurait permis de connecter son ordinateur au système.

Quelle réalité du risque ?

L’utilisation de plus en plus courante de technologies standardisées ou universelles (type port Ethernet) à la différence des particularités de la construction aéronautique conduit à faciliter les cyberattaques puisqu’elles nécessitent moins de connaissances spécifiques à l’aviation.

En raison de l’utilisation de réseaux multiplexés, des passerelles existent entre le système destiné aux passagers et le système avionique qui permet de contrôler l’avion (navigation, communication, pilote automatique…).

Quels scenarii de risque ?

Plusieurs scenarii peuvent être imaginés à partir de ces risques d’intrusion. En effet, le piratage des outils informatiques des autres passagers par le biais du WiFi ou d’un câble Ethernet branché sur le système ouvert est une possibilité. Il serait également possible d’accéder aux informations de communication de l’avion pour diffuser de faux messages sur les écrans des passagers afin de créer des mouvements de panique.

Mais on pourrait également imaginer des injections de logiciels malveillants, des actions sur des systèmes critiques (désactivation ou activation d’équipements de sécurité…).

Maintenance au sol : des avions connectés par 3G ou Wi-Fi

Aujourd’hui, les opérations de maintenance logicielle sur les avions les plus modernes (B787, A380 et A350) peuvent être réalisées à distance. Elles nécessitent une suite logicielle sol, développée par le constructeur, déployée dans la zone de confiance de la compagnie. Ce système sol communique avec l’appareil, lorsqu’il est au sol uniquement, par une connexion 3G ou Wi-Fi avec l’avion afin d’opérer diverses opérations de maintenance informatique. La chaîne de liaison se veut très sécurisée : infrastructure d’authentification en partie cloisonnée, lien VPN, signature de tous les composants. Néanmoins, elle constitue une faille potentielle supplémentaire d’intrusion et de corruption du système.

Quels risques peuvent être identifiés ?

Dans ce cas de figure, le risque de sabotage est prépondérant. Les fonctions avioniques critiques ont peu de chances d’être touchées. Mais des données EFB erronées donneraient déjà des sueurs froides aux pilotes. Les EFB (Electronic Flight Bag) sont des équipements d’aide au vol (carte, approche d’aéroport, procédures…). Une intervention frauduleuse sur ces données semble alors plus probable par une corruption du système que par une attaque directe de l’avion. En effet, elle ne permettrait pas de contourner les mécanismes de signature électronique. Néanmoins, elle est loin d’être infaillible. En effet, de nombreuses attaques reposent désormais sur du vol de certificats, voire des attaques par rebond visant déjà l’émetteur des certificats afin de produire des certificats falsifiés, qui permettent par la suite de conduire l’attaque finale.

Comment atténuer les risques ?

Face à la multiplication des cyberattaques, une coordination européenne est nécessaire pour mettre à jour les mécanismes de sécurité. Elle permettrait d’assurer leur bon déroulement, afin de tenir compte des attaques et des failles les plus récentes. Elle développerait également davantage la certification des systèmes au sol comme à bord. Ces opérations sont potentiellement complexes dans le monde de l’aérien avec les principes de certification des équipements.

La mise en place d’une évaluation du risque selon une approche holistique, qui prendrait en compte tous les cas de figure possibles (risques internes et externes à l’entreprise), permettrait une meilleure identification des acteurs se connectant aux systèmes impliqués dans le fonctionnement de l’aviation civile.

Les récentes annonces sur la sécurité des automobiles connectées montrent que les problèmes de cybersécurité sont de plus en plus prégnants dans les systèmes embarqués, quel que soit le secteur d’activité !

Cet article Cybersécurité dans l’aérien : pirater un avion, c’est possible ? est apparu en premier sur RiskInsight.

Quels sont les risques de ces évolutions dans l’environnement aérien ? Comment s’en prémunir ?

Pourquoi le passage au protocole IP

Le protocole IP va devenir le standard général d’échange de données pour le contrôle aérien, dans le but de mettre en place un système de communication performant entre le sol et l’avion, ainsi qu’entre les avions eux-mêmes.

Les avions, naviguant désormais très précisément, peuvent ainsi négocier des ajustements de trajectoire en permanence. À terme, l’usage du protocole IP et des moyens de navigation satellitaires permettront de fluidifier le trafic aérien et d’améliorer la performance de l’espace aérien. Cette nouvelle génération de gestion du trafic aérien est mise en place aux États-Unis (programme NextGen) comme en Europe (programme SESAR – Single European Sky Air Traffic Management Research).

De nombreux acteurs seront connectés en même temps par le biais du système de gestion des données au sol SWIM (System Wide Information Management). Ce système permet de connecter de nombreux services comme la météo, le contrôle aérien, ainsi que différentes informations transmises par les compagnies aériennes et les aéroports.

À quels risques doit faire face l’environnement aérien ?

L’augmentation de la connectivité entre les différents systèmes d’information multiplie donc les possibles points d’entrée pour une attaque informatique. Des vulnérabilités nouvelles sont à prendre en compte, notamment par l’attaque des points les plus faibles comme les systèmes d’information des compagnies aériennes qui sont, par nature, plus ouverts vers le monde extérieur. Même si des systèmes de protection peuvent être mis en place pour protéger les différents SI communicant entre eux, la découverte et l’exploitation d’une faille n’est jamais qu’une question de temps.

Par ailleurs, les aéronefs communiquent sur le réseau hertzien, notamment avec des liaisons de données non cryptées (ADS-B – Automatic Dependent Surveillance Broadcast). Il est donc possible de capter des données en mode lecture en se connectant à la bonne fréquence et, par exemple, de géolocaliser des avions facilement. C’est ce que font certains sites internet comme flightradar24 qui présente une carte des avions en temps réel.

Des attaques par déni de service ou dans l’objectif de déstructurer le système afin de provoquer une crise de confiance (forcer l’envoi de fausses informations) sont donc plausibles. Elles pourraient rendre des centres de contrôles, et donc des espaces aériens entiers, inopérants pour des durées potentiellement longues comme dans le cas des avions de LOT.

Face aux diverses menaces, comment réagir ?

Le rapport du GAO est un signal d’alerte pour les problématiques similaires que peut rencontrer l’Europe notamment avec le programme SESAR. Il est nécessaire de réestimer les programmes en cours à l’aune de la cybersécurité. Une plus grande coordination à l’échelle européenne permettrait de prendre conscience d’un plus grand nombre de risques et de mettre en place des mesures de protection appropriées.

Le développement d’un domaine réglementaire fixant clairement les dispositifs de gouvernance et dont les rôles de chacun permettraient également de coordonner les efforts de chaque acteur afin d’éviter les redondances ou les impasses sur certains sujets de sécurité.

Toutes ces thématiques sont actuellement un sujet d’intérêt pour nombre d’autorités européennes comme en témoignent l’étude lancée par la SESAR Joint Undertaking en mai 2014 et la conférence  organisée par l’EASA (European Aviation Safety Agency) sur la cybersécurité pour l’aérien en mai dernier. À l’échelle de la France, des groupes de travail existent sur ces sujets au niveau de l’ANSSI et de la DGAC.

Les risques sont donc connus, les acteurs identifiés, il faut maintenant aller vite et bien accompagner les acteurs qui conçoivent les systèmes pour éviter l’apparition de dispositifs vulnérables qui ne pourraient pas, notamment, être mis à jour en cas d’apparition de nouvelles menaces !

Cet article Passage au protocole IP : quelles conséquences pour la cybersécurité dans l’espace aérien ? est apparu en premier sur RiskInsight.

La notion de « crise » est perçue, dans nos sociétés modernes actuelles, de manière assez hétérogène, ce qui induit une certaine difficulté à en définir les contours précis. En effet, le terme de crise (économique, sociale, ou encore de réputation) est abondamment employé et ce, dans tous types de situations ou d’événements qui sont notamment relayés à la une des médias.

Étymologiquement parlant, le mot crise -issu du grec « Κρίσις »- associe les sens de « jugement » et de « décision » mis en œuvre pour dégager une décision entre plusieurs positions ou tendances opposées sinon conflictuelles.

Il s’agit bien ici d’exercer et donc d’entraîner une organisation à faire face à un ou plusieurs événements majeurs (quelles qu’en soient l’origine ou la nature – soudaine ou progressive), ayant des impacts considérables sur son fonctionnement et pouvant potentiellement mettre en péril ses ressources et donc ses actifs.

Pourquoi réaliser des exercices de gestion de crise ?

Avant tout parce qu’il s’agit du seul moyen tangible de s’assurer que les dispositifs mis en place sont opérationnels et en mesure de faire face à tous types de situations de crise. En effet, chaque organisation doit se préparer à gérer des situations complexes et déstabilisantes, y compris celles qu’elle n’a pas prévues voire imaginées.

Les objectifs d’un exercice de gestion de crise sont la validation du caractère opérationnel en termes organisationnel et humain des cellules de crise de l’entité dans le cas d’un événement majeur menaçant la bonne réalisation de tout ou partie de ses activités.

Les exercices permettent, dans un premier temps, de valider les procédures de remontée d’alerte jusqu’à la mobilisation des cellules de crise et, dans un second temps, de valider l’ensemble des procédures de gestion de crise prévues qui sont éprouvées tout au long de la session d’entraînement. Les exercices contribuent, bien évidemment, à faire monter en compétence les participants qui acquièrent, au fur et à mesure des exercices, l’expertise et les réflexes nécessaires à une gestion efficace de la situation.

Parce que la gestion de crise s’appuie sur des capacités humaines (capacité à anticiper, à prendre des décisions) et parce que chacun peut être amené à réagir de manière différente face à l’inconnu et au stress, s’entraîner c’est être prêt !

Enfin, il est à noter que la réalisation d’exercices de gestion de crise est une obligation réglementaire pour les établissements bancaires et financiers. Le régulateur s’assure que l’organisme a réalisé a minima une fois par an une action significative permettant d’attester que le dispositif a été éprouvé et qu’un plan d’actions d’amélioration a été établi. Idéalement, le niveau de difficulté des exercices devra être croissant et couvrir, à terme, les différentes typologies de crise.

Qui doit participer aux exercices de gestion de crise ?

Comme évoqué précédemment, les exercices de gestion de crise ont pour objectif d’éprouver les capacités d’une organisation à prendre des décisions dans un contexte inhabituel. Ils s’adressent donc en particulier aux membres des cellules de crises décisionnelles (CCD) qui sont généralement constituées des représentants du plus haut niveau de management de l’entité (Comité Exécutif ou Comité de Direction).

Lors d’un exercice de gestion de crise, les fonctions mobilisées au sein de la CCD peuvent varier selon le type de scénario joué ; cependant les expertises inhérentes aux ressources humaines, à la communication (interne et externe), au juridique, à la logistique, à l’informatique et au métier impacté sont habituellement sollicitées.

Afin de renforcer la robustesse du dispositif, il convient d’impliquer également les membres suppléants dans les exercices de gestion de crise, ceci permettant de se prémunir de tout défaut d’expertise au sein de la cellule de crise en cas d’indisponibilité du titulaire.

Il est aussi possible d’entraîner les cellules de crise opérationnelles qui ont pour rôle de mettre en œuvre les décisions prises par la cellule de crise décisionnelle.

Des exercices de crise au niveau national et international sont également organisés : le Groupe de Place Robustesse (composé d’établissements de crédit ou assimilés, d’infrastructures de marché, du HFDS du ministère de l’Économie et des Finances, de la Direction générale du Trésor, de la Fédération bancaire française, de la Banque de France, des autorités de supervision et de régulation telles que l’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers) se réunit régulièrement pour améliorer la robustesse de la place financière de Paris et pour échanger sur les expériences menées tant au sein des établissements que sur les autres grandes places financières. Des exercices de grande ampleur sont ainsi réalisés annuellement (panne d’électricité,  pandémie H1N1, crue centennale de la Seine, Cyber-attaque…)

Quelles sont les étapes à réaliser pour la mise en place d’un exercice de gestion de crise ?

La première étape consiste à définir et valider les objectifs de l’exercice qui devront prendre en considération le degré de maturité de l’entité en termes de pilotage de crise (une ou plusieurs cellules de crise impliquées dans l’exercice). En effet, il s’agit de positionner le degré d’exigence attendu au niveau adéquat afin que les objectifs soient à la fois ambitieux mais atteignables (les objectifs doivent tenir compte des axes d’amélioration identifiés lors des précédents exercices afin de valider que les actions correctives ont bien été mises en œuvre).

La seconde étape consiste à retenir un macro scénario adapté à la fois au contexte de l’entreprise et aux objectifs fixés. Les scénarios envisageables sont divers et variés en fonction de l’origine (interne ou externe) et de la dimension (technique, économique ou sociale et organisationnelle) de la typologie de crise retenue. La palette de scénarios est vaste et s’étend du plus commun au plus inattendu :

• Incendie / explosion de gaz avec ou sans victime
• Cyber-attaque avec vols de données ou destruction du SI
• Panne informatique de grande ampleur
• Fraude interne ou externe
• Pandémie
• Mouvements sociaux
• Rumeur
• Catastrophe naturelle
• Attentats
• Enlèvement / séquestration voire disparition de dirigeants…

Le macro scénario est ensuite décliné en chronogramme détaillé qui reprend l’ensemble des stimuli qui seront adressés à la (ou aux) cellule(s) de crise tout au long de l’exercice (la durée de l’exercice peut s’étendre d’une à deux heures jusqu’à plusieurs jours !). Chaque stimulus constituant le chronogramme devra être formulé de manière concise et précise en reprenant les termes propres à l’entité (processus, noms et contacts des personnes simulées…) permettant ainsi de se rapprocher au maximum de l’organisation et de la configuration réelle de l’entité.

La phase d’animation consiste à jouer le scénario tel qu’il est prévu au sein du chronogramme. Une cellule d’animation, qui représente à la fois le monde extérieur et les autres acteurs de l’organisation, adresse aux cellules de crise testées (via mails, appels téléphoniques, captures d’écran d’articles de presse…) les stimuli en fonction du timing prédéfini. Les membres des cellules de crise jouent leur propre rôle et les observateurs présents dans la salle de crise consignent leurs observations en vue du débriefing. L’équipe d’animation veille à ce qu’aucune information ne sorte du cadre de l’exercice ceci permettant d’éviter tout déclenchement de crise « réelle ».

A l’issue de l’exercice, un débriefing à chaud est animé par le directeur de l’exercice au cours duquel chaque participant interagit et alimente les débats. Un rapport d’exercice reprenant les forces et faiblesses du dispositif est par la suite formalisé et adressé aux membres de la cellule de crise.

Les constats réalisés au cours des exercices permettent d’identifier les failles potentielles du dispositif qui font l’objet d’un plan de recommandation priorisé. L’entité devra établir, mettre en œuvre et suivre un plan d’action lui permettant de s’assurer de la résilience du dispositif mis en place. L’efficacité et la robustesse du dispositif de gestion de crise devront ensuite être éprouvées au cours des prochains exercices.

Cet article Les exercices de gestion de crise : pourquoi, pour qui, comment ? est apparu en premier sur RiskInsight.

Bien que leur nature ne s’y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.

Mieux appréhender l’incertitude : raisonner à partir des impacts

Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un apparent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).

Si l’histoire récente a parfois obligé les entreprises à s’améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’occurrence catastrophiques), et à en déduire la liste des causes potentielles.

Déjà appliquée dans le domaine financier (« reverse stress-testing »), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion pertinente sur les modalités de traitement de ces risques.

Capitaliser sur le risk management en place, via la notion de « cascade de risques »

Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d’Enterprise Risk Management – ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.

Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l’origine des vraies catastrophes (cf. l’exemple classique de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).

Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.

Bâtir une organisation résiliente

Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.

La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.

A la difficulté près qu’elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).

Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d’investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un back-up sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pour pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.

Même dans ce cas, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles. Dans ce cas d’autres mesures, déjà largement développées sur ce site, sont alors à envisager !

Cet article Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2) est apparu en premier sur RiskInsight.

Parmi les maximes bien connues des risk managers, il y a cette phrase de Donald Rumsfeld en 2002, alors qu’il défendait l’intervention américaine en Irak :

“ […] there are known knowns; there are things we know we know.
We also know there are known unknowns; that is to say we know there are some things we do not know.
But there are also unknown unknowns – the ones we don’t know we don’t know.
And […] it is the latter category that tend to be the difficult ones. ”

Cette citation traduit bien la situation à laquelle les organisations font face :

• « known knowns » : ce sont les risques maîtrisés, dont l’occurrence et les conséquences sont évaluées et connues ;
• « known unknowns » : ce sont les risques identifiés et recensés que les organisations ont choisis d’adresser à court ou moyen terme ;
• « unknown unknowns » : ce sont les événements qui n’ont pas été repérés par le « radar » de la gestion des risques ou dont l’occurrence apparaît infime aux regards des autres risques.

Le Cygne Noir de Nassim Nicholas Taleb : théoriser l’imprévisible

En 2007, Nassim Nicholas Taleb développe dans (The Black Swan, publié en 2007) la théorie dite du « cygne noir ». Elle englobe les « unknown unknows » et caractérise les évènements imprévisibles aux impacts majeurs de nature à totalement changer l’environnement ou le destin d’une organisation. Les exemples sont malheureusement de plus en plus nombreux :

• Catastrophes naturelles : ouragan Katrina aux USA (2005), séisme et tsunami dans l’océan indien (2004) ou au Japon (2011), éruption d’Eyjafjöll en Islande (2010), inondations en Thaïlande et en Australie (2011), etc.
• Catastrophes industrielles : explosion de l’usine AZF (2001), incendie de la plateforme Deepwater Horizon (2010), sinistre des centrales de Fukushima (2011), etc.
• Chocs financiers : choc pétrolier (1973 et 1979), chute d’Enron (2001), faillite Lehman Brothers (2008), fraude Madoff (2008), défauts d’Etats (Mexique 1982, Russie 1998, Argentine 2001, Grèce 2011), etc.
• Phénomènes géopolitiques : chute du mur de Berlin (1989), attentats du World Trade Center (2001), guerre en Irak (2003), printemps Arabe (2011), etc.

Par nature, ces évènements se produisent à une fréquence imprévisible. Toutefois notre dernière décennie a montré l’accroissement de leur résurgence. Pour les seules catastrophes naturelles, 2011 a constitué l’année la plus coûteuse de toute l’histoire de l’industrie de l’assurance (~380 milliards de dollars selon l’ONU).

De plus, conséquence d’un monde globalisé et interconnecté, ces phénomènes ont des impacts collatéraux sur l’ensemble des économies de la planète (entre pays producteurs et consommateurs).

Des évènements que les entreprises ne peuvent plus ignorer

Les grandes organisations, qui agissent aujourd’hui sur un périmètre global, ne peuvent plus ignorer ces risques, susceptibles de les impacter directement ou indirectement via leurs fournisseurs, leurs partenaires et leurs clients.

Mais comment les appréhender ? A la différence des risques « traditionnels », impossible de prévoir où, quand et comment ces évènements peuvent se produire. Cela impose un changement de paradigme dans la manière de les adresser, qui fera l’objet d’une prochaine tribune.

Cet article Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 1) est apparu en premier sur RiskInsight.

En effet, le processus de souscription constitue le pilier fondateur d’un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d’une telle opération.

Quels sont les acteurs majeurs de ce processus ?

Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations :

• Le client : il s’agit d’une organisation ou d’une entreprise souhaitant disposer d’une prestation (généralement financière) en cas de survenance d’un incident. C’est lui qui exprime le besoin, que ce soit par ses Risk Manager, ses RSSI, sa Direction Générale ou encore ses acteurs métiers.
• Le courtier : il est l’intermédiaire entre le souscripteur et l’assureur, et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client.
• L’assureur : il crée les polices d’assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client.

Comment se déroule le processus de souscription à une cyber-assurance?

En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une analyse de risques récurrente et un bilan assurantiel (évaluation de la couverture actuelle et des manques) impliquant toutes les parties de l’entreprise sont nécessaires.

Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et des modalités de son accompagnement au cours des différentes étapes, du choix à la vie du contrat.

Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin.

Le client et le courtier présentent ensuite à l’assureur leurs exigences en termes de périmètre de couverture et de plafond de garantie. Dans le cas de montants très élevés, le courtier peut mettre en place des montages d’assurances qui permettent d’atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l’assureur évalue la maturité du client, par l’intermédiaire de questionnaires ou par une analyse de risques. L’assureur propose alors un montant de prime d’assurance en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différents partis.

Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la police d’assurance.

Comment faire vivre le contrat ?

Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l’assureur, notamment sur le devoir d’information en cas de modification significative des risques sur son système d’information. Cette obligation se concrétise généralement par des réunions annuelles entre l’assureur, l’assuré et le courtier dans le but d’établir un bilan de l’évolution de la maturité du client et d’adapter le contrat en conséquence.

La souplesse dans l’évolution du contrat a deux principaux intérêts. Pour le client, il est de faire baisser le montant des primes en améliorant sa sécurité. Pour l’assureur, il est d’adapter le montant des primes en fonction de l’évolution du risque. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI.

Comment déclencher les garanties ?

Les délais de notification en cas d’attaque constituent l’élément central du déclenchement. Le code des assurances rappelle : «L’assuré est obligé de donner avis à l’assureur, dès qu’il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l’assureur. Ce délai ne peut être inférieur à cinq jours ouvrés » (Article L113-2). En cas de faute vis-à-vis de cette règle, le client peut se voir refuser ses garanties. L’enjeu est donc d’alerter au plus tôt l’assureur, même s’il n’y a que suspicion d’intrusion, mais aussi de cadrer les preuves à recueillir pour l’indemnisation – et ce dès l’établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si  l’assureur a été notifié dans les délais, et l’évaluation du sinistre réalisée.

En fonction des assureurs, la mise à disposition d’experts peut relever d’une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d’intervention de ces experts (obligation d’utiliser les prestataires de l’assureur, …).

Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Souscrire une cyber-assurance : mode d’emploi est apparu en premier sur RiskInsight.

La cyber-assurance : pour quoi faire ?

Traditionnellement, l’assurance est vue comme une manière de transférer un risque, en permettant de recouvrer une perte en cas d’occurrence de ce risque. Cela implique d’être en mesure de correctement évaluer le risque et la perte associée. S’il est relativement aisé de le faire sur des risques « matures » en matière d’assurance, comme l’incendie par exemple, cela devient beaucoup plus complexe lorsque l’on parle de cybercriminalité. L’interconnexion des SI et leur globalisation rendent difficile l’évaluation des risques et des pertes : quelle valeur pour les informations que l’on m’a dérobées ? Quels impacts pour mes partenaires et mes clients ? Quels coûts pour réparer la faille ?

Ainsi, le souscripteur doit aujourd’hui percevoir la cyber-assurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.

Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise. C’est cet apport immédiat d’expertise packagée qui peut intéresser le souscripteur à une offre « cyber-assurance », en complément du recouvrement d’une partie souvent limitée de ses pertes.

La cyber-assurance : pour quels risques ?

Les cyber-assurances permettent de faire face aux risques liés à trois grands enjeux actuels en matière de systèmes d’information.

• L’évolution de la règlementation concernant la protection des données personnelles et la notification en cas de fuite.

Ces deux sujets très liés feront probablement l’objet dans un avenir proche de renforcements législatifs visant à protéger davantage les consommateurs. La notification des fuites peut s’avérer extrêmement coûteuse pour les entreprises. L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles  en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a fait exploser le marché de la cyber-assurance aux États-Unis.

• L’entreprise étendue, génératrice de nouveaux risques

Les mouvements incessants des entreprises (fusions, cession de certaines activités, …), les interconnexions SI avec des clients et partenaires ou encore le développement du cloud computing sont autant de facteurs qui exposent le SI de l’entreprise à des attaques. Par ailleurs, en cas d’incident avéré, l’entreprise peut être considérée comme responsable de perturbations chez ses clients et partenaires. Attention cependant sur ce point : si un volet responsabilité civile est souvent inclus dans les offres de cyber-assurances, il fait parfois doublon avec les contrats responsabilité civile traditionnellement souscrits, qui couvrent souvent (en France) les dommages immatériels.

• Le développement du e-commerce

De plus en plus d’entreprises vendent aujourd’hui leurs produits sur Internet. L’indisponibilité du portail web de vente peut ainsi générer des pertes importantes de chiffre d’affaires, qu’il peut être relativement facile de chiffrer. Dans ce cas, une cyber-assurance peut jouer pleinement son rôle traditionnel de solution permettant de recouvrer une perte.

En conclusion : dans quels cas prendre une cyber-assurance ?

En conclusion, il est sans doute bon de s’intéresser au sujet de la cyber-assurance si l’entreprise est dans un ou plusieurs des cas suivants :

• Elle est susceptible de faire face à une attaque dont certaines conséquences sont facilement mesurables (sites de e-commerce par exemple). Dans ce cas, l’entreprise cherchera à jouer sur l’aspect « traditionnel » de l’assurance pour recouvrer une perte d’exploitation.
• Elle dispose d’un SI fortement interconnecté avec l’extérieur. Il sera alors utile dans un premier temps de vérifier quelle couverture lui offre son contrat en responsabilité civile (RC) actuel pour indemniser les tiers à qui elle porterait atteinte en cas d’attaque. Au besoin, elle pourra compléter cette couverture par le volet RC d’une cyber-assurance.
• Elle gère de nombreuses données personnelles. Elle sera alors attentive aux évolutions législatives en matière de notification et prendra si possible les devants sur le sujet en commençant à étudier la solution cyber-assurance.
• Elle dispose d’un manque d’expertises sur le sujet de la cybercriminalité et souhaite pouvoir disposer d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cyber-assureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, gestion de crise, forensics, …)

Cet article Cyber-assurance : souscrire ou ne pas souscrire telle est la question ! est apparu en premier sur RiskInsight.

Étape 1 : utiliser une échelle commune, un pré-requis à la démarche

Disposer d’une échelle commune visant à mesurer les risques semble une évi­dence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartogra­phies des risques élaborées. C’est donc la pre­mière étape pour intégrer les filières ! La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’iden­tifier les points de dépendance clés.

Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. L’atteinte d’un consensus n’est pas toujours aisée, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche.

Étape 2 – Construire un portefeuille de risques : un référentiel de pilotage unique

La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques.

Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de posi­tionner un risque dans une seule et unique filière. Une fois ces recouvrements identifiés, il devient possible de formaliser les responsa­bilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant et dans le pire des cas des démarches contradictoires.

Étape 3 : transformer la relation avec les métiers

Les métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs.

Plusieurs leviers d’optimisation sont à mettre en œuvre :

•  Le travail sur les zones d’adhérence des risques doit être remis à profit pour anticiper les redondances et les contourner au tra­vers d’entretiens ou de questionnaires communs sur ces périmètres.
• L’échange des informations collectées auprès des métiers doit permettre d’enrichir la réflexion de tous et de garantir une sollicitation efficace des métiers.
• La mutualisation de la restitu­tion et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la valida­tion des risques.

Étape 4 : partager les plans d’actions

En intégrant la vision des risques, la définition des plans d’ac­tions est plus simple à optimiser. Les actions identifiées par chaque filière sont partagées, des synergies peu­vent être dégagées et les budgets mieux alloués sur l’ensemble du périmètre :

• Les actions de réduction des risques sur les zones d’adhé­rence peuvent ainsi être défi­nies collégialement, chaque filière traitant d’une compo­sante du risque ;
• Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées.

Chaque filière dispose alors de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régu­lier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’en­semble des composantes des plans de traitement.

La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un accompagnement par une conduite du changement.

Lire les précédents articles une gestion des risques SI au cœur de l’innovation et des métiers et casser les silos en articulant les filières de gestion de risques.

Pour en savoir plus, vous pouvez également consulter notre synthèse :  “Management des risques : plaidoyer pour une vision unifiée”

Cet article Management des risques : comment mettre en place une organisation de gestion des risques ? est apparu en premier sur RiskInsight.

Mais face à cette multiplicité des gestionnaires de risques et des démarches, comment obtenir une vision d’ensemble ? Telle est la question à laquelle nous nous proposons de répondre dans la deuxième partie de notre dossier consacré au Management des risques.

Une vision d’ensemble difficile à obtenir…

Les multiples acteurs qui composent les filières de gestion des risques SI (DSI, RSSI, RPCA…) agissent le plus souvent indépen­damment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel… tout en ayant peu voire même aucun échange avec les autres acteurs.

L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge. Ce fonctionnement en silos n’optimise ni l’identification, ni l’éva­luation et le traitement des risques. Ces silos pénalisent l’entre­prise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose :

• Quelle est globalement mon exposition aux risques ?
• Ai-je bien mis les priorités aux bons endroits ?

Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens.

… et d’inévitables redondances

L’approche en silos a un second inconvénient : elle génère natu­rellement une sur-sollicitation des métiers : on constate souvent autant de sollici­tations que de filières ! Or, s’il est nécessaire que les acteurs de la gestion des risques SI collaborent avec les directions métiers, notam­ment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive.

La solution réside donc dans l’or­chestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise.

 Vers une cible d’organisation intégrée : la « tour de contrôle »

L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rappro­chement favorise ainsi la consolida­tion d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’opti­misation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires.

Mais attention : rapprochement des filières ne veut pas dire fusion des filières.

Chacune a recours à des compétences, des expertises et des normes spécifiques.

Si la « tour de contrôle » est l’orga­nisation optimale cible, il n’est pas évident de l’implémenter immédia­tement. Une mise en place progressive est, de ce fait préférable. Elle doit permettre de poser les  bases d’une approche des risques partagée et introduire un changement de culture.  Ce sont les premières étapes de cette mise en place que nous détaillerons dans la 3ème partie de notre dossier sur le management des risques.

Cet article Management des risques : casser les silos en articulant les filières de gestion de risques est apparu en premier sur RiskInsight.

Cet article Gestion des risques : de la perception à la réaction … est apparu en premier sur RiskInsight.

Dans un monde moins dangereux mais plus risqué, quel comportement adopte-t-on face au risque ?

Alors que notre monde est de moins en moins dangereux, nous avons aujourd’hui le sentiment de vivre dans un monde de plus en plus risqué. Risques alimentaires, écologiques, technologiques, financiers, métiers à risques, populations à risques… Le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique.

Pour paraphraser le philosophe François Ewald, rien n’est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d’appréhender le réel, associée à une volonté de maîtriser l’avenir. Cette « mise en risque » progressive du monde est justement ce qui caractérise l’histoire du 20^ème siècle.

Erving Goffman, sociologue américain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d’activité, la veille et l’alarme, passant de l’un à l’autre lorsqu’un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d’autres à ces signaux et plus prompts à réagir. On pourrait dire que l’homme moderne possède les aptitudes perceptives d’une biche, toujours prête à s’effrayer, mais la réactivité d’une vache, lente à se mobiliser. Évidemment, ce décalage est anxiogène !

Pourquoi les hommes ressentent-ils le besoin d’atteindre le risque zéro ?

La « mise en risque » progressive du monde a été au 20^ème siècle corrélative d’une nouvelle utopie : celle du risque zéro. L’expansion continue du risque est portée par un espoir qui peut sembler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale.

Cependant, les experts ont dû admettre que le risque nul n’existe pas, que certains risques sont rémanents, que d’autres sont concurrents, et que la réduction des uns peut renforcer les autres.

Ces dernières décennies ont également été marquées par ce que l’on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l’utopie du risque zéro. Ce principe implique que « l’absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l’environnement à un coût économiquement acceptable ». Aujourd’hui est fait un usage galvaudé de ce principe de précaution, ce dernier se transformant en principe d’abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, fait seulement mention des risques « graves et irréversibles » et n’envisage que des mesures « proportionnées », à un coût « économiquement acceptable ». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un « risque zéro » hors d’atteinte.

Pourquoi le risque zéro est-il utopique et incongru ?

L’intrusion du facteur humain est une des explications de l’échec de l’utopie du risque zéro. Selon la théorie du risque homéostatique, les individus ne recherchent pas forcément le risque zéro, ils sont même prêts à s’exposer à un certain niveau de risque qu’ils jugent « acceptable », pour en retirer un bénéfice.

Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu’ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d’autres contraintes, d’autres risques.

Par ailleurs, ces experts doivent prendre en compte le phénomène de déni du risque qui peut être redoutable. Le déni du risque s’appuie souvent sur une stratégie de « bouc émissaire », qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu’une catégorie d’individus bien particulière, à laquelle on n’appartient pas soi-même.

Aujourd’hui, la gestion d’un risque, dans la société comme au sein d’une entreprise, implique au moins deux dimensions interdépendantes. D’abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d’acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particulier, au sein d’une entreprise, avec les salariés, avec les métiers, pour que leurs points de vue, leurs besoins et leurs objectifs propres soient pris en compte.

Lire l’article : Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques

Cet article Quelle perception du risque dans la société ? La vision de Patrick Peretti-Watel est apparu en premier sur RiskInsight.

Des métiers sur-sollicités

Les Directions métiers sont aujourd’hui sur-sollicitées par une filière risques qui peine souvent à mettre en cohérence les démarches de recensement et de traitement des différentes typologies de risques (RH, juridique, SI, qualité, continuité…). La multiplicité des acteurs, démarches et planning entraîne une perte générale de lisibilité pour les métiers, qui en réaction s’impliquent moins dans le processus de management des risques.

Créer un cadre unifié pour la gestion des risques

Il est nécessaire de repenser les filières risques pour une meilleure intégration des différents canaux de remontée et de traitement des risques. Vis-à-vis des métiers, ces changements doivent se traduire par des sollicitations plus cohérentes, favorisant ainsi leur adhésion.

Deux axes majeurs pour opérer cette transformation : la convergence des pratiques et la rationalisation de la gouvernance des risques  (voir notre article à ce sujet).

Un retour sur investissement difficile à percevoir

Difficile pour le métier d’évaluer à quel point le travail fourni dans le cadre de la gestion des risques a permis d’atteindre le résultat escompté si on ne le lui montre pas clairement ! Le gain associé aux efforts consentis est en effet difficilement perceptible, car le premier résultat d’une gestion de risques efficace, c’est bien l’absence de perturbations majeures sur les activités. La filière risques doit ainsi faire l’effort de mesurer les gains associés à ses actions, afin de mieux valoriser ces dernières auprès des métiers et leur faire comprendre l’intérêt qu’ils ont à s’impliquer.

Développer le « marketing de la filière risques »

Pour favoriser l’adhésion des Métiers, la filière risques doit développer sa capacité à intervenir en mode projet ou en phases d’étude à leur demande, en sortant d’un mode de fonctionnement aujourd’hui trop basé sur le récurrent.

Elle doit pour cela apprendre à se vendre, en assurant la promotion des services qu’elle peut offrir aux Métiers et des résultats qu’elle obtient. Cela doit contribuer, si ce n’est à inverser, au moins à rééquilibrer les flux de sollicitations entre les deux parties. Ces derniers partent en effet aujourd’hui majoritairement de la filière risques et non des Métiers, contrairement à la quasi-totalité des autres directions support ! La filière risque dispose de plusieurs moyens pour ce faire, au travers par exemple :

• de la structuration de « l’offre de la filière risque » : comment et sur quoi cette dernière se propose d’intervenir auprès des métiers, à leur demande ;
• de la valorisation des résultats obtenus, en trouvant des indicateurs pertinents et des exemples concrets pour les différentes typologies de risques ;
• de la détection des nouvelles opportunités qui apparaissent aux Métiers grâce à la bonne gestion des risques (moyens de valorisation en externe par exemple)

Un refus trop fréquent du risque

La filière risques est souvent perçue comme l’entité qui « sur-traite » voire refuse systématiquement le risque, plutôt que celle qui valorise la prise de risque maîtrisée.

Les métiers, au cours du processus de décision, attendent pourtant que les pertes potentielles soient analysées au regard des gains attendus. Réaliser cet exercice difficile et décider « en toute connaissance de cause » est de plus en plus complexe pour eux, et la filière risque peut les aider en cela, que ce soit sur un plan stratégique ou opérationnel.

S’aligner sur les objectifs des Métiers et veiller à ne pas sur-traiter les risques

La filière risques doit passer du refus trop fréquent du risque à l’assistance au métier dans la conduite de ses choix stratégiques et opérationnels, pour lui permettre d’atteindre ses objectifs en prenant des risques maîtrisés. Le gestionnaire de risques doit devenir un des soutiens indispensables dans les équipes chargées de mener des études ou projets stratégiques, via sa capacité à analyser de manière large et détaillée les risques et valider que la prise de risques permettra de générer de la valeur et est conforme à « l’appétence au risque » qu’exprime le métier. Dans un cadre plus opérationnel, il doit s’assurer que les projets intègrent bien la notion de risque tout en conservant ses missions récurrentes de cartographie et traitement.

Mais il doit surtout développer son rôle de conseil « à la demande du métier », en veillant à ne pas imposer des processus et solutions qui viseraient à « sur-traiter » les risques et donc à diminuer la performance de l’entreprise.

Cet article Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques est apparu en premier sur RiskInsight.

Le concept de virtualisation existe depuis plus de 40 ans (avec les mainframe et systèmes IBM), mais s’est véritablement démocratisé dans les années 2000 lorsqu’il est devenu possible d’exécuter simultanément plusieurs systèmes d’exploitation sur un même poste de travail. C’est essentiellement grâce à la virtualisation système (Microsoft, VMware) qu’il est aujourd’hui connu et son succès a atteint des sommets avec le développement du « cloud computing » (Amazon, Google Apps…).

La virtualisation consiste à faire fonctionner sur une machine physique unique plusieurs systèmes comme s’ils fonctionnaient sur des machines physiques distinctes. Ceci repose sur un concept simple : des instances virtuelles sont orchestrées par un hyperviseur, garant de l’accès, la répartition des ressources et l’isolation entre les instances.

La virtualisation doit avant tout son utilisation aux gains financiers qu’elle apporte en favorisant la consolidation des infrastructures et l’optimisation des ressources utilisées. Elle engendre en même temps des bénéfices opérationnels importants en permettant la mise en place rapide de solutions en haute disponibilité : le passage au “tout logique” apporte une facilité de déploiement et une souplesse de provisionning non offerts dans le monde physique.

En 40 ans, au vu de ces bénéfices, les technologies de virtualisation se sont orientées vers des utilisations diverses, s’étendant à d’autres composants du SI que les systèmes d’exploitation d’origine : postes de travail (sessions virtuelles, VDI…), réseaux (VDC, VRF…), équipements de sécurité (Firewalls, IDS-IPS…).

Des risques technologiques … à relativiser !

Les premières craintes des entreprises vis-à-vis de la virtualisation sont liées à la fiabilité des nouveautés technologiques impliquées : les nouveaux composants introduits, en particulier l’hyperviseur, me garantissent-ils l’étanchéité des systèmes supportés par une même machine physique ?

Il existe effectivement un certain nombre de vulnérabilités exploitables sur ces technologies… mais les risques associés sont finalement peu rencontrés : les technologies phares du marché sont des technologies éprouvées et ces risques peuvent être traités, comme pour tout système, par des mesures de gestion opérationnelles de la sécurité qui sont déjà en place dans les entreprises (patch management, durcissement…). Attention cependant ces processus doivent fonctionner avec efficacité vu l’impact en cas d’incident sur les infrastructures de virtualisation.

Des risques humains … à ne pas négliger !

Si les risques les plus courants de la virtualisation ne proviennent pas de la technique elle-même, ils se situent plutôt dans la gestion de ces nouvelles technologies. La virtualisation introduit dans le SI de nouveaux composants (hyperviseur, consoles…), de nouvelles notions d’infrastructure (réseau virtuel…) et les principaux risques de la virtualisation sont le plus souvent issus d’un défaut d’encadrement liés à ces nouveautés :

• Mauvais usage des consoles d’administration, avec des impacts immédiats « effet boule de neige » en cas de mauvaise configuration : arrêt multiple d’instances, activation de fonctions de décloisonnement…
• Mauvaises pratiques de gestion de la plate-forme de virtualisation, notamment sur les aspects de gestion des inventaires et de capacity planning qui doivent être redéfinis.
• Défaut de séparation des tâches entre les équipes système et réseau, avec tous les risques d’erreur, voire de malveillance, dus à la concentration de ces responsabilités.

Les risques “humains” (erreur, malveillance, absence de séparation des responsabilités) prédominent donc sur des risques “technologiques” relativement moins probables et pouvant être limités grâce à des recommandations classiques.

Un projet de sécurisation de la virtualisation, c’est donc bien entendu un projet d’intégration des nouvelles technologies dans la gouvernance opérationnelle de la sécurité pour traiter les risques techniques liés à son utilisation… Mais aussi et avant tout un projet de réflexion sur les rôles, les responsabilités et les compétences de ses administrateurs, afin de traiter les principaux risques de la virtualisation, à savoir les risques humains ! 

Cet article La virtualisation ne virtualise pas les risques humains ! est apparu en premier sur RiskInsight.

Les opportunités sont multiples face à des clients qui ont largement adopté ces réseaux sociaux. Gestion de la relation client, campagnes marketing ou encore recrutement sont autant d’utilisations possibles pour les différents métiers, qui sont séduits par la facilité d’utilisation de ces plates-formes.

Des risques bien réels à maîtriser !

Mais ces nouveaux usages amènent de nouveaux risques pour l’entreprise qui va s’exposer au travers de pages Facebook, de fils Twitter, etc. En tête de ces risques, le détournement de pages et les atteintes à l’image résultant d’une mauvaise utilisation de ces outils. Une page Facebook mal paramétrée peut aussi conduire à une usurpation d’identité, un détournement de la finalité du site… Les exemples récents de Fox News annonçant la mort d’Obama (http://www.guardian.co.uk/news/blog/2011/jul/04/fox-news-hacked-twitter-obama-dead) ou encore de Microsoft et de sa chaîne YouTube sont assez représentatifs (http://nakedsecurity.sophos.com/2011/10/23/microsofts-youtube-channel-has-been-hacked/).

Des projets à ne pas sous-estimer

La facilité d’utilisation des réseaux sociaux par les métiers leur permet de lancer des initiatives sans aucune aide de la DSI ou du RSSI. Pourtant, il s’agit d’un projet comme un autre, même si l’outil utilisé est en libre-service ! Il est donc primordial que les équipes sécurité soient informées et qu’elles sensibilisent et appuient les métiers sur leurs actions relatives aux réseaux sociaux : guide de paramétrage d’une page, règles de gestion des accès, etc.

Après la charte administrateur, la charte « Community Manager »

Au-delà de l’administration « technique » du compte ou de la page, les métiers doivent être conscients de l’importance d’une animation régulière pour éviter les pages à l’abandon. Cette démarche de « community management » permet d’assurer une maîtrise du discours vers les clients et de gérer les interactions avec eux au quotidien, mais aussi d’assurer la sécurité grâce à la sensibilisation et la responsabilisation des gestionnaires de communauté sur la confidentialité du mot de passe, la gestion du contenu, des abonnés, la déconnexion, etc. Autant de thèmes qui justifient la création d’une charte des gestionnaires de réseaux sociaux au sein de l’entreprise, qui formalise leurs rôles et responsabilités.

Des outils dédiés et sécurisés de gestion de communauté

En complément de la charte et de la sensibilisation, des outils viennent maintenant au secours des métiers et des RSSI pour éviter les mauvaises pratiques comme le partage du mot de passe d’accès à un compte ou une page à tout le service : les cas de départs malheureux ont déjà causé des incidents visibles (http://www.webmastertalkforums.com/social-networks/75948-mark-davidson-fires-employee-twitter-account-hacked.html) ! Heureusement, ces nouveaux outils de gestion de réseaux sociaux en équipe (par exemple CoTweet ou HootSuite) font enfin leur apparition et permettent de mettre en application des règles de sécurité élémentaires telles que la gestion des accès, la traçabilité, ou encore l’imputabilité des actions.

Cet article Sécurité et réseaux sociaux : maîtriser l’exposition de l’entreprise est apparu en premier sur RiskInsight.