The ever-increasing threat of cyber-attacks on organisations around the world and their potentially devastating financial, reputational, or operational impact on the business means it has never been more important to position Cyber Security as a major issue in front of the C-Suite. The C-Suite holds ultimate accountability for an organisation’s approach to risk in both setting the appetite for Cyber risk for the business and ensuring sufficient budget & resource is assigned to manage Cyber risk to within the appetite. If they are not appropriately informed of the risks associated with Information Security (IS), the organisation may not put in place the correct and appropriate mitigations to protect the organization from their top threats and risks.

Failure to effectively protect against these cyber threats can have both organisational and personal consequences for executives. For example, The Senior Managers and Certification Regime (SMR) is an FCA enforced regulation that assigns responsibility for Information Security to executive level employees, making them liable for correct implementation of cyber protections for IS.

This article will provide you with a 4-stage approach on how to better engage the C-Suite in your organisation on Information Security, to build a fruitful partnership between these executives who direct budget & resource towards Information Security and the Cyber teams who are responsible for the oversight & implementation of security.

Stage 1: Introducing the Execs to Cyber Security

In this first session with the C-Suite, it is imperative that you initiate the conversation by focusing on an introduction to Cyber Security that provides an overarching view of the organisation’s Cyber Security capabilities and operating model, that will encourage future more in-depth discussion.

Outline the responsibilities the organisation and executives have towards Information Security and how these align with the strategic priorities of the organisation & Cyber team. This should include a presentation of the top threats to the organization (both internal & external), the risks that they expose the organisation to and the existing roadmap to mitigating these risks. This will provide a high-level overview of the organisation’s Cyber capability and will set the tone ready for future conversations with the C-Suite.

Provide an overview showing the blueprint for Information Security and how security integrates and adds value to the rest of the business. It is important to include metrics that can be used to compare the organisation’s approach to Cyber Security against peers within the market. A difference in budget or team size compared to a competitor can provide guidance on whether the organisation is assigning adequate resources and budget to the issue. 

Stage 2: 360 Audit

After successfully introducing the C-Suite to Information Security, it is now essential that you lock in that second session where you can provide a more granular breakdown of the organisation’s Cyber Security capability with a clear focus on where resources need to be focussed.

Industry standard frameworks, such as ISO and NIST, should be deployed to measure an organisation’s Cyber Security maturity and provide analysis on potential improvements that can be presented to the C-Suite executives. These frameworks offer controls against which the organisation can be benchmarked, to identify areas that require maturing to mitigate risk from the organisation’s top threats. While these frameworks in their original state offer a good measurement of maturity, it is important to refine the controls so that the framework is tailored towards the organisation, taking into consideration the industry sector and regulatory environment. Wavestone recommends taking the NIST framework as a basis and fitting it to the specific stakes of the organisation to overcome any framework limitation and focus it on the businesses’ needs.

Wavestone have built our own framework, called the Cyber Benchmark, that leverages the best of industry frameworks to provide a comprehensive approach to maturity assessment with organisational & technological perspectives included. We recommend organisations follow a similar approach to accelerate their framework improvements to increasing their Cyber maturity.

Capturing the attention of senior executives to invest time & resources into developing a framework to improve Cyber maturity can be difficult. A good methodology is to provide real life evidence of their security vulnerabilities, for example by presenting evidence of how an internal ‘Red Team’ gained access to the mailboxes of the senior executives present, with an explanation of how few days it took. 

Stage 3: Programme and Framework

Once this more granular breakdown has been presented, a key priority must be to ensure the C-Suite has bought into the Cyber Security strategy & roadmap; developed using the maturity improvement opportunities identified through the framework assessment. Buy in from the C-Suite on the roadmap will guarantee the required funding & resources required to implement these enhancements.

Using the customised framework, develop a roadmap that focuses on maturing controls that will most effectively reduce the risk from the organisation’s top threats. This roadmap will become the building blocks for the security programme. The security programme should be defined so that it provides clear targets to be met to ensure compliance with the customised framework controls, beginning with a remediation approach that will guarantee a standard Cyber maturity across the organisation, and followed by steps to achieve the Cyber maturity goals. Ensuring a standard maturity across the organisation will alleviate the risk from current threats, while building on this to achieve maturity targets will reduce the potential risk from over-the-horizon threats.

Programme support can be leveraged from a specialised Project Management Office (PMO) that will supervise the execution of the programme. It is important that this PMO curates a good relationship between IT who will implement the roadmap to maturity and the business, so that the benefits are understood and extracted across the organisation.

Stage 4: Risk Quantification and Business Accelerators

The final stage of engaging with the C-Suite requires you to demonstrate the return on investment (ROI) that Cyber Security can deliver, both through risk reduction from top threats and as a business enabler that encourages expansion into new territories and engaging new client relationships.

Implementing the appropriate customised framework to the organisation and following the established roadmap to Cyber Security maturity will require an increased budget allocation. However, it is important to emphasise to the board that the return on this investment will far exceed the initial cost due to a dramatic decrease in the scale and severity of risk that the organisation is exposed to. Use calculations to demonstrate this Return on Investment (ROI) quantitively and link this to the efforts and changes delivered by the security programme. It should also be explained that this initial outlay required to deliver the security programme is far less than the potential financial, reputational, and personal (e.g., SMR) repercussions that would result from a failure to adequately protect information systems during a cyber-attack.

As well as preventing the serious repercussions of failing to protect information systems in an attack, Cyber Security can also become an important business enabler. Effective Cyber Security will ensure that your customers are retained in the event of a properly managed security breach, as well as confirming your organisation as a secure manager of customer data & details, increasing your attractiveness to new customers. A secure organisation can move swiftly into new business environments & seize opportunities with confidence that their Cyber Security maturity will be able to resist potential additional threats that may arise from this expansion; opening the door for the organisation to safely engage a wider client base.

Conclusion

Following the 4-stages outlined in this article will allow you to foster a strong relationship with the C-Suite on Information Security, ensuring they are aware of their responsibilities for Cyber Security under the SMR and that they assign budget & resources appropriately to deal with the top threats facing the organisation. The customised framework will allow these executives to understand the current Cyber Security posture of the organisation and buy in to the roadmap for future maturity. Once this vision of mature Cyber Security has been delivered, the business incentives can be leveraged to ensure the C-Suite continues to invest in developing Information Security within your organisation.

Cet article Engaging the C-Suite on Information Security est apparu en premier sur RiskInsight.

Even if the depth and complexity of these exercises vary, the capabilities tested are often the same. They almost always entail knowing how to take on roles, assimilate a strong flow of information (stimuli), and understand a high-stakes, high-intensity situation. These exercises train coordination and impact assessment, but they cannot be considered an end in themselves. Resolving a crisis is not limited to the famous: “isolate, cut, communicate, we’re out of the woods”. We are calling for a paradigm shift in the preparation of cyber crisis management. 

Shift the focus from information management to feasibility 

Most crisis exercises used today test the players’ ability to manage and synthesize the flow of information. However, this is not where the quality of crisis management is concentrated. Some might even say that a decision-making unit should not be in a situation where it is erratically and incessantly solicited by its stakeholders. A decision-making unit must be put in a position to decide. To do so, it must respect a healthy work rhythm in cooperation with other more operational bodies. 

These exercises too often lead players, who are sucked into the time-consuming management of information, to take misleading operational sides. They make assumptions about what they can do and when – the famous “isolate, cut, communicate, we’re out of the woods.” These exercises give decision-making teams the impression that they are ready to cope when in fact they have limited their preparation to the ability to understand and coordinate events. This is a necessary step, but not sufficient.  

The key word for a 2023 preparedness strategy? Feasibility. Notably, though, the feasibility of all the steps of crisis management is based on a wider spectrum than just information management. This feasibility must be measurable, specific, and enabled by documentation, equipment, simulation, and sequencing of these capabilities. 

Preparing across the spectrum: from threat detection to reconstruction 

Training to manage a crisis involves above all taking into account the complete chronology of crisis management. We can summarize this chronology in eight major steps: 

1. Detect relevant threats and have the capacity to investigate them  
2. Mobilize experts and decision-makers to react 
3. Survive during the first peak by guaranteeing business continuity capabilities  
4. Evaluate the impact, its ramifications, and its foreseeable evolutions  
5. Contain the threat and understand the impact of isolation  
6. Coordinate your strengths and those of your ecosystem  
7. Communicate with internal and external stakeholders  
8. Restore and rebuild what can be restored and built when it can be restored and built 

Also, prepare the tools: I design, I use 

A relevant preparedness strategy must encompass each of these eight steps with the keyword of feasibility. It requires answering the question: will we really be able to carry out these actions when we need to? 

The answer to this capability question is based on three aspects:  

1. Ensuring the formalization of brief, up-to-date and known processes (e.g.: have a flow matrix indicating how to isolate, the timeframe, and the operational consequences)  
2. Equipping, training, and empowering the teams in charge of these actions (e.g.: having a discussion on “license to kill” and technically enabling a “red button” on relevant perimeters)  
3. Training the teams concerned specifically through role-playing exercises and specific simulations of the deployment of these capabilities (e.g.: test the decision-making process leading to the use of this “red button”, then technically test the proper functioning of the red button)

Thus, while some may limit themselves exclusively to the latter (simulation), it is essential to design one’s preparation with more hindsight and to begin with a real effort to build capacity. The exercise should be a milestone for verifying, adjusting, and promoting capabilities. In the worst case, it can be a deadline for preparing the capability or even serve as an opportunity to build said capability during the session (e.g.: reconstruction chronology, identification of technical interdependencies, etc.). 

Overcome opportunistic logic and practice the capabilities’ sequencing 

Currently, the main drivers of complexity are the increase in duration, intensity and the number of actors involved. Here again, we call for a paradigm shift. 

First, we call for a culture of preparation based on the eight pillars detailed above. This entails the need to provide tools and formalize the capabilities to do and train these capabilities throughout the year – without necessarily making them an event in a big exercise (e.g.: ComEx workshop on the first 10 actions to launch in case of a cyber crash, testing the isolation of backups or the restoration of workstations).  

In addition, employing vertical training logic (e.g., enable then simulate), it is important to train the ability to sequence the different capabilities quickly and efficiently. Thus, it is advisable to propose larger exercises, common to the business, forensic and decision-making teams, to orchestrate their different simulations in a single exercise. In training, for example, the detection capacity should be tested with a Purple Team, and then the mobilization capacity of the crisis system with a surprise mobilization using the alternative tools provided. A second example: work on the coordination capacity of the numerous crisis cells over a long period of time and then producing a communication message for all its stakeholders (internal and external). 

A long-term commitment 

To be relevant, this approach must be supported by strategic, global, multi-year thinking. Since it is more ambitious and involves more stakeholders (SOC, RPCA, Resilience, Infra, CISO, ComEx, Third Parties, …), it can gain legitimacy through a prior empirical evaluation of the means: 

1. Assess the current state of your readiness by taking a feasibility-centric approach to the eight pillars.  
2. Establish a maturity target and a roadmap that you will be able to report on empirically over time. 
3. Finally, share with your management teams a more robust view of your crisis management maturity.  

This type of approach, more empirical and personalized, will not only allow you to identify capacity gaps but also to truly train for the actions that will be essential at the worst moment. 

Cet article Enabling a paradigm shift in cyber crisis management preparedness est apparu en premier sur RiskInsight.

Attackers have understood this issue and we are seeing more and more cyber-attacks affecting backups. As highlighted in the 2021 benchmark of cyber-attacks in France, in 21% of ransomware attacks, backup systems were targeted until they were rendered unusable.

What is the attackers’ modus operandi for reaching backups?

First, backups can be affected as collateral damage. This was the case a few years ago during a cyber-attack at one of CERT-Wavestone’s clients. In this, the backup management infrastructure was itself encrypted by the ransomware and had to be rebuilt before backups could be restored.

In ransomware attacks, attackers can also directly target backups to force their target to pay the ransom. For example, less than a year ago during a CERT-Wavestone incident response, the attacker took care to destroy all backups before encrypting the customer’s information system. The attacker was able to do this because the backup management infrastructure was administered through an account in the Active Directory. The attacker was able to elevate its privileges to the highest level and was able to easily connect to the backup infrastructure and delete all the backed up data.

Some initial protective measures can significantly reduce the risk

In 100% of the ransomware crises managed by CERT-Wavestone, the attacker had Active Directory domain administration accounts. To prevent the attacker from reaching the backups by this mean, it is therefore necessary to separate the backup infrastructure from the Active Directory. To do this,  make sure that the backup administration accounts as well as the backup servers are outside the Active Directory (NB: this will not prevent this infrastructure from backing up the resources managed in the Active Directory).

To further reduce the risk of an administration account being compromised, backup administration access should also be strengthened, for example with multi-factor authentication (MFA).

Furthermore, since ransomware attacks often propagate on the same operating system, it may be worthwhile to adopt a different operating system for the backup infrastructure. Alternatively, at the very least, make a copy of the backup catalogue (database containing pointers to backups) on a different operating system. This enables rapid restoration of the backup infrastructure in the event of a compromise.

In addition, it is sometimes possible to apply retention measures to the backup storage technology, such as applying a delay before the actual deletion of the data or keeping a copy (or snapshot) on the storage array. This allows for a delay of one or more days before the data is completely lost in the event of a deletion.

To go further…

Various initiatives are emerging to standardize data protection measures to face the growing threat (e.g. Secure Tertiary Data Backup Guideline by the HKAB – Hong Kong Association of Banks, Sheltered Harbor in the United States…).

In addition, backup vendors are building their solutions with the cyber threat in mind, with ransomware detection features, immutability features (to make backed up data completely unalterable, even for an administrator) or even “offline” backup isolation capabilities.

These solutions can be adopted to replace or complement existing backup solutions. Nevertheless, they often require significant investments. As we have seen, a certain number of initial protection measures can already greatly reduce the risk. It is therefore important to identify the feared threat scenarios and your level of exposure. It is also important to identify any compliance requirements (regulations, standards, etc.), in order to define an appropriate roadmap of maturity improvement.

This article is intended as an introduction to protecting backups against cyber-attacks. We will have the opportunity to go into more detail on this subject in future publications.

Cet article Cyber-attacks: what are the risks for backups and how to protect yourself? est apparu en premier sur RiskInsight.

Creating a relationship of trust with the executive committee is a long-term action. After a first step that often involves raising awareness and putting the cyber risk into perspective for the organization (see BILLET 1), it is now a case of getting to the heart of the matter and starting the path of transformation! 

TO TRANSFORM, YOU HAVE TO KNOW FROM WHERE YOU ARE STARTING…. 

Before any transformation, it is important to define the starting point and share the findings with the executive committee. The use of international standards obviously forms the basis for evaluation, ISO 27001/2 and NIST CSF are the two international references: one rather European, the other more anglo-american.  

But what will matter most to executives is a benchmark based on the posture of their competitors and the market in which they are located. As such, we have developed a specific tooling at Wavestone and built a comparison base that currently includes more than 50 large organizations, mostly international and based in Europe. The quality of this base is essential to convince the leaders, who during the debriefings will ask, precisely and often with a lot of hindsight, what is done elsewhere. 

The first key element of an evaluation is to ask the right questions and get useful answers!  In a large organization, it is complex to carry out a detailed assessment of the level of compliance with security rules. The use of a simple notation, on a classic scale of maturity – from 1 to 4 for example – quickly reaches its limit. What we have chosen to do, and which has proven its worth on the ground, is to answer questions by expressing a percentage of the perimeter covered. For example, it is possible to have 80% of workstations with a simple anti-virus and 20% with a modern tooling type EDR. The same approach is replicable on more organizational issues, 50% of users aware by sending emails, 30% by tracking a webinar and 20% by face-to-face sessions.  

In the collective unconscious, this phase of questioning often seems long and very energy intensive. If you want a high level of detail, evidence gathering or technical checks: this can be useful when the organization already has a high level of maturity. But at the beginning, a simpler and more effective approach, typically over a short period of one month with a load of twenty days, may be enough to provide a  concrete picture of the situation and enough concrete arguments to get decisions and initiate change. 

During the preparation phase, it will also be important to identify the expectations of the executive committee beforehand. Discussing with the most concerned members about their expectations, getting their opinions on the right way to approach the subject and the priorities of the organization will be essential to ensure the relevance of the questioning and restitution phases. There is nothing worse than making an off topic on the day of restitution! 

… AND SHARE THE REALITY OF THE SITUATION  

After the collection phase, the time will come for the analysis of the results. Our feedback shows that combining multiple views makes the most sense and is effective in gaining commitment. The classic rosettes of ISO or NIST compliance are obviously essential but often prove ineffective: too many axes, too many mixed elements that ultimately always give average notes.  

As mentioned in the previous post, two indicators will be successful at the beginning of the exchange: the budget dedicated to cybersecurity and the number of people mobilized on cybersecurity. The budget indicator is always tricky to handle (high annual variation and non-homogeneous accounting method), we often prefer to use that of more stable and reliable staff). Secondly, in our opinion, it is effective to run the analysis on three axes:  

• The 1st is the resistance of the organization to the last known attacks. Clearly the most effective element in debriefing with the executive committee, it also helps to attract attention at the beginning of the restitution. To achieve this view, we use CERT-W operational feedback to find out about the latest methods of cybercriminal attacks and we conduct an analysis of the associated measures.  
• The 2nd is a market posture, crossing the level of compliance with international benchmarks (type: “I aim for 75% ISO compliance”) with the gap to the market average for the organization concerned (“on the safety of the workstation, I am 3 points below the market. On physical security, I’m 2 points above”). Crossing these two axes helps to identify priority areas (those where you are below international standards but also above the market) and those where you should not be aggressive (the whole market is below international benchmarks, but you are above the market average). 
• The 3rd is an “actors” oriented view of the transformation, organized by the large entities that will be in charge of the transformation (for example: within the CIO the network, the workstations, the servers, within the risk directorate …). This view is very useful to conclude the exchange because it creates action and shows who will have to invest the most. 

Of course, these different views can be segmented by country or large organizational units to reflect possible disparities or expectations of management.  

In this phase of restitution, our feedback shows that executive committees are increasingly sensitive to cybersecurity issues and will ask very specific and concrete questions. Therefore, evidence and factual evidence about the organization must be well-informed. Having the results of recent audits, concrete figures on the length of time it takes to successfully break in, and even videos of an attack demonstration can facilitate an executive committee to become aware of the risk.  

STARTING NOW STEP 3: TRANSFORMING THE ORGANIZATION  

Describing the situation, the difficulties and the axes of progress should not be an end. The first arguments must be prepared on the conduct of change. Who should carry the transformation? What financial volumes should be expected? What schedule to consider? What reporting should be done? And above all what sponsor in the executive committee should follow this topic! Without being a formal part of the meeting, incorporating these elements into the end of the exchange allows us to prepare the next step and collect the first opinions.  

These issues are obviously very dependent on the organization, but we are seeing trends emerging. Today, it is mainly the CISO within the CIO that carries the transformation often supported by an experienced programme director familiar with the structure. Regarding budgets, for major remediation programmes, the sums in the financial sector range between 200 and 800 million euros, in the industrial sector between 50 and 100 million. These sums are usually committed on 2- or 3-year programs and are followed by the quarterly executive committee at the launch and then a semi-annual pace can be sustained from then onwards. 

To conclude the session, the most important thing is to define the next steps!  Even if all these savings do not immediately lead to the launch of an investment programme, the risk review should take these results into account or propose the realization of a benchmark again the following year. 

Cet article Episode 2 Create a relationship of trust with the executive committee est apparu en premier sur RiskInsight.

Paradoxically, only 35% of organizations consider their third-party cybersecurity management process as effective (according to a study conducted by the Ponemon Institute).

How to define an effective third-party cyber risk management strategy? What are the key success factors?

Adapt your third-party cybersecurity strategy to the risks

From business partners to subcontractors and IT service providers, a lot of your suppliers manage or have access to your assets. Therefore, they represent a risk for your organization and thus it is important to ensure they are committed to respect a cybersecurity level that meets your requirements.

Depending on which business perimeter they operate and which type of service they provide, the level of risk would be more or less critical. Therefore, our recommendation is to classify your suppliers to adapt your cybersecurity strategy according to the risks they imply.

Since your suppliers can be thousands, this classification will also allow you to prioritize and keep an acceptable workload for your teams.

In order to do that, our first piece of advice is to inventory your suppliers. We notice that few organizations have an exhaustive cartography and that its realization is a tedious project that requires the involvement of many stakeholders (purchasing, legal, department, business…). Therefore, we advise you to start by defining a process to capture your new third parties and by identifying your suppliers involved in the critical business activities identified in your BIA (Business Impact Assessment). Afterwards, you will be able to extend progressively to other third parties.

From this cartography, you will be able to assess your supplier’s criticality and classify them on a scale with several levels. We advise you to consider the following criteria:

• The business criticality of the project or the asset the supplier is working on;
• The degree of interconnection to your information system;
• The access to sensitive or confidential data;
• The service exposure on the Internet.

Nevertheless, we can observe in our client’s environment that applying those criteria can be challenging due to the lack of information about some third parties. Then, we suggest organizing workshops with cybersecurity teams, IT teams and business teams to validate your cybersecurity classification by expert knowledge.

Example of a classification scale with 3 levels

Consider cybersecurity throughout the whole lifecycle

The feedbacks from the field show that most organizations assess their third party’s cybersecurity level before contracting and include cybersecurity clauses into their contracts. Nevertheless, cybersecurity is not always taken into account thereafter.

We recommend integrating cybersecurity throughout the whole third-party lifecycle by empowering them and adopting a control position.

Third party management lifecycle

During contractualisation

Before the contract signature, the objective is to ensure that the supplier chosen by your business meets your cybersecurity requirements. To do so, we advise you to integrate cybersecurity at each step of the supplier selection process:

• Include your cybersecurity requirements in your Request For Proposals;
• Assess the maturity level of the suppliers responding to your Request For Proposals;
• Provide a cybersecurity recommendation to your business according to the project sensitivity and the risk implied by the third party,
• Include in the contract cybersecurity requirements adapted to the criticality and the type of service delivered.

 During the contract period

 To ensure your third parties respect their cybersecurity commitments throughout the contract period, we advise to:

• Integrate your third parties into your risk analysis when they operate on the scope of a project. For instance, the methodology allows you to identify all the stakeholders involved in a project and to define an action plan to secure and monitor your ecosystem. The implementation of the security measures must be followed-up with the third-party;
• Organize cybersecurity reviews at a frequency adapted to the risks and thus the level of classification. For instance, the most critical third parties can be reviewed at least annually while the less critical ones can be reviewed at contract renewal;
• Define a process dedicated to cybersecurity incidents involving a third party and create emergency instructions;
• Perform audits only when necessary (for instance following a major cybersecurity incident or after identifying a critical risk…)

At the end of the contract

 A contract renewal is an opportunity to perform a new assessment of the third-party cybersecurity posture and if necessary, update the contractual requirements.

If the contract ends, you must apply your reversibility clauses and ensure that cybersecurity is part of the decommissioning of the service provided.

Industrialize third parties’ assessments thanks to market solutions

We observe that many organizations assess and monitor the cybersecurity level of their third parties with proprietary and non-automated questionnaires that require many external resources. In addition, big-sized suppliers may refuse to complete these questionnaires while smaller ones may not always answer correctly.
Furthermore, we also notice that few organizations have yet adopted a mass assessment approach.

In order to rationalize the approach, we therefore suggest giving-up these historical assessment tools to adopt solutions adapted to the supplier classification level and thus be able to scale up.

For the most critical third parties

We advise you to adopt a co-constructive approach with your most critical suppliers, while adopting a position of control. This translates into the following actions throughout the lifecycle:

• Assess your most critical suppliers based on their cybersecurity certifications and compliance reports on the scope of the service provided;
• Define a contractual Security Assurance Plan to precise the security governance of the service;
• Organize security reviews (at least once a year) to control the security level of your suppliers based on the indicators defined in the Security Assurance Plan (maintaining certifications, security incidents, audits, security roadmap…). These committees are also an opportunity to build a relationship of trust with your suppliers, for example by discussing security news and events as well as the conferences that you could do together.

For third parties with a medium to low criticality

In order to take a massive approach in assessing and reviewing the cybersecurity level of your non-critical third parties, market solutions can be used. Indeed, editors and startups (such as CyberVadis, CyberGRX, Risk Ledger…) are positioned on the industrialization of third party’s cybersecurity assessments. This will be the topic of one of our next articles.

Their solutions are based on maturity questionnaires whose results are shared with all their customers. More concretely, these platforms work as follows:

Third party maturity assessment platforms

Although these solutions are currently not customizable according to your organization’s specific requirements, they will allow you to:

• Get cybersecurity assessments tailored to non-critical third parties;
• Reduce the workload of your cybersecurity teams;
• Share third-party assessments with other customers and therefore be able to quickly access assessments already performed;
• Adopt a win-win approach with your suppliers who will share a single questionnaire with all their customers and will be proposed action plans to remedy any discrepancies;
• Popularize third-party cybersecurity management to your business or purchasing teams thanks to didactic scores on different topics.

Ensure the effectiveness of your third-party cybersecurity management process

From business to IT project managers and including purchasing and legal teams, third-party cybersecurity management involves many players in your organization. It can only be successful if your process is well-known and applied by all. Therefore, it is key to train and raise the awareness of all stakeholders.

To ensure that your process is properly implemented, it is important to define and implement controls covering all stages of the supplier management life cycle. As a first step, we recommend that you define realistic targets by focusing on your most critical third parties. Over time, these targets may evolve to consider your suppliers with lower levels of criticality. Your controls may include the classification of your third parties, their assessment and their review at an appropriate frequency during the contract period.

Integrate third-party cybersecurity management in a “Know Your Supplier” approach

Just as the KYC (Know Your Customer) approach in B2C sectors, we suggest that you include third-party cybersecurity management in a KYS (Know Your Supplier) spirit where the objective is to take all supplier risks into account in a consolidated way.

Cybersecurity assessments and notably maturity assessment platforms can be integrated within supplier management tools (source to contract), as well as financial, CSR, environmental impact, anti-corruption and anti-money laundering assessments. This will ease the integration of cybersecurity into your sourcing and supplier review processes.

See you next episode for an article about market solutions that automate the cybersecurity assessments of your suppliers.

Cet article How to define an effective third-party cyber risk management strategy? est apparu en premier sur RiskInsight.

Fifteen years ago, when we first started working on SOC implementations for our clients, defining a roadmap was simple: set up a tool, then collect and analyze the logs of security equipment and critical/exposed assets.

However, new challenges linked to the IS decentralization, the evolution of an ever-evolving threat and the crisis we are going through (teleworking, reduction in cybersecurity budgets…) must make us realize that the SOC must reinvent itself.

Involve (really) everyone!

By rewriting the story from the beginning, the SOC is managed by the cybersecurity population, which has therefore set up monitoring mechanisms on cybersecurity equipment with cybersecurity use-cases. The result is mixed, it works quite well, and the figures from our CERT benchmark are there to prove it: 167 days on average to detect an incident!

The first detection strategies were obviously defined, challenged and validated by the cybersecurity industry. Their objective was to increasingly extend the surveillance perimeter by collecting more and more logs (firewalls, WAF, …) and setting up new surveillance equipment (SIEM, probes, …).

This first observation was inevitably found in the majority of our SOC audit conclusions: objectives are poorly defined and not aligned with the expectations of SOC clients (CISOs, CIOs, business functions), leading to a loss of trust and credibility.

Striking examples can explain this feeling: lack of SLAs, poorly defined perimeter, too raw reporting that is too raw, non-contextualized and containing erroneous information.

If you do not want to redefine your SOC strategy once again in a one-sided way, organizing a seminar is the right exercise to establish a new starting point. All the stakeholders must be present (cybersecurity teams, CIOs, SOC clients, …) and the goal is to address the main issues:

• Redefining objectives: concentrating surveillance on much smaller perimeters that are both technically and humanly feasible
• Clarifying governance: redefining the positioning and role of the SOC in the organization
• Redesigning reporting: sharing customer misunderstandings in order to provide the right level of information.

We have seen that this step, which is essential to the renewal of the SOC, enables an entire ecosystem to be federated around a common target.

Give priority to quality over quantity!

Paradoxically, although the attack area of the IS has significantly increased, the priority is indeed to restrict the surveillance scope to focus on what is really valued.

Firstly, once the functional perimeter of surveillance has been redefined and validated by all, the SOC mission is to technically translate these new objectives into detection scenarios in the tools. There is no need to reinvent the wheel, because new frameworks such as MITRE ATT&CK now allow the different types of attacks to be clearly identified and materialized (techniques used, examples/references and suggestions for detection). The objective is obviously not to be able to cover all the techniques that can be used (330 in total) but to prioritize the efforts on what will allow the objectives to be achieved.

In addition, an HR observation was also raised in most of our audits: teams lack motivation, experience and autonomy to bring added value to operations.

This leads to a high turnover because some tasks are considered uninteresting. The objective is to concentrate human effort on what really brings added value. We have assisted many customers in the implementation of SOAR (Security Orchestration, Automation and Response) tools to automate repetitive tasks of the teams in charge of analysis and reaction. These tools are extremely effective in automating the processing of common, very annoying attacks (ransomware, phishing…) which account for a large proportion of alerts.

Once these measures are in place, the teams can then be mobilized on activities with higher added value such as the implementation of automation tasks or Threat Hunting activities.

And now, improve and challenge each other continuously!

Once all the foundations are in place to breathe new life into your SOC, how do you stay up to date?

The answer to this question would have been complex 5 years ago, but many recognized standards now allow us to assess the maturity of the SOC in a continuous improvement process. SOC CMM is the perfect example, as this framework enables self-assessment based on a set of precise questions addressing all the issues in terms of tools and organization. This methodology has enabled us to support customers on many before/after comparisons.

Red Team or Purple Team operations are also excellent ways to challenge the systems put in place in relation to the defined objectives. These exercises highlight concrete examples of vulnerabilities as well as precise recommendations to remedy them. In addition, the MITRE ATT&CK Framework can be used to consolidate the tests carried out by type of attack, as well as their results.

These various initiatives do not provide an exhaustive overview of the problems that SOC are currently facing, but they do highlight our main findings: an isolated SOC, poorly configured tools and demobilized teams.

The exercise of redefining a SOC strategy is a great opportunity to re-mobilize an entire ecosystem under the same banner. This initiative helps to give new meaning to both operational teams and all the stakeholders in the SOC activity. So… let’s do it!

Cet article The SOC died of boredom, fatigue and poor positioning? Find out how to resuscitate it! est apparu en premier sur RiskInsight.

After having made several dozen speeches to executive committees, audit committees and boards of directors, I wanted to share with you the essential steps for advancing the relationship over the long term. The first phase of this trip should make it possible to create an initial contact and raise the EXCOM’s awareness on cybersecurity issues. First step, awareness! The objective for these sessions is often to manage to attract attention so as to be able to trigger further reflection within the organization. Later on, we will see the following steps: presenting a balance sheet, obtaining a budget, monitoring the progress on the security level…

An essential prerequisite, knowing where you are starting from and who you are going to deal with

This may seem like a cliché, but it is certainly the most important element before going to meet an executive committee or a board of directors. Thanks to its wide media coverage, cybersecurity is often already present in executives’ minds. But their degree of digital literacy and their level of appetite for the topic can completely change the way the topic is raised. Will it be necessary to be very didactic (going so far as to re-explain the principle of data, applications, if any) or will it be necessary to immediately address complex points such as the latest attacks observed and their methodologies? You would be surprised to see the diversity of levels between companies, but also within the same EXCOM. And it is necessary to interest each of the stakeholders, at the cost of having comments that are not very helpful during the intervention.

It is therefore important to prepare this first meeting by talking with other members of the ECOM their deputies or with people familiar with this forum to determine the tone to be adopted and the level of the speech to be given. Obviously, the operating rules will also have to be known: is it common for questions to be asked as they arise? Can a member be questioned? Should subjects relating to the company be raised from the outset? Plan to clear the ground upstream! And even if there is no perfect recipe, I will give you below the elements I use most often to make these meetings useful and effective.

To start, draw the attention by revealing the behind-the-scenes of an attack…

The topics quickly follow one another during the EXCOM. The directors think very, very quickly, so it is necessary to be concrete and to give food for thought and experience. The element that I find most effective consists in presenting a recent attack, published in the press or having affected the sector, and deciphering the stakes and the background: what is the timeframe? what motivation for the attackers? what weaknesses in the company? what is the reaction internally? publicly? with the authorities? This will have the effect of mentally projecting the directors concerned into their role as if they were going through the same thing. We at Wavestone are fortunate enough to frequently manage major cyber crises and we use these elements, both as a benchmark but also by anonymizing them or in agreement with the victims, to give a very concrete meaning to our feedback.

Follow-up with a generalization about cybercrime

An case is good to understand, but it doesn’t explain everything! After zooming in on a case, it is a question of generalizing it by explaining what are the mainsprings cybercriminality ways of proceeding. We then analyze the motivations of criminal groups, their organizations, but also and perhaps above all how they make money!

For an EXCOM to know that it is a DDoS attack or ransomware that has done damage is of little interest, it is especially important to show them that cybercriminal activities are profitable, even very profitable. We have calculated the ROI of several types of attacks and I can tell you that when you explain a 600% profitable attack like a ransomware, the eyes of the directors are wide open. We then highlight very concretely why their structure could be attacked and especially how much money the criminals would make. This often puts an end to the question “but why would we be targeted by an attack? We’re not known/we’re small/we don’t do anything strategic”.

Explain the company’s current situation in concrete terms

This is the right time to present the company’s IT posture and its current organization in terms of security. It is then a question of presenting it simply, with clear and meaningful images: are you rather in an old-fashioned “fortress” model? Or have you already opened your doors as a result of the digital transformation and have you adopted a porch model where security is reinforced the further you go towards critical systems? This will help to make the situation more concrete.

After this phase of mobilization and explanation, comes naturally the phase of questioning by the members of the executive committee. “But then, where are we now, or are we facing this risk of a cyberattack? ». Faced with this question, either you are lucky enough to have a detailed maturity assessment and you can present it immediately, or you can bring in initial qualitative or even partial quantitative elements and explain that today you need to have more visibility. The elements that speak for themselves are the latest audit reports, the latest incidents, budgetary elements.

If it is difficult at the beginning of the process to talk about the budget and to compare oneself because of a lack of data, it is possible to use a simple and effective indicator, that of your staff dedicated to cybersecurity. We have a database on this point and we can quickly show a EXCOM where it is just by mobilizing its HR. It’s simple and effective to convince them!

Don’t leave emprty-handed

The major risk of this awareness is that everything goes well but nothing moves. Indeed, you may have a positive message, “thank you and see you in a year for an update”, you will be happy but you will not have helped cybersecurity situation moving forward. It is then necessary to prepare the next step by indicating from this presentation the main points of weakness or strength felt and how you would like to evaluate them more precisely.

Indeed, the second step is often the realization of a dedicated maturity assessment in order to know how to position yourself! If at this point the meeting has taken place, the EXCOM, intrigued and interested in the topic, will want to know more and will give an agreement in principle. Beware that this may not be a budget directly, it will certainly refer you to the CIO or the Risk Director to get it, but with their agreement you will have a great lever to move on to the next step! See you on the next episode.

Cet article Creating a relationship of trust with the EXCOM: first step, raising awareness! est apparu en premier sur RiskInsight.

Identification and mapping of key processes

Let’s start with a definition from the regulator: the European Central Bank defines cyber-resilience as the ability to protect oneself and to quickly resume activities in the event of a successful cyber-attack. This definition has led many companies to adopt a 360° vision on the topic (prevention, crisis management, reconstruction, business continuity, etc.) through the prism of a concrete cyber-attack on key business processes. The novelty lies above all in the fact that all the analysis is focused on critical business chains, even though it is still necessary to know them. Identifying and mapping key processes is often the most complex part of a Cyber Resilience Program. Unfortunately, there is no systematic method: a list drawn up by the Risk Department, a decision by the Director of Operations, recycling of business impact analyses (BIA), criteria established during regulatory audits, etc. One thing is certain, this list cannot be drawn up by the cybersecurity team in its own corner and requires the involvement of the business lines as early as possible in the process.

Analyzing the cyber-resilience of a business chain: the A.R.M. method

The cyber-resilience of a business chain can be improved by acting on several parameters: 1/ avoidance of the attack, 2/ rapid reconstruction, 3/ maintenance of business activity during the attack. As a result, many companies have structured their Cyber Resilience Program around 3 indicators: A (AVOID), R (RECOVER) and M (MAINTAIN), making it possible to target one threat at a time. Of course, most current initiatives are working on Ransomware scenarios (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID

The first step is to assess the level of resistance of business chains to the feared cyber threats. The ATT&CK Framework is increasingly used here and this indicator can simply correspond to the percentage of techniques used by the attacker against which the business chain is protected (for example, the chain is protected against 60% of the attack techniques used by the ransomware groups of the moment). The level of assurance required differs from one company to another: even if most companies still work via self-declaration, it is possible to integrate a review of evidence or Redteam audits into the approach to make the results more reliable.

R – RECOVER

The second step requires assessing the reconstruction time of the business chain in the event of an attack (for example, the chain can be reassembled in 9 hours after a ransomware attack). This time can obviously be different from one attack to another: destruction often restricted to Microsoft systems, possibility to use backups or not, integrity checks necessary after reconstruction, etc. This requires a detailed analysis of the impacts of each attack studied. Be careful, when mapping, it is necessary to consider the reconstruction of ALL the assets impacted by the attack. It is often observed that a few specific assets can double or triple the overall reconstruction time. Here again, the level of insurance required differs from one company to another: it is possible to work on paper, but the real reconstruction test is clearly the best option for reassurance.

R – MAINTAIN

The last step requires assessing the ability of the business lines to work in a degraded mode before returning to normal. This is a purely business indicator, which obviously differs from one sector and chain to another: it can be a question of transactions, reception of parcels or number of passengers depending on the sector and the chosen chain. To calculate it, it is necessary to work with the business on the assumption of long-term unavailability of the critical chain and to evaluate the percentage of the activity that can be delivered in another way. To understand the approach in a theoretical, and deliberately provocative way: does a business process vulnerable to a cyberattack, but whose activity can be maintained without an IS for a few days, really need to increase investments in cybersecurity? This is the type of topic that a Cyber Resilience Program must be able to arbitrate.

Most Cyber Resilience Strategies and Programs on the market obviously embrace this recurring assessment phase, adding over the years cyber threats and business chains to be analyzed. At the same time, they are managing a series of cybersecurity, IT and business projects to increase the level of resilience. The most mature Programs also maintain catalogs of solutions to speed up the process and improve the scoring of the various business lines (data safes, standardized backups, market partnerships, shared business fallback solutions, etc.).

As we have seen, a cyber-resilience strategy involves multiple skills: the cybersecurity department to select threats and assess the robustness of chains, the business lines to select critical chains and work on business continuity, IT and the Business Continuity Plan (BCP) for crisis management and assessment of reconstruction capacities. The best solution is to host this type of Program directly at the Operations Department level, in order to influence all these channels. However, these Programs are currently structured at the level of the CISO or the Risk Management Department. The key in this case is to deploy effective governance that allows all stakeholders to remain within their area of expertise.

Cet article Cyber-resilience, an opportunity to bring cybersecurity and business closer together est apparu en premier sur RiskInsight.

Après avoir réalisé plusieurs dizaines d’interventions auprès de comité exécutif, de comités d’audit ou de conseil d’administration, je souhaitais partager avec vous les étapes essentielles pour faire progresser la relation dans la durée. La première phase de ce voyage devra permettre de créer un premier contact et à sensibiliser le comité exécutif aux enjeux de cybersécurité. Première étape, la sensibilisation ! L’objectif pour ces séances est souvent d’arriver à attirer l’attention pour pouvoir déclencher une réflexion plus approfondie dans l’organisation. Nous verrons plus tard les étapes suivantes : présenter un bilan, obtenir un budget, suivre la progression du niveau de sécurité…

Un pré-requis essentiel, savoir d’où l’on part et avec qui l’on va échanger !

Cela peut apparaitre comme un poncif, mais cet élément est certainement le plus important avant d’aller rencontrer un comité exécutif ou un conseil d’administration. Grâce à sa large couverture médiatique, le sujet de la cybersécurité est souvent déjà présent dans l’esprit des exécutifs. Mais leur degré de connaissance du numérique et leur niveau d’appétence pour le sujet peuvent changer complètement la manière d’aborder le sujet. Faudra-t-il être très didactique (en allant jusqu’à réexpliquer le principe de données, d’applications, si si) ou alors faudra-t-il tout de suite aborder des points complexes comme les dernières attaques observées et leurs méthodologies ? Vous seriez surpris de voir la diversité des niveaux entre les entreprises, mais aussi au sein d’un même COMEX. Et il est nécessaire d’intéresser chacun des acteurs, au prix d’avoir des commentaires peu amènes pendant l’intervention.

Il s’agit donc de bien préparer cette première réunion en échangeant avec d’autres membres du COMEX, leurs adjoints ou avec des personnes familières de cette enceinte pour déterminer le ton à adopter et le niveau du discours à tenir. Evidemment, les règles de fonctionnement devront aussi être connues : est-il courant que les questions soient posées au fil de l’eau ? Peut-on interpeller un membre ? Doit-on évoquer dès le début les sujets relatifs à l’entreprise ? Prévoyez de déminer le terrain en amont ! Et même s’il n’y a pas de recette parfaite, je vous livre ci-dessous les éléments que j’utilise le plus souvent pour faire de ces rencontres des moments utiles et efficaces.

Pour commencer, attirer l’attention en dévoilant les coulisses d’une attaque

Les sujets s’enchaînent rapidement durant les COMEX, les directeurs réfléchissent très très vite, il faut donc très rapidement être dans le concret et donner de la matière à réflexion, du vécu. L’élément que je trouve le plus efficace consiste à présenter une attaque récente, parue dans la presse ou ayant touché le secteur, et en décrypter les enjeux et les coulisses : quelle temporalité ? quelle motivation pour les attaquants ? quelles faiblesses dans l’entreprise ? quelle réaction en interne ? publique ? avec les autorités ? Cela aura pour effet de projeter mentalement les directeurs concernés dans leur rôle s’ils vivaient la même chose. Nous avons la chance chez Wavestone de gérer fréquemment des grandes crises cyber et nous utilisons ces éléments, à la fois sous forme de benchmark mais aussi en les anonymisant ou en accord avec les victimes, pour donner un sens très concret à nos retours d’expérience.

Enchaîner avec une généralisation sur la cybercriminalité

Une attaque, c’est bien mais ça n’explique pas tout ! Il s’agit après avoir zoomé sur un cas de le généraliser en expliquant quels sont les ressorts du fonctionnement de la cybercriminalité. Nous analysons alors les motivations des groupes criminels, leurs organisations, mais aussi et peut être surtout comment ils gagent de l’argent !

Expliquer concrètement où en est l’entreprise

C’est le bon moment pour présenter la posture IT de l’entreprise et son organisation actuelle en terme de sécurité. Il s’agit alors de la présenter simplement, avec des images claires et parlantes : êtes-vous plutôt dans un modèle « château fort » à l’ancienne ? Ou avez-vous déjà ouvert vos portes suite à la transformation numérique et avez-vous adopter un modèle porche de l’aéroport ou la sécurité est renforcée plus on va vers des systèmes critiques ? Cela permettra de concrétiser la situation.

Après cette phase de mobilisation et d’explication, vient naturellement la phase d’interrogation par les membres du comité exécutif. « Mais alors nous, nous en sommes ou face à ce risque de cyberattaque ? ». Face à cette question, soit vous avez la chance d’avoir un bilan de maturité fin et vous pouvez tout de suite le présenter, soit vous pouvez amener des premiers éléments qualitatifs voire quantitatifs partiels et expliquer qu’aujourd’hui vous avez besoin d’avoir plus de visibilité. Les éléments qui parlent sont les derniers rapports d’audits, les derniers incidents, des éléments budgétaires.

 

S’il est difficile au début de la démarche de parler budget et de se comparer car les données manquent, il est possible d’utiliser un indicateur simple et efficace, celui de vos effectifs dédiés à la cybersécurité. Nous disposons d’une base de données sur ce point et nous pouvons rapidement montrer à un COMEX où il en est rien que par sa mobilisation sur le plan RH. C’est simple et efficace pour les convaincre !

Ne pas repartir bredouille

Le risque majeur de cette sensibilisation, c’est que tout se passe bien mais que rien ne bouge ! En effet, vous pouvez avoir un message positif, « merci et rendez-vous dans un an pour une mise à jour », vous serez content mais vous n’aurez pas débloqué pour autant la situation. Il faut alors bien préparer l’étape d’après en indiquant dès cette présentation les principaux points de faiblesses ou de force ressenti et de quelle manière vous souhaiteriez les évaluer de manière plus précise.

En effet la deuxième étape est souvent la réalisation d’un bilan de maturité dédié pour bien savoir comment se positionner ! Si à ce moment, la réunion s’est déroulé, le COMEX intrigué et intéressé par le sujet voudra en savoir plus et donnera un accord de principe. Attention cela ne sera peut-être pas directement un budget, il vous renverra certainement vers le DSI ou le directeur des risques pour l’obtenir, mais vous aurez avec leur accord un levier formidable pour passer à l’étape d’après ! Rendez-vous au prochain épisode.

Cet article Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation ! est apparu en premier sur RiskInsight.

Defining a cybersecurity strategy in a large company

The name is not always the same: master plan, security model, action plan, roadmap but the basic idea is always to set a set of projects that will allow to converge towards a 3-4 year security target, shared and understandable by the top management. 15 years of master plans means 15 years of introductions based on accelerating the threat, tightening regulations, accompanying transformations; the reasons for establishing a cyber strategy are still globally the same. The method for designing a cyber master plan has evolved considerably.

10-15 years ago, life was simple.

A master plan could be constructed in a few interviews with the ISSR and his team, “according to experts”. To provide a logic, consultants would base themselves on a pictorial model such as a fortified castle or an airport, which served as a pretext for setting up the fundamentals and explaining the choices. The attacks still seemed remote, the cyber was less dispersed than today and all the master plans were more or less the same. With a little hindsight, these cyber strategies above all had a great real role in raising awareness / training top management, who were gradually involved in the choices and discussions.

In 2021, the context has changed a lot. It is no longer enough to say “expert opinion”: some major accounts are now investing hundreds of millions of euros a year in cybersecurity, and executive committees are demanding more evidence of the effectiveness of the strategy deployed. All the more so since the “fundamentals” (patching, bastion, etc.) are now supplemented by an arsenal of measures, each more specific than the last, which raise questions about the relevance of a single strategy for a large company. It is clear, for example, that between a retail bank focused on the leakage of customer data and an investment bank fearing unavailability of certain trading channels, the priorities are different. The current crisis is certainly likely to reinforce this trend: strategies must now be much more finely tuned to the business lines.

A pragmatic and agile strategy, aligned with business priorities

The first months of work are always devoted to the method that will bring rigour and credibility with management and regulators. Very concretely, it is a question of defining the company’s Cyber Framework and a method enabling each entity to define its Target Profile (target to be reached on the Framework). Differentiated strategy for each entity.

Large companies no longer have questions about the Framework and NIST has established itself as the market leader. The 5 functions (identify, protect, detect…) speak volumes to management and above all its popularity favours the Benchmark. The frameworks chosen do not matter anymore, as long as they are based on a market reference. It should be noted that most companies do not hesitate to specify controls to make them more pragmatic: EDR, SOAR, AD security, anti-fraud; the Framework simply acts as a library of potential controls on which the company will base its strategy.

In large companies, the Group often imposes a first level of security for all, corresponding to the pursuit of fundamentals: SOC, bastion, patching, etc. Most systemic attacks still exploit these weaknesses, and the risk of inter-entity propagation must be managed in a cross-functional manner. This common target is quite similar from one company to another and is generally established on the basis of benchmarks provided by the consulting market. More challenging, each entity is then led to define its own target, according to its own stakes. Beware, the mapping and weighting mechanism between the Framework controls and the risk mapping can be complex. The key is often to get out of the cyber sector and work jointly with the Risk Department.

The must-haves of the moment: AD and IAM security

The figures resulting from the cyber strategies of major French companies are important: 10-20M of investment on average per year in the industrial sector, and up to 100-150M per year for Financial Services. Each strategy is different but recent feedback shows that budgets are fairly evenly balanced between 4 types of projects:

1. Security foundations (patching, awareness, director security, etc.)
2. Protection of sensitive environments (LPM, AD security, data protection, etc.)
3. Zero-trust convergence (inventories, IAM, risk-based authentication, compliance, etc.)
4. Cyber-resilience (detection, crisis management, reconstruction, business continuity, etc.).

A few years ago, the NCS and the LPM were definitely emerging as the top priority topics. Today, they are very much in competition with Active Directory security and AMI.

Cyber strategy is an essential tool for setting the course, federating actions, and involving management. However, establishing a multi-year master plan is a great opportunity to get teams on board around a common goal. Some security departments have grown from a few dozen people to several hundred or even thousands in the space of a few years, and many employees are currently looking for a meaning in their role. One should take advantage of this “moment” that is the creation of the strategy to create aspiration, enthusiasm, real team spirit in the sector. It is the ideal moment to multiply the work groups, involve as many employees as possible, adopt a transparent approach, have the top management challenge the teams; in short, turn this strategy construction into a sector event.

Cet article Defining a cybersecurity strategy in a large company est apparu en premier sur RiskInsight.

DIFFERENT STRATEGIES TO safeguard AGAINST DEEPFAKES

Concurrently with the legal framework, public and private organisations get organised to put forward solutions allowing to detect and prevent the malicious spread of deepfakes. We can distinguish four strategies to safeguard against deepfakes.

1/ Detecting the imperfections

Detecting the deepfakes by their imperfections is one of the main existing methods. Some irregularities remain in the generated contents, such as the lack of blinks and of synchronisation between the lips and the voice, distortions of the face and accessories (arms of the glasses), or the inaccuracy of the context (weather, location).

The deepfakes are however built to learn from their mistakes and generate a content that is increasingly alike the original, making the imperfections less perceptible. The tools using this deepfake detection strategy can be effective but require a constant improvement to detect ever more subtle anomalies.

We can cite in this category Assembler, a tool intended for journalists developed by Jigsaw (branch of Alphabet, parent company of Google). It enables to verify the authenticity of contents through their analysis via five detectors, amongst which the detection of anomalies of patterns and colours, of copied and pasted areas, and of known characteristics of deepfakes algorithms.

2/ Screening and comparative analysis

Comparing the contents with a database of authentic content or by looking for similar content on search engines to see whether they have been manipulated (for instance, by finding the same video with a different face) is another strategy allowing to pre-empt deepfakes.

In 2020, the AI Foundation should make available a plugin, Reality Defender, to integrate to web browsers and over time to social networks. It will allow the detection of manipulations of contents, targeting first the politicians. Users will be led to adjust the sensitivity of this tool, according to the manipulations they will want to detect or not, not to be notified for every manipulation of content, notably for the most ordinary manipulations (photo retouch on a web page done on Photoshop for example).

3/ Watermarking

A third method consists in marking the contents with a watermark, or digital tattoo, to facilitate the authentication process by filling in their source and following the manipulations undertaken on these contents.

A team from the New York University works on a research project to create a camera embedding a watermarking technology meant to mark the photographed contents, in order not only to authenticate the original photography, but also to mark and follow all the manipulations carried out on it throughout its lifecycle.

4/ Involving the human factor

Involving the users in the detection process allows both mitigating deepfakes’ impacts by making them realise that the alteration of the acceded contents is possible, and to reduce deepfakes’ occurrence by allowing them to report the ones they suspect.

The plugin Reality Defender already mentioned will give users the possibility to report the contents they judge as fake so as to inform the other users – which once added to the analysis realised by the tool, will be able to see if the contents have been reported by other users, offering a second level of indication.

Some initiatives carried by cooperation of cross-sector actors combine these four strategies for a maximal efficiency against deepfakes. Some are already used or tested by journalists. It is the case of InVID, initiative developed within the scope of the European Union Horizon 2020 program of financing of research and innovation, used by the French press agency (AFP).

Solutions and strategies are therefore emerging, the market is developing, and new innovative solutions should appear very shortly with the results of the Deepfake Detection Challenge. This contest anti-deepfake was launched by Facebook upon the approach of the American presidential election, and more than 2,600 teams signed up. Results the 22^nd of April!

Below a table presenting examples of initiatives combining different strategies to safeguard against deepfakes.

Different means to protect one’s activity

The risk deepfakes present for businesses is genuine, and a few actions can be taken to protect one’s activity and mitigate its impacts from now on.

• Estimating the exposure: The use cases of deepfakes and the worst-case scenario of their use must be determined on the perimeters of the company, taking the fraud and undermining risks into consideration, and identifying the appropriate security strategies.

• Raising awareness: The collaborators must be made aware of the detection of deepfakes (to avoid the cases of fraud) but also of the limitation of shared contents on social media that can be reused to create deepfakes (to avoid the undermining). Just like anti-phishing campaigns, this awareness campaign focuses both on the detection of technical faults (form) of the deepfakes (although they will be led to disappear with the improvement of techniques), but mostly on the detection of the suspicious nature of information (content), encouraging the audience’s suspicion, cross checking of information and notification of the suspicions to the appropriate teams (what to do if I see a suspect video of my head of communications on the social networks during the weekend? What to do if I receive a vocal message of my chief asking me to execute a punctual operation that is slightly out of my perimeter?).

• Adapting the verification processes: The existing anti-fraud plans can be redesigned to be applied to deepfakes. For instance, for a Fake President fraud via deepfakes, one of the recommendations is to suggest to the interlocutor to hang up and call him back (if possible on a known number, and after an internal check). For the most sensitive fraud scenarios, these reaction processes must be finely defined, and the concerned collaborators regularly trained to the reflexes to adopt. Tools such as the ones defined earlier can also be used to verify all or any part of the media used by the collaborators.

• Protect the contents: The contents representing collaborators shared internally or externally by the company can be controlled to avoid them being reused to generate deepfakes. Businesses can limit the diversity (angle of the people and types of media) of the data potentially usable by malicious actors, and play on the digital quality (definition) of the shared contents. In fact, the more the malicious actors benefit from diverse and good quality contents representing the collaborators, the more it facilitates their reuse to generate deepfakes. Moreover, businesses can limit their means of communication to an official channel, verified social networks and their official websites – which creates contents’ consumer habits for the audience, that will be suspicious of all diffusion out of these habits.

• Anticipate the crises: The communications requirements in the case of a proven incident linked to deepfakes must be anticipated, and the management of the deepfake case must include the “generic” communications scenarios addressed in the crisis communication plans.

Cet article Deep dive into deepfake – How to face increasingly believable fake news? (2/2) est apparu en premier sur RiskInsight.

The recent events linked to the COVID-19 outbreak have proven the necessity of acceding to reliable and true news for all the society. More than the epidemic, we have witnessed an « infodemic », rapid spread of false or misleading information on the social networks, raising the question of the trust given to the platforms relaying the news and of the authenticity of the information they pass on.

The use of deepfakes is a topical phenomenon affecting firstly the general public. It is inherently linked to the importance gained by the social and online media in our daily life.

In September 2019, we counted near 15,000 deepfake videos online, twice more than in December 2018. If 96% of these videos were pornographic deepfakes posted on specialised websites, the extent of the affected topics has however increased to reach all the famous social networks (YouTube, Vimeo, Dailymotion).  Amongst the deepfakes posted on YouTube, 20% already represented politicians, business owners and journalists[1]. Their disinformation power on the general public allows them to influence major political and societal events from the moment they star famous personalities.

Deepfakes keep getting better, while the tools to generate them become more accessible (such as Lyrebird, for the audio deepfakes, Zao, for face-swapping, and the most recent one, Avatarify, integrated to Zoom and Skype, for the video). Their harmful power weighs more and more not only on public actors and organisations, but also on private ones, and must be taken into account in every business sector.

A RISK WORTH CONSIDERING FOR BUSINESSES

Deepfakes can also be used against businesses. They offer a new playground for malicious actors, particularly through two means of action:

• The improvement of Fake president frauds, whose impacts and probability are increased by deepfakes. The fraud becomes more credible thanks to photos, videos and audios copying the person who is impersonated. The targeted collaborators therefore consider these contents as an authentication in itself of the interlocutor, and the chances of successful attacks are increased – which is an incentive to ask for larger sums. Besides, the tools to generate deepfakes being accessible to the large public, the use of these frauds by malicious people increases.
• The undermining of the business through relayed false information can strongly damage its image, leading to a certain number of consequences, notably financial and legal. We can wonder what would be the impacts of an ExCom member’s video speech sharing fake results or strategic orientations on the price of his firm’s share or on the trust of its prospects; or those of the disclosure of a product anomaly on the direct order intake. Moreover, denying the rumours is harder when deepfakes are used. Today, many businesses still feel afar from the subject: How many have already wondered what would the impacts of a deepfake be on their activities?

A legal framework IN PROGRESS

The states start putting together an answer to the deepfake concern and legislating to regulate their diffusion. Some countries such as China criminalise the diffusion of deepfakes without notifying the audience about it (since the 1^st of January 2020). In the United States, the treatment of the deepfakes’ question is speeding up as the presidential election of November 2020 approaches, and it is dealt with both at the federal level (bills prohibiting the diffusion of deepfakes in California, Virginia and Texas) and at the national one (the DEEPFAKE Accountability Act[2]  is being discussed by the Congress to “combat the spread of disinformation through restrictions on deep-fake video alteration technology”). In France, the question of deepfakes is included in the law of the 22^nd of December 2019, related to the fight against the manipulation of information – and is therefore not dealt with specifically.

These legal frameworks remain dawning and heterogeneous, and only represent one part of the answer to provide to this technology. More than condemning their malicious use, the issue is mostly to be able to detect and avoid them.

In this first part, we have given an overview of the risks presented by deepfakes for the businesses. In the second part of the article, we will focus on the technical and organisational means available today to safeguard oneself.

[1] Study published by Deeptrace in September 2019.

[2] Defending Each and Every Person from False Appearances by Keeping Exploitation Subject to Accountability Act.

Cet article Deep dive into deepfake – How to face increasingly believable fake news? (1/2) est apparu en premier sur RiskInsight.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

2018 a évidemment vu s’élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (LPM, NIS) ou sectorielles (NYS DFS, HKMA, MAS…) ont également rythmé l’année.

Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :

• Le maintien des ransomware en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;
• La multiplication des incidents de plus faible intensité que les ransomware massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;
• Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques MageCart touchant le cœur du fonctionnement des sites Internet.

Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.

Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2…), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes :  l’agilité, le cloud et l’API-fication des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.

Les 3 axes de la révolution du SI en 2019

Agilité : plus réactif, plus rapide, plus simple

Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité.  Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.

Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les Feature Teams pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des Product Owners portant des services de sécurité apparaîtront pour délivrer de la cybersécurité as a service au sein de l’organisation.

Cloud : sécurisé par défaut, multiple, automatisé

Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le Cloud-first, voire pour nos clients les plus avancés le Cloud-Only. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’Active Directory.

Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.

Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.

Le cloud, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, MFA, Identity Governance, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le cloud. Le multicloud basé sur 2 fournisseurs deviendra une priorité pour permettre la continuité des services.

API-fication : de multiples nouvelles portes d’entrée pour le SI

Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation DSP2, l’API-fication touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.

Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si l’API-fication pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme Google ou Facebook parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.

Si le RSSI veut reprendre en main le terrain de jeu de l’API-fication, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.

Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences

Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :

• Refondre la PSSI et la gouvernance. Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le cybersecurity framework du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;
• Revoir en profondeur les processus d’intégration de la sécurité dans les projets. Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS Risk Manager» par une approche combinant conformité et scénarios d’attaque ;
• Anticiper et s’adapter à une pénurie de talent récurrente. Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le cloud, l’instauration d’un cadre fort instaurant les principes de security by design permettront des limiter les efforts. De même, la création d’offres de services sécurité, le near voire offshoring pour des services standardisés peuvent être des solutions.

Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’empowerment (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.

Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI

• La cyber-résilience bâtie sur le cloud : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;
• Le SOC est mort, vivent les Fusion Centers regroupant des savoir-faire techniques et métiers, permettant d’appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de machine learning, le SOC pourra détecter les attaques plus finement et plus rapidement ;
• Le début de la fin pour les mots de passe : des initiatives comme le 0-password, le déploiement de FIDO2, la biométrie dans le cadre du 2FA ou encore la généralisation des coffres-forts permettent de l’envisager ;
• L’IA et le machine learning représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement…) dans les projets métier incluant de l’IA ;
• Les tiers et les fournisseurs sous microscope : de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme CyberVadis ou Risk Ledger abordent ce problème sous un angle neuf.

Faire de la sécurité un différenciateur vis-à-vis des clients de l’entreprise

Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.

En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le core-business.

Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :

• L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;
• Les opérateurs télécom, dont certains promeuvent leur nouvelle box avec des services de cybersécurité comme la détection de vulnérabilités ;
• Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.

Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.

Alors pourquoi pas vous ?

Cet article 2019 : Le RSSI au cœur de la révolution du SI est apparu en premier sur RiskInsight.

Strengthening crisis management

Cyber crises are specific: they are often long (several weeks) and sometimes difficult to grasp (what has the attacker been able to do? For how long? What is the impact?). Often, affected external parties such as lawyers, authorities, suppliers, and sometimes even clients themselves are not well-prepared on the subject matter. Thus, it is necessary to adjust existing plans that have not been designed to cater to the cyber threat aspects.

Even if they is an operational player in cyber crisis management, the CIO should not be over-utilized in either the investigation or the defense measures if it is detrimental to overall production and recovery. Anticipation of these kinds of measures is vital to the recovery effort.  It is necessary to clearly identify the teams which need to be mobilized to respond to the crisis in a timely manner, and to organize the parallel interventions on both the investigation and the construction of the defense plan.

Beyond the organizational point of view, the CIO will have to ensure that they also have the investigation tools (mapping, search for attack signature, independent crisis management IS, capability to analyze unknown malware, etc.), remediation tools (Capabilities to rapidly deploy technical corrections, fragmentation of the IS to save what could be saved, IS surveillance toolkit) and reconstruction tools (access to backup, access to minimal documentation, capabilities to deploy workstation) required to understand the position the attacker took in the IS, to repel it and to ensure it doesn’t return.

Writing a crisis management guide that defines the essential steps, the macro-level responsibilities, and the key decision points can be done as an added bonus. With that, it is essential to conduct crisis exercises to ensure readiness for when one actually occurs.

Here is a functional integrity control chain :

Rethinking continuity plans

Continuity plans have to evolve to adapt to cyberthreats. Sometimes, this means they may have to be completely rebuilt.

There are many possible solutions that can cover all types of continuity plans.

The user recovery plan, for example, can evolve to integrate USB keys containing an alternative system which could be used in case of logical destruction of employee workstations. Some organizations have also decided to provision an allotted number of workstations directly with their suppliers to have them delivered quickly in case of physical destruction.

The IT continuity plan, on the other hand, can include new solutions which could be efficient in the event of a cyberattack. The most publicized one aims to build “non- similar facilities” by duplicating an application without using the same software, operating system, or production teams. It is an extreme solution, very costly and difficult to maintain, but one that is considered for specific, critical applications in the financial industry – most notably, payment system infrastructure.

Other less complex solutions such as adding functional integrity control in the business process have also been considered. The concept relies on the implementation of regular controls, at various levels and at different places within the application chain (“multi-level controls”). This enables quick detection of attacks. An alert could be raised in case of an interaction with technical layers, such as a modification of a value directly inside a database, without passing through regular business workflows (via graphical interfaces), for example. In another case, these mechanisms can also be applied to infrastructure systems by reconciling admin account creation request tickets with the number of accounts really in the system.

As a more intermediate complexity level solution, it is possible to implement a “floodgate”, or as a system and network isolation zone. This floodgate – for example, the industrial IS – can be activated in the event of an attack and could isolate the most sensitive systems from the rest of the IS.

These, often major, evolutions must be part of an existing recovery strategy review so that one can assess their vulnerability and the interest of deploying new cyber-resilience solutions, particularly on the most critical systems. The evolution of Business Impact Analysis (BIA) to include this dimension can be a key first step.

Without cybersecurity, cyber-resilience is nothing

Implementing these new cyber-resilience measures requires significant efforts. Note that these efforts can be wasted if both these recovery solutions and the regular systems are not already appropriately secured and under detailed surveillance. The CISO is the key player to ensure that these often started but rarely finalized initiatives come to fruition. Help from the Risk Manager (RM), or the Business Continuity Manager (BCM) if such a position is in place, will be valuable. It is widely acknowledged today that it is impossible to secure a system 100%, which means that organizations have to accept the inevitability of an attack occurring, at which moment the RM or the BCM will make full use of their role.

Protect, detect, respond, remediate, and rebuild. These are the pillars of a strong cyber-resilience program which can only be attained if the BCM and the CISO roles combine their full range of capabilities and work hard, hand-in-hand!

Cet article Cyber-resilience: bend without breaking (2/2) est apparu en premier sur RiskInsight.

When confronted with a major cyber attack, whether destructive or leading to a loss of trust in vital systems, the first reaction of a majority of companies is to activate their business continuity plan (BCP). This strategic element of resiliency is enacted  to ensure the organization’s survival against disasters whose magnitude causes computing resources, communication infrastructures, buildings, and possibly even users to be unavailable.

Yet major cyber attacks, have not been taken into account when developing most BCPs, even though they can be as destructive in scale as either Wannacry or NotPetya, or, more often, lead to a loss of trust in the basic components of the infrastructure (network, access control, inventory, etc.). By Focusing on an availability agenda, organizations fail to address the issue arising from the simultaneous destruction or the loss of confidence in Information System (IS) caused by cyber attacks.

Moreover, these IS continuity plans are frequently intimately linked to the resources they protect and are equally affected by the attacks. For over a decade, continuity processes (either user fallback or IT recovery) have adopted principles of infrastructure pooling and “hot” recovery to cope with both rapid business recovery and the need for better operability.

In effect, this « proximity » between the regular IS and its recovery counterpart makes continuity plans vulnerable to cyber attacks.

What vulnerabilities in business continuity systems?

As an example, various dedicated and connected recovery stations of fallback sites were contaminated by NotPetya and were useless for the remediation.

Legacy « cold » recovery/emergency plans (often consisting  of activating a recovery system in case of incident) concern fewer and fewer applications, and the remaining ones are often secondary.

Unfortunately, when dealing with a deep compromise of systems, backups often onboard malevolent elements such as malwares, base camps, or modifications meticulously operated by attackers beforehand, due to the fact that intrusions go undetected for long period of time (detection often happens hundreds of days following the initial infection). Not to mention that the continuity of the backup systems themselves is often neglected. During the management of the NotPetya crisis, the backup management servers were also destroyed. Restoring them took several days, due to their complexity and nested nature within the information system; an ActiveDirectory was necessary to launch the restorations while the ActiveDirectory backup was a prerequisite to rebuild it.

The same findings hold for industrial IS. Industrial digital systems are resilient against technical breakdowns or anticipated mechanical incidents. However, they were rarely designed with the consideration of the possibility of human malice and as a result often lack advanced security systems. To compound on this, industrial IS has lifecycles of several decades which expose them to old vulnerabilities. Finally, the independence of control channels from the digital systems which they oversee is not always implemented.

Two illustrated major attack scenarii

Logical destruction or the unavailability of a large chunck of an Information System

Made real by attacks from true-false ransomware, Wannacry and NotPetya. This type of attack causes mass unavailability of services due to the encryption of data files and/or the operating system. The companies affected by this attack (Merck, Maersk, Saint Gobain, Fedex… as well as Sony Pictures and Saudi Amramco) lost up to 95% of their Information Systems (tens of thousands of computers and servers) in a timeframe that often lasts less than an hour. At the start of such crisis, the situation is highly difficult since there is no longer any means of communication or exchange mechanism within the affected company, including ISD. Victims have outlined losses of several hundred of million euros following these attacks.

A compromise and loss of confidence in Information Systems

It concerns a targeted attack does not challenge the proper functioning of the system. Rather, it aims to give attackers access to all of the company’s information systems (email and messaging, files, business applications, etc.) allowing them to steal the identity of any employee and carry out actions in their name. The attackers may then extract any type of data or carry out business actions which require several successive validations. These attacks affected a large number of companies across all sectors incurring massive fraud as a result, including the bank of Banglasdesh. These attacks also affected financial and payment data theft as was the case for several distribution groups in the United States including Target and Home Depot. The situation at the start of the crisis is complex since there is no confidence in the Information System and there is considerable uncertainty about what the attacker could do and their motives. It involves quietly investigating until being able to remove the attacker and rebuild a secure system. Victims affected by these attacks have also reported financial impacts worth several hundred million euros.

Cet article Cyber-resilience: bend without breaking (1/2) est apparu en premier sur RiskInsight.

Muscler la gestion de crise

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc nécessaire d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer la dimension cyber.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agira donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction de plan de défense.

Au-delà de l’aspect organisationnel, il faudra s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs ou de « vaccin », isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés sur le SI, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La définition d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Repenser les dispositifs de continuité

Les dispositifs de continuité doivent également évoluer pour s’adapter aux menaces cyber. Les solutions possibles sont nombreuses et peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certains établissements ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les délivrer rapidement en cas de destruction physique.

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyberattaque. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir, mais qui est envisagée pour certaines applications critiques dans le monde de la finance (notamment les infrastructures de paiement à caractère systémique).

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative (« multi-level controls »). Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau (« floodgate ») que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilience n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager (RM) – ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) – sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RM ou son RPCA prendra tout son rôle.

Cet article est issu de notre focus “Cyber-résilience : plier pour ne pas rompre“.

Cet article Cyber-résilience : plier pour ne pas rompre (2/2) est apparu en premier sur RiskInsight.

Face à une cyberattaque majeure, qu’elle soit destructive ou qu’elle entraîne une perte de confiance dans les systèmes clés, le premier réflexe pour une majorité d’entreprises est d’activer le plan de continuité d’activité (PCA). Celui-ci est un élément majeur de la stratégie de résilience des organisations ; afin d’en assurer la survie lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs.

Or les cyberattaques majeures, destructives comme Wannacry ou NotPetya ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) comme les attaques ciblées en profondeur (APT), n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers, focalisés sur un enjeu de disponibilité, n’appréhendent pas les problématiques de la destruction simultanée et de la perte de confiance dans le SI induites par les cyberattaques.

En effet, les dispositifs de continuité du SI, le plus souvent liés aux ressources qu’ils protègent, sont également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyberattaques.

Quelles vulnérabilités pour les dispositifs de continuité ?

À titre d’exemple, lors d’une intervention de crise suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée. Malheureusement ceux-ci avaient été détruits de la même manière que les sites nominaux car ils partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé à ce moment très vains.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI.

Malheureusement, en cas de compromission en profondeur, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments malveillants : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants. De plus, la continuité en tant que telle des systèmes de sauvegarde est souvent négligée. Lors de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes ont eux-mêmes été détruits. Les restaurer a pris plusieurs jours vu leur complexité et leur imbrication dans le SI (nécessité de disposer d’un ActiveDirectory pour lancer des restaurations alors que la sauvegarde de l’AD était nécessaire pour le reconstruire, reconstruction de l’index des bandes de sauvegardes détruit avec le reste…).

S’agissant des SI industriels, les constats sont tout aussi manifestes. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ne disposent souvent pas de mécanismes de sécurité avancés. Du reste, leur cycle de vie long (plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités parfois anciennes. Enfin l’indépendance des chaînes de contrôle (Systèmes Instrumentés de Sécurité, cf. encadré ci-après) vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours appliquée.

Des scénarios d’attaques majeures illustrés par des attaques récentes

La destruction logique ou l’indisponibilité d’une grande partie du système d’information.

Concrétisé par les attaques de vrai-faux rançongiciels Wannacry et NotPetya, ce type d’attaque entraîne une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par ce type d’attaque (Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h. La situation au démarrage de la crise est très difficile car il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes de plusieurs centaines de millions d’euros suite à ces attaques.

La compromission et la perte de confiance dans le système d’information

Il s’agit d’attaques ciblées qui ne remettent en pas en cause le bon fonctionnement du système mais qui visent à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…), leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi exfiltrer tout type de données ou réaliser des actions métiers demandant plusieurs validations successives. Ces attaques ont touché de très nombreuses entreprises dans tous les secteurs avec comme conséquences des fraudes massives, comme celles ayant touché la banque du Bangladesh, ou des vols de données financières et de paiements comme celles ayant touchés plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot. La situation au démarrage de la crise est complexe en raison d’une conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il s’agit alors d’investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes touchées par ces attaques ont fait état d’impacts financiers de plusieurs centaines de millions d’euros.

Cet article est issu de notre focus “Cyber-résilience : plier pour ne pas rompre“.

Cet article Cyber-résilience : plier pour ne pas rompre (1/2) est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

La transformation numérique : entre enjeu stratégique et menaces

La transformation numérique actuelle des entreprises se manifeste par une concentration et une circulation accrue de données. Ces dernières sont de plus en plus manipulées par des systèmes généralement non maîtrisés de bout en bout (big data, cloud, réseau social d’entreprise, etc.). Cette transformation numérique s’inscrit de plus dans un contexte d’allongement de la chaîne de prestataires et de partenaires (entreprise étendue), d’une mobilité et d’usages facilités (BYOD) et d’une attente forte d’immédiateté et de disponibilité de la part des clients et des collaborateurs. Concrètement cela engendre la mise en place d’outils transverses permettant de répondre à des enjeux d’agilité et de collaboration en cassant les silos entre les entités, mais avec des collaborateurs ou des clients peu formés aux nouveaux usages apportés.

Cette évolution rapide à laquelle aucun secteur d’activité n’échappe, entraine des risques qu’ils s’avèrent nécessaire d’identifier et de maitriser. Ces risques, loin d’être limités aux systèmes d’information, sont éminemment transverses et représentatifs de l’interconnexion existante entre les différents métiers.

Dans ce contexte, l’enjeu pour les directions en charge des risques (Juridique, Conformité, Risque, Contrôle Interne, Sécurité IT et Audit, etc.) est d’évaluer les risques liés à la transformation numérique et de garantir la continuité, la disponibilité ainsi que la protection des données et des applications.

La transformation numérique : révélateur et catalyseur des risques

La transformation numérique ne va pas générer de nouveaux risques mais va agir comme un catalyseur des problématiques déjà existantes. En effet, un tel programme va nécessiter de prendre en compte les besoins des métiers et de regarder les impacts potentiels (outils, processus métiers, etc.). Une lecture par les risques va permettre de faire resurgir toutes les problématiques et de réévaluer les risques et les dispositifs de couverture à la lumière du nouveau contexte.

L’identification des risques doit être accompagnée par la réalisation d’une cartographie des risques afin d’y intégrer les différentes problématiques concernées. En d’autres termes cela revient à regarder l’ensemble des risques qui pèsent sur la « donnée » dans ce nouveau contexte : compliance/juridique, sécurité, RH. À cela, peuvent également s’ajouter des risques d’image ou liés à la gouvernance.

Trois typologies de risques doivent être regardées avec une attention toute particulière :

Les risques réglementaires : l’identification des contraintes réglementaires sur la donnée

Depuis plusieurs années, les régulateurs ont commencé à s’intéresser à la manière dont les entreprises manipulent et sécurisent les données, ce qui a eu pour conséquence un renforcement croissant des contraintes réglementaires autour de ce sujet : nouveau règlement européen, durcissement du droit Russe, etc.

Compte tenu de cet environnement, les entreprises doivent identifier les réglementations auxquelles elles sont assujetties, les contraintes potentielles qu’elles peuvent générer et qui éventuellement ne sont pas respectées (partage de données bancaires ou de données industrielles hors du pays propriétaire, partage non encadré de données à caractère personnel hors de l’Union Européenne, etc.).

Une fois les contraintes identifiées, il est nécessaire de mettre en place les dispositifs adéquats pour y répondre : par exemple les Binding Corporate Rules (BCR) qui assurent une protection et une manipulation conforme des données à caractère personnel.

Les risques de sécurité SI : la sécurisation des données et des outils

Dans un monde digitalisé, les données peuvent être volatiles passant d’un outil à un autre facilement (emails, outils collaboratifs, applications mobiles, etc.). Il est donc nécessaire de formaliser un cadre clair (principes, règles, etc.) pour sécuriser l’information de bout en bout.

Au-delà du volet organisationnel et fonctionnel, il est également important de prendre en compte les contraintes d’architecture des systèmes d’information afin d’être en adéquation avec les enjeux de sécurisation (serveurs locaux, synchronisation ou non des données, enregistrement de population, etc.).

Les risques liés à la « conduite du changement » : l’évolution des dispositifs RH

La conduite du changement ne doit pas être limitée à la sensibilisation des collaborateurs sur les nouveaux outils ou les nouvelles modalités de travail. En effet, la transformation numérique peut avoir un impact profond sur le fonctionnement même d’une entreprise (management 2.0, mobilité, télétravail, Flex office, etc.). Il convient donc d’adapter les dispositifs RH existants et d’accompagner le collaborateur.

Par conséquent, un travail de formation et de sensibilisation doit être mené d’une part auprès des collaborateurs et des managers, mais également auprès des instances représentatives du personnel en les impliquant dès le départ dans le projet.

Traitement des risques liés à la transformation numérique : adopter une approche collaborative

Les risques liés à la transformation numérique embarquent une transversalité qui peut entrainer une difficulté lors de l’identification des porteurs et des actions à réaliser pour traiter lesdits risques. Cette difficulté est due à un périmètre des risques très large qui peut s’étendre sur plusieurs métiers ou sur plusieurs fonctions risques. Ainsi, il est nécessaire d’organiser une collaboration entre tous les acteurs pour prendre en compte cette transversalité et pour s’assurer in fine qu’il ne réside pas de zones de vulnérabilités pouvant être exploitées (cyber-attaque, fraude, indisponibilité, non-respect de la réglementation, etc.).

Cette collaboration doit être organisée à l’aide de quatre principes structurants :

• S’appuyer sur les programmes de transformation pour lancer les travaux sur les risques. En effet, les différents acteurs à mobiliser ont souvent peu l’habitude de travailler ensemble. Le « prétexte » d’un programme sur un sujet d’actualité doit permettre de créer une véritable dynamique,

• Réunir une équipe pluridisciplinaire composée de différentes fonctions et domaines d’expertises afin de confronter l’ensemble des points de vue,

• Accepter la remise en cause des dispositifs existants. La transformation numérique peut entrainer de profondes modifications dans l’organisation de l’entreprise, par conséquent, il peut également s’avérer nécessaire de faire évoluer le cadre normatif (dispositif de contrôle interne, nouvelles règles de gestion, etc.),

• Mettre en place une instance transverse afin de partager les avancements sur les travaux et disposer d’un niveau de validation nécessaire pour entériner les productions.

Aujourd’hui les entreprises s’appuient sur de nombreux référentiels pour aider l’identification et le traitement des risques (méthodologies internes, ISO 27005, ISO 31000, etc.).  Toutefois, le nouveau cadre que vient imposer la transformation numérique montre les limites de ces modèles qui ne prennent pas ou peu en compte la transversalité et les nouvelles connexions entre les métiers et les technologies. L’un des objectifs à venir pour les acteurs de la maitrise des risques est de faire évoluer rapidement les dispositifs et méthodologies existants afin de faire face à ces nouveaux enjeux.

Cet article Quels risques pour la transformation numérique ? est apparu en premier sur RiskInsight.

Un modèle de sécurité en château fort qui a atteint ses limites

Historiquement, le système d’information a été construit de manière à être isolé de l’extérieur via une muraille constituée des équipements de sécurité (pare-feu, reverse-proxy, DMZ etc.). Il repose  sur un espace de confiance quasiment unique, à l’intérieur du périmètre, avec un accès facile aux ressources de l’entreprise.

Par analogie, ce modèle historique est associé à un château-fort : entouré de murs renforcés, il dispose d’un seul point d’entrée surveillé mais ensuite le circulation est libre dans la la cité.

Ce modèle ne peut plus accompagner l’évolution des cyberattaques, plus précises et pointues. Elles savent viser directement le cœur du SI en pénétrant directement les ordinateurs des collaborateurs sans être arrêtées par la muraille, tel le cheval de Troie de la Grèce antique.

Ce modèle ne permet pas non plus de tirer tous les fruits de la transformation numérique. Celle-ci a amené les entreprises à changer fondamentalement leur conception du Système d’Information : elles sont passées d’un modèle fermé  vers l’extérieur à ouvert. D’un point de vue client et partenaires, certaines informations sont directement accessibles via Internet et les applications mobiles.  D’un point de vue du SI, l’externalisation est une réalité du quotidien, poussé encore plus aujourd’hui par le mouvement vers le cloud. D’un point de vue utilisateur, les collaborateurs utilisent de plus en plus d’outils personnels : BYOD, webmails personnels et applications personnelles sur les smartphones s’invitent dans l’environnement de travail. Toutes ces évolutions inéluctables rendent caduque la notion de périmètre.

Place à un nouveau modèle : l’aéroport

L’évolution du modèle de sécurité est donc nécessaire. Pour répondre à ces nouveaux enjeux, le modèle qui est aujourd’hui le plus adapté est celui de l’aéroport. Un aéroport est composé de zones d’accueil ouvertes au public permettant d’informer les clients ou encore de réaliser des ventes avec un niveau de contrôle minimum et adapté au contexte du pays. L’aéroport contient aussi des zones beaucoup plus sécurisées et en accès limité comme le tarmac ou les avions. Les contrôles sont de plus en plus poussés au fur et à mesure que l’on accède à des zones plus sensibles.

En sécurité de l’information, cela se traduit par des mesures de sécurité telles que des contrôles d’authentification plus ou moins élaborées (authentification forte, usage de la biométrie…), des contrôles d’intégrité et de bons usages (IDS/IPS, DLP…) afin de maitriser les accès aux zones contenant les informations sensibles de l’entreprise, et maîtriser leur manipulation.

Dans le modèle de l’aéroport, en plus des mesures de protection, il est essentiel de pouvoir détecter les éventuelles anomalies ou incidents et d’être en capacité de réagir rapidement et efficacement. C’est le rôle de la tour de contrôle, qui a pour mission de regarder au plus près (ce qui se passe dans le périmètre de l’aéroport) mais aussi au loin (les avions en approche). La tour de contrôle est capable réagir rapidement en cas de problème et d’apporter une réponse adaptée, voire d’appeler des renforts si besoin. Dans l’entreprise, ce rôle de surveillance doit être tenu par le SOC (Security Operation Center), avec si besoin le d’équipes dédiées  à la gestion de crise cyber.

Pour que ce modèle reste viable dans le temps et afin d’être efficace face à l’évolution de la menace, la revue régulière de ces mesures de sécurité est essentielle. Les avions avant de décoller subissent un contrôle de leur niveau de sécurité et les pannes sont anticipées avec la maintenance préventive, il doit en être de même pour les mesures de sécurité : habilitations, contrôles, mise à jour doivent être en continuelle évolution.

Un projet de transformation à part entière

L’enjeu majeur de cette évolution ne sera par l’acquisition de nouvelles solutions de sécurité, bien souvent les pierres du château-fort pourront être utilisées pour bâtir l’aéroport. L’enjeu sera avant tout de structurer un vrai programme de transformation pour la sécurité du SI.

Programme mêlant des évolutions technologiques (souvent principalement autour de la détection des attaques), organisationnelles (responsabilisation des équipes en particulier de maitrise d’ouvrage et de développement, intégration des nouveaux processus de contrôle…) mais aussi qui devra diffuser dans tous les projets SI les principes d’évaluation des risques et d’architectures associés. La tentation est parfois grande de mettre des systèmes sensibles mais non sécurisés directement dans le hall de l’aéroport accessibles à tous…

Le pilotage irréprochable de ce programme et la démonstration de son efficacité par la réduction des risques seront les facteur clé de la réussite de cette transformation !

Cet article L’évolution du modèle de sécurité : du château-fort à l’aéroport est apparu en premier sur RiskInsight.

Comment construire sa stratégie de repli ? Quelles solutions retenir ?

Connaître ses Métiers critiques

Il est tout d’abord nécessaire de réaliser un Bilan d’Impact d’Activité (Business Impact Analysis ou BIA), qui permettra de cartographier les activités Métiers (notamment en les localisant géographiquement), quantifier l’impact de l’interruption de ces activités dans le temps sur un référentiel partagé (Le BIA permet donc la définition d’un chronogramme de reprise des activités du site en cas de sinistre), et enfin de connaître les spécificités opérationnelles des Métiers afin d’identifier les contraintes techniques qui devront être prises en compte lors d’un éventuel repli (poste de travail spécifique, téléphonie enregistrée, équipement call-center pour les centres de relation client, lecteur de chèques, …)

Identifier exhaustivement les solutions à envisager

Une multitude de solutions permettant un repli de collaborateurs existent à l’heure actuelle :

• Site de repli interne dédié : bâtiment possédé par l’organisation et dédié au PCA
• Site de repli externe, au travers de positions de travail louées et utilisées en cas de crise, selon 2 modèles de location : positions dédiées au souscripteur, positions mutualisées entre plusieurs clients (cette dernière soulevant le risque de non obtention du volume de position souscrites en cas de choc extrême touchant simultanément plusieurs structures)
• Repli croisé entre les sites de l’organisation : réquisition de bureaux disponibles et des salles de réunion des bâtiments non sinistrés et déploiement de postes de travail aux collaborateurs repliés par l’organisation.
• Le Nomadisme ou travail à distance, grâce à des solutions appropriées permettant aux collaborateurs de travailler de chez eux (postes nomades, accès distants au SI, etc.). Cette solution de repli est relativement bien adaptée aux métiers « prédisposés » au travail à distance, avec une faible spécificité opérationnelle (par ex. les populations commerciales.

La stratégie de repli : un portefeuille de solutions à orchestrer

La confrontation des solutions de repli (capacité d’activation dans le temps, contraintes techniques) au BIA (chronogramme de reprise, spécificités opérationnelles) va permettre la conception d’une stratégie globale constituée de la combinaison de solutions unitaires, adaptées à un contexte, des contraintes Métiers et des contraintes de l’organisation. Cette association en un portefeuille de solutions permet de répondre efficacement aux enjeux de la reprise d’activités.

On peut donc, par exemple, envisager une « fusée à 2 étages ».

Les activités critiques, dont la reprise très rapide est vitale (reprise en moins de 48h)

En général, la reprise de ces activités s’envisage sur un site dédié et déjà préparé (postes de travail, raccordement réseau, téléphonie), sur un site de l’organisation ou chez un prestataire.

On peut notamment penser à des activités de front office, de call center, ou encore de fonctions supports très sensibles, alliant au besoin de reprise fort des contraintes opérationnelles complexes à mettre en œuvre rapidement (stations de travail scientifique, téléphonie enregistrée).

Les activités moyennement critiques (reprise à partir de 48h) et les activités non critiques (reprise au-delà de 1 à 2 semaines

Le panel de solutions est large : si le repli chez des prestataires reste d’actualité, on peut dorénavant penser à des solutions moins couteuses, mais nécessitant un certain temps de déploiement opérationnel : repli croisé, nomadisme ou encore déport d’activité. Il est toutefois important de prendre en compte un certain nombre de contraintes lorsque l’on se tourne vers des solutions « internes »  (accès réseau, fourniture de postes de travail, …).

Cette première réflexion permettra de donner naissance à plusieurs scénarios de repli, qu’il conviendra d’évaluer selon des critères choisis : coûts de la solution de continuité (investissement, coût récurrent de maintenance annuelle), capacité à répondre au besoin (reprise des activités techniques, capacité d’activation, …), couverture de risque : capacité à être utilisable sur plusieurs scénarios de risques (par ex. perte d’un bâtiment, pandémie, …), complexité de mise en œuvre de la solution de repli, maintien en conditions opérationnelles (MCO) (complexité et charge du MCO, maintien de la situation dans le temps, …), testabilité de la solution (bascule, ouvertures des accès, …)

A titre d’exemple, on peut imaginer les analyses comparatives représentées ci-dessous :

Enfin, dans le cadre de la mise en place d’une solution s’appuyant sur du repli, un point d’attention est à prendre en compte : la définition de modalités RH. En effet, les conditions de travail des collaborateurs se trouvant modifiées, il est nécessaire de définir un cadre dans lequel s’inscrire en situation de crise.

Cet article Indisponibilité d’un site utilisateur : quelle(s) stratégie(s) de repli ? est apparu en premier sur RiskInsight.

Des choix tactiques à court terme assez homogènes…

Il n’est pas surprenant aujourd’hui de voir bon nombre de DSI s’orienter vers les mêmes services Cloud, comme la mise à disposition de machines virtuelles ou de plateformes web, ou encore la messagerie en mode SaaS. Les travaux déjà réalisés en matière de virtualisation des infrastructures, d’externalisation des opérations IT et de standardisation des architectures web simplifient du reste l’évolution vers ce type de services.

Déployer de tels services relève plutôt d’une approche tactique, qui permet à la DSI d’obtenir des succès rapides et de démontrer sa capacité à offrir des services de type Cloud, tout en commençant à se confronter à ses impacts et à la réalité des offres du marché.

 …en attendant une stratégie Cloud plus spécifique

Ces services ne constituent toutefois qu’une 1^ère étape, la stratégie Cloud de chaque entreprise devant se bâtir sur une analyse plus fine du patrimoine SI de l’entreprise, application par application, comme l’illustre notre « arbre de décision Cloud » (voir schéma).

 Cette analyse peut se faire dès à présent par le biais de l’incubateur Cloud qui, au fur et à mesure qu’il identifiera les périmètres éligibles, sera en mesure de bâtir un catalogue de services cibles et une roadmap permettant de rythmer l’adoption des services Cloud. Voici les grandes étapes de la démarche à suivre pour y parvenir :

• Identifier les applications et services IT éligibles au Cloud en évaluant la valeur apportée à l’entreprise, le niveau de confidentialité des données manipulées et le niveau de spécificité du système ;
• Rechercher des services SaaS pour les applications ou services dont l’usage peut être standardisé et dont la criticité (business ou sécurité) n’est pas bloquante pour envisager une évolution vers le Cloud ;
• Envisager le passage au PaaS ou au IaaS lorsqu’aucun service SaaS n’existe sur le marché ;
• Renforcer le niveau de standardisation des socles logiciels et techniques des applications aujourd’hui trop spécifiques à l’entreprise pour pouvoir trouver leur équivalent dans le Cloud.

Le marché étant dans une dynamique d’évolution rapide et perpétuelle, cette approche est à réitérer régulièrement et à enrichir d’une veille permanente sur les acteurs et les offres Cloud. Au-delà de la maturité des offres du marché, des critères plus spécifiques à l’entreprise peuvent influer sur son rythme d’adoption du Cloud. Ainsi, un niveau élevé d’industrialisation et d’externalisation facilitera et accélérera la transition vers des offres Cloud. De même, l’arrivée à échéance de contrats existants ou l’obsolescence de certaines solutions ou applications seront des opportunités d’évolution vers le Cloud, sans oublier bien sûr des ruptures plus fortes dans la stratégie de l’entreprise (forte réduction des coûts, fusion ou désimbrication de pans entiers du SI…).

Autant de facteurs qui, bien pris en compte, permettront d’aboutir à une stratégie Cloud spécifique et efficace !

Une cible hybride à anticiper

De même qu’il n’existe pas de stratégie Cloud unique applicable à toute entreprise, il est impossible d’identifier l’intégralité des services qui s’appuieront sur des offres Cloud à moyen terme, tant le marché est dynamique aujourd’hui. En revanche, une chose est sûre : le SI cible sera hybride et les services Cloud devront être parfaitement intégrés au SI traditionnel.

Alors préparez-vous ! En parallèle du déploiement des premiers services Cloud, plusieurs chantiers techniques et organisationnels transverses sont à lancer dès maintenant. Ces chantiers doivent permettre de maîtriser la prolifération des services Cloud et de faire face à un SI de plus en plus éclaté, tant géographiquement qu’en termes de responsabilité. Il s’agit en premier lieu de définir un cadre d’adoption des services Cloud (règles d’éligibilité, politique de sécurité, clauses juridiques et contractuelles) et de bâtir un socle d’intégration et de pilotage de ces services (architecture d’interconnexion, portail(s) self-service, Cloud Management Platform…). Ces évolutions majoritairement technologiques doivent s’accompagner d’une redéfinition des modalités de pilotage économique des services IT et de la définition d’un plan d’évolution des compétences, pour que la transition vers des services IT à l’usage s’opère en douceur au sein de l’entreprise, tant pour la DSI que pour les Directions Métiers.

Ainsi, la DSI se positionnera peu à peu comme un Cloud broker, proposant à ses utilisateurs (clients finaux, collaborateurs de l’entreprise ou équipes projet IT) des services accessibles au travers d’un ou plusieurs portails et offrant les moyens techniques (intégration, sécurité, pilotage) et humains (conseil, support, accompagnement au changement) nécessaires pour garantir l’usage de ces services dans de bonnes conditions.

Ces chantiers transverses doivent faire partie intégrante de la stratégie Cloud, au risque de ne pouvoir garantir la cohérence du SI à moyen terme…

Cet article Les clés d’une bonne stratégie Cloud : combiner approche tactique et vision stratégique est apparu en premier sur RiskInsight.

Après 9 mois d’existence, force est de constater que Windows 8 peine à convaincre le grand public. Pour les grands comptes, l’arrivée de Windows 8 suscite des réactions diverses.

Pour ceux qui n’ont pas encore fait le pas vers Windows 7, l’éventualité d’un passage vers Windows 8 a été écartée. Les raisons de ce rejet tiennent en deux points majeurs. D’une part, des surcoûts sont induits par la nouvelle interface utilisateur ModernUI, déroutante et nécessitant une conduite du changement renforcée. D’autre part, l’absence de support de la part des éditeurs et la faible visibilité sur sa mise en place génèrent un risque important pour la bonne tenue du planning.

Quant aux Grands Comptes ayant déjà déployé Windows 7 (ou qui sont en train de le faire), la plupart choisissent d’expérimenter Windows 8 auprès de populations nomades, majoritairement des profils commerciaux, en vue de les doter d’un terminal unique couvrant à la fois les usages de type poste de travail et tablettes (matériel dit « transformable »).

En effet, l’intérêt majeur de Windows 8 concerne le développement des usages mobiles et tactiles. Pour autant, si la DSI est enthousiaste à l’idée de gérer son parc de PC et tablettes de façon unifiée, la réaction des utilisateurs est quant à elle plus mitigée : en effet, les tablettes Windows 8 Pro restent encore à l’heure actuelle nettement plus lourdes que des matériels équivalents sous iOS ou Androïd.

Au final, les grands comptes ne se sont pas empressés pour adopter Windows 8. A l’heure où nombre d’entre eux accélèrent leurs chantiers de migration vers Windows 7 pressés par l’échéance de fin de support de Windows XP, seuls quelques-uns envisagent un déploiement tactique de transformables Windows 8 sur des populations ciblées.

Windows 8.1 : trois pas en arrière, un pas en avant

Fort de ce constat, Microsoft revient avec une nouvelle version : Windows 8.1. Cette version est marquée avant tout par une vraie remise en question des choix ergonomiques de Windows 8 : le bouton « Démarrer » est de retour, il est possible de démarrer directement sur le bureau et plus généralement de se passer complètement de l’interface ModernUI ! Il devient ainsi possible de « brider » le terminal pour lui donner une ergonomie beaucoup plus proche de Windows 7.

Les apports fonctionnels sont – quant à eux – plus mesurés. À noter toutefois la fonctionnalité de Workplace Join qui permet à un collaborateur d’intégrer ses devices personnels (smartphone et poste de travail) au SI de l’entreprise. Une fois joint, le device est reconnu en tant que périphérique personnel et peut se voir attribuer des accès aux applications de l’entreprise. De plus, il est possible de  synchroniser du contenu professionnel (Work Folders) directement sur le device personnel. Les données sont marquées comme étant du contenu professionnel, via une gestion des droits numériques (type DRM), et peuvent être effacées à distance par un administrateur.

Avec Windows 8.1, Microsoft cherche donc avant tout à répondre en urgence aux inquiétudes des grandes comptes déroutés par ModernUI. Et en cela Windows 8.1 atteint son but. Reste la problématique du support des applications et le form factor peu avantageux des matériels Windows 8 : sur ces 2 points, éditeurs et constructeurs progressent, et il est raisonnable de penser qu’à horizon d’un an, ces freins auront été levés.

Un nouveau cycle de vie…oui, mais lequel ?

Mais avec Windows 8.1, Microsoft inaugure aussi une nouvelle stratégie de mise à jour de son OS. Finis les services packs : Windows sera désormais revu complètement sur un rythme annuel.

Si l’intention de Microsoft est claire – aligner le rythme d’évolution de Windows sur celui des concurrents (Apple et Google) – la firme de Redmond n’a pour l’instant donné que peu d’éléments concrets permettant d’en appréhender l’impact sur l’organisation des DSI.

Or, cet impact pourrait être majeur. En effet les DSI ont jusqu’à présent fait évoluer leur parc de poste de travail par paliers (migration de Windows 2000 vers XP, de XP vers 7) opérés à l’occasion de migrations majeures tous les 6 à 7 ans et nécessitant des chantiers très lourds de design, d’inventaires, et de mise en compatibilité du parc applicatif.

Les DSI devront-elles demain être capables de conduire ces chantiers en continu ? Et donc pérenniser des activités qui aujourd’hui sont menées en mode projet ? Pourront-elles maîtriser le cycle de vie de leur OS ? Ou seront-elles « forcées » à suivre le nouveau rythme imposé par Microsoft ?

Là encore, les grands comptes s’inquiètent… et attendent de Microsoft des réponses claires avant de s’engager plus loin. Un point c’est tout.

[Article écrit en collaboration avec Arthur Georges, consultant]

Cet article Windows 8.1 : un point c’est tout ? est apparu en premier sur RiskInsight.

Cependant, cette opportunité entraîne un changement de grande ampleur. Il est donc important de s’assurer au préalable de la pertinence et de la faisabilité d’une telle action. Nous avons ainsi identifié différents critères qui, une fois validés par la direction de votre entreprise, sauront maximiser vos chances de réussir cette transformation en profondeur !

Un changement culturel et organisationnel réalisable

Les DSI sont traditionnellement positionnées comme des fonctions « support ». En commercialisant leurs services sur le marché, elles vont bouleverser leur positionnement stratégique. Les obligations de marketing, de rentabilité ou encore de service après-vente auxquelles elles sont soumises vont être renforcées par ce nouveau positionnement.

Au-delà du changement des modes de fonctionnement (processus, gouvernance, rôles…), il faut s’assurer que le gap culturel entre l’ancien positionnement et le nouveau est franchissable. Les équipes des DSI doivent être motivées et prêtes à voir leur métier évoluer et leurs clients changer. Par exemple, il faut s’assurer qu’il est culturellement envisageable de vendre des services aux concurrents de la maison-mère !

Par ailleurs, une analyse de la capacité à filialiser la DSI doit être anticipée pour permettre des évolutions tant organisationnelles (ex : allocation de ressources dédiées) que juridiques (ex : évolution de la convention collective).

Des produits non stratégiques, à valeur ajoutée différenciante

Il est important de s’assurer que les services qui seront commercialisés sur le marché se différencieront de ceux des concurrents. Les leviers sont ici multiples : valeur ajoutée, prix, business model… Cependant, il est surtout primordial de s’assurer que ces produits ne sont pas pour autant des actifs « stratégiques ».

En effet, un produit de la DSI doit être considéré comme « stratégique » s’il représente un avantage concurrentiel clé pour l’entreprise-mère, comme par exemple un logiciel de gestion du risque dans le domaine des assurances.

Enfin, la veille concurrentielle s’impose comme une activité indispensable pour garantir un rapport valeur ajoutée / prix du produit qui reste cohérent avec le marché dans la durée.

Une offre en phase avec les attentes du marché

Tout d’abord, il est essentiel d’asseoir un « prix », relativement à la qualité des offres, qui soit cohérent par rapport au positionnement des concurrents et à la stratégie de pénétration du marché. Par exemple, si une DSI souhaite vendre un produit significativement plus cher qu’une SSII, elle doit le justifier !

N’oublions pas que la présence sur le marché ne pourra perdurer que si les clients sont satisfaits des produits achetés. Un client externe peut s’avérer plus exigeant qu’un client interne. La DSI doit par conséquent se mettre en capacité d’assurer le niveau de qualité et de productivité nécessaire. Anticiper les enjeux de service après-vente et de relation client et garantir la capacité de production sont essentiels.

Une offre en lien avec l’activité de la maison-mère

Les services commercialisés par la DSI seront d’autant mieux accueillis par le marché qu’ils ont un lien avec l’activité de la maison-mère. Dans le cadre de la commercialisation et de la promotion des produits, il s’agira de faire valoir la fiabilité des produits et de bénéficier de l’image de marque de la maison-mère.

Par exemple, Thales Services, en raison de son expertise dans le domaine de la défense, aura plus de crédibilité pour répondre à des exigences avancées de sécurité qu’une SSII non spécialiste.

Somme toute, la commercialisation des services d’une DSI sur le marché est une opération complexe, mais porteuse de multiples opportunités. Les critères présentés ci-dessus sont autant de facteurs clés de réussite. Avant de se lancer, il s’agira alors d’identifier les enjeux stratégiques, économiques et IT pour mener au mieux la transformation qui, selon le contexte, peut prendre plusieurs années. Pour en maîtriser le rythme, obtenir et maintenir l’adhésion, le pilotage et la gouvernance sont de vrais incontournables. Alors, êtes-vous prêts à vous lancer ?

Cet article Êtes-vous prêts à commercialiser les services de votre DSI ? est apparu en premier sur RiskInsight.

La montée en maturité des DSI crée l’opportunité de franchir le pas, comme l’ont déjà fait plusieurs leaders comme Areva, Amazon ou encore Dassault.

Augmenter et diversifier l’activité de la maison-mère et de sa DSI

Areva, leader mondial de l’énergie nucléaire, a fait le choix de capitaliser sur les actifs de sa DSI pour en commercialiser les services sur le marché. Preuve du succès de la transformation, cette DSI, maintenant filialisée sous le nom d’Euriware, a généré près de 294 millions d’euros de chiffre d’affaires en 2011 ! [1]

Ainsi, la commercialisation des offres de services des DSI sur le marché est une occasion pour les entreprises d’accroître leur chiffre d’affaires. Grâce à la pénétration de nouveaux marchés, il est alors possible de diversifier le portefeuille de clients ainsi que les activités : Euriware propose des prestations d’infogérance ou encore d’intégration de systèmes pour des clients de l’énergie, mais aussi de l’industrie et de la défense.

Faire de la DSI une entité génératrice de profit

Cette transformation est l’occasion pour la DSI de se positionner comme réel actif stratégique (en devenant un centre de profit). Pour garantir la rentabilité, il faut commercialiser les services permettant de capitaliser sur les investissements de la DSI, tout en mutualisant les compétences et expériences de la maison mère. Les produits ou services commercialisés peuvent tout autant être des savoir-faire spécifiques qu’une surcapacité de production (sur un datacenter par exemple). Cette commercialisation est une opportunité pour l’entreprise de générer du cash… sans trop avoir à en débourser !

Ainsi, Dassault Systèmes génère du profit en commercialisant le logiciel Catia, qui avait été initialement conçu pour les besoins propres de Dassault.

La formalisation d’un catalogue de services tarifé ainsi que la définition d’une stratégie de pénétration du marché sont des enjeux clés pour assurer le succès de la transformation. Une fois les premiers produits commercialisés, la DSI génère du chiffre d’affaires et doit rentabiliser son activité. Elle le fera en ajustant sa politique commerciale et en optimisant sa présence sur le marché tout en pilotant ses investissements.

Développer et fiabiliser l’expertise de la DSI

Amazon, qui est originellement un site d’achat et de vente en ligne, a pourtant été parmi les premiers à lancer des offres cloud, via leur entité Amazon Web Services. Amazon a profité de son expertise de l’infrastructure SI et de sa maîtrise des besoins des acteurs du web pour commercialiser son Infrastructure as a Service (IaaS) sur le marché.

L’augmentation de l’activité SI permet d’investir et de fiabiliser les services utilisés par la maison-mère. Confrontée à de nouvelles demandes et de nouvelles exigences, la DSI est incitée à monter en compétence et à développer son expertise. L’industrialisation de l’activité et la croissance du portefeuille de clients permettent aussi d’asseoir la crédibilité et la légitimité de la DSI en interne.

La commercialisation des services d’une DSI sur le marché représente une transformation de grande ampleur, se déroulant sur plusieurs années. Du positionnement prix à la structure de coût en passant par l’infrastructure SI ; les enjeux stratégiques, financiers ainsi que ceux liés au système d’information doivent être maîtrisés ! Il faut également se poser la question de l’évolution de l’organisation avec, bien souvent, celle de la filialisation de la DSI. Des problématiques clés doivent alors être pilotées, comme l’évolution culturelle ou la mutation des activités. En résumé, la commercialisation des services IT est une opportunité aux enjeux forts. Mais comment s’assurer que le profil de votre entreprise présente les caractéristiques nécessaires ? Réponse dans un prochain article !

Cet article Et pourquoi ne pas commercialiser les services de ma DSI ? est apparu en premier sur RiskInsight.

Un modèle de sécurité qui atteint ses limites

La protection des informations avec les moyens conventionnels (pare-feu, antivirus, correctif, contrôle d’accès…) comporte de nombreuses limites  ;  les attaquants les connaissent et surtout, savent les contourner efficacement. Les attaques par ingénierie sociale permettent d’accéder aux informations d’utilisateurs légitimes et ce malgré de nombreuses sessions de sensibilisation en entreprise, les failles « zero-day » permettent d’attaquer des systèmes même maintenus à jour, l’encapsulation ou encore le chiffrement de trafic qui permettent de traverser les pare-feux sans être inquiétés.

Doit-on pour autant baisser les bras et reculer face aux menaces? Non, certainement pas ! Il s’agit de réorienter ses efforts différemment, accepter les risques,  et se doter des moyens permettant de limiter l’impact des attaques. La détection des attaques et l’identification de réactions appropriées sont donc à prioriser pour 2013.

 Détecter et réagir : les priorités de 2013

Ce changement d’orientation nécessite de nombreuses évolutions, tant en termes technique qu’organisationnel. Il faut réfléchir à la mise en place de nouveaux moyens, internes ou externes, afin de mieux observer le SI et d’en tirer des alertes pertinentes. Nous pensons bien évidemment aux solutions de surveillance de journaux classiques mais pas uniquement ! De nouvelles solutions, spécialisées dans les analyses statistiques permettent d’obtenir des vues pour détecter les fameux signaux fiables relatifs aux attaques. D’autres produits permettent de détecter dans les flux de données des comportements étranges, en simulant l’ouverture des pièces jointes ou des fichiers. Même si cela peut paraître démesuré, certaines organisations ont mis en place ces solutions sur 2012 et en tirent aujourd’hui des bénéfices concrets.

Et comme l’outil ne résout rien seul, certains processus seront aussi à revoir, en particulier sur la surveillance du SI et la gestion de crise. La création, ou le renfort, d’une cellule dédiée en charge de ces problématiques, le fameux CERT ou SOC, pourra être une solution. Cette cellule sera à même de piloter les crises, de prendre les bonnes décisions pour limiter les impacts et d’empêcher les propagations.

Différents scénarios de crise sont à envisager en fonction du métier et de l’exposition : attaque en déni de service, vol d’information, défacement de site, vols de données sensibles, mais aussi et peut être surtout compromission du SI… Ils devront être testés par les équipes opérationnelles mais également les métiers et la direction générale, acteurs essentiels en cas d’attaques cybercriminels.

Bien évidemment, il n’est pas question d’abandonner toutes les mesures de protection. Bien souvent, elles retarderont la réussite de l’attaque, voire même sur certains périmètres très protégés et face à des attaquants de niveau intermédiaire, elles les bloqueront. Mais aujourd’hui, se baser uniquement sur une protection est illusoire, il est indispensable de revoir sa stratégie sécurité et en 2013 d’orienter sa réflexion vers la détection et la réaction !

Cet article Une nouvelle année pour une nouvelle stratégie sécurité : priorité à la détection et la réaction est apparu en premier sur RiskInsight.

Après l’énorme campagne de communication déployée par Microsoft depuis quelques mois sur la nouvelle version de l’OS (Operating System) le plus répandu au monde, la sortie de la Consumer Preview de Windows 8 (le 19 février dernier) permet d’en apprécier les nouveautés et d’alimenter le débat sur toutes les problématiques posées par cette nouvelle mouture. Un changement stratégique et ergonomique, annoncé comme le plus important depuis l’avènement de Windows 95.

Pour l’utilisateur, les nouveautés sont de taille, et la plus marquante est certainement la coexistence de deux interfaces : le “Bureau”, similaire à Windows 7, et “Metro”, orientée vers un usage tactile, pour le web et les applications. Et c’est l’arrivée de Metro qui aujourd’hui fait débat, par le changement qu’il implique dans la manière d’utiliser son poste.

En effet, la suppression du bouton Windows et la philosophie d’utilisation « tablette » vont certainement surprendre la majorité des utilisateurs et la prise en main risque de prendre un certain temps. Et si cette interface a été pensée pour faciliter la consommation d’informations, usage majeur dans la sphère privée, sera-t-elle pour autant adaptée à la production de contenus en entreprise ? Toujours est-il que, malgré l’aide que pourra apporter la généralisation de l’OS dans le monde grand public, toute apparition de Metro en entreprise nécessitera une importante conduite du changement, dont l’ampleur sera fonction de la politique adoptée par l’entreprise (promotion, autorisation ou blocage de l’interface).

Quels changements pour l’entreprise ?

Outre une nouvelle interface, avec Metro arrive aussi une nouvelle génération d’applications, basées sur un nouveau framework (WinRT) et destinées au monde tactile.

En effet, si les applications compatibles Windows 7 devraient également l’être pour le “Bureau” de Windows 8, il sera nécessaire de les repenser entièrement pour les adapter à l’interface Metro. Et si Microsoft a voulu proposer un OS véloce, c’est au détriment de certaines fonctionnalités, comme le non support d’add-ons sur la version Metro d’internet explorer. Cette adaptation, dans laquelle l’entreprise se trouvera confrontée à l’introduction du HTML 5, pourrait constituer un chantier supplémentaire après la difficile migration des applications de XP vers Windows 7. Concernant les éditeurs, très peu d’éléments ont été rendus publics sur leur stratégie, mais ils vont vraisemblablement devoir s’adapter et proposer une version pour chaque “monde”. Parallèlement, le développement vers Metro est aujourd’hui encore très peu documenté.

Mais au-delà de Metro, on retrouve également une meilleure intégration des solutions de connectivité (Wi-Fi Direct, NFC, USB 3.0…), une gestion native du cloud (Microsoft) et de la virtualisation, ainsi qu’une optimisation des performances permettant notamment un démarrage en 8 secondes. On peut noter quelques innovations comme “Windows To Go”, permettant d’avoir une version personnalisée et exécutable de l’OS sur une clé USB, et une migration annoncée “transparente pour l’utilisateur” depuis Windows 7. Mais la force majeure de Windows 8 est de proposer un OS unique pour PC et tablettes (et très similaire pour smartphones), à l’heure où l’augmentation des tablettes est inéluctable dans le SI des entreprises (forces de vente, commerciaux, relation client…).

De par son approche moderniste et sa présence en standard sur de nombreux matériels neufs, Windows 8 devrait progresser rapidement sur le marché grand public. Le tout est maintenant de savoir ce qu’il va en être de son adoption par les entreprises. Après l’échec de Vista et le succès toujours grandissant de Windows 7, la version 8 va-t-elle respecter la règle de “une version performante sur deux” généralement constatée au sein des grandes entreprises ?

L’approche « user-centric », une grande nouveauté Microsoft

L’objectif de Windows 8 est également de replacer l’utilisateur au centre de l’environnement de travail. Il lui permettra de retrouver son environnement personnalisé et ses données sur n’importe quel poste grâce à SkyDrive[1], et de télécharger ses applications favorites via la boutique en ligne Windows Store. Tout ceci à travers l’utilisation de son compte personnel Windows Live. Une façon de rassembler les services en ligne Microsoft autour de l’utilisateur, et de normaliser leur usage. En d’autres termes, Microsoft réinvente l’Apple world.

Cette approche « user-centric » pourra nécessiter la revue des modalités d’intégration des machines au sein d’un SI d’entreprise, de par la nécessité de s’authentifier avec un compte personnel. Faudrait-il alors considérer les terminaux Windows 8 comme forme de BYOD[2] ?

Une actualité à suivre de près

De nombreuses questions restent donc ouvertes, et vont encore faire débat dans les mois qui viennent au fil des annonces de Microsoft et des autres grands acteurs. Faut-il migrer vers Windows 8 ? Est-il préférable de migrer au fil de l’eau ou de mettre toutes les applis en conformité Metro avant de migrer ?

À l’heure où les annonces et les spéculations vont bon train, il faudra suivre de près les débats publics d’un côté et les réflexions stratégiques des entreprises de l’autre, afin de savoir qui sera dans le wagon de tête pour migrer vers Metro.

Cet article Windows 8 – Metro, boulot, perso ? est apparu en premier sur RiskInsight.