{"id":11634,"date":"2019-02-01T18:27:25","date_gmt":"2019-02-01T17:27:25","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=11634"},"modified":"2019-12-30T10:31:12","modified_gmt":"2019-12-30T09:31:12","slug":"retrospective-2018-ws-cyber","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2019\/02\/retrospective-2018-ws-cyber\/","title":{"rendered":"Wavestone Cybers\u00e9curit\u00e9 – R\u00e9trospective de l’ann\u00e9e pass\u00e9e"},"content":{"rendered":"

Les f\u00eates de fin d\u2019ann\u00e9e pass\u00e9es, c\u2019est d\u00e9sormais l\u2019heure des v\u0153ux et des bonnes r\u00e9solutions. Pour ce faire, quoi de mieux que de jeter un \u0153il dans le r\u00e9troviseur pour attaquer cette nouvelle ann\u00e9e ? Ce court billet de blog vous propose une r\u00e9trospective sur 2018 avec quelques-unes de nos plus belles r\u00e9alisations.<\/p>\n

 <\/p>\n

2018, L\u2019ann\u00e9e du RGPD <\/strong><\/h2>\n
\"\"<\/figure>\n

L\u2019entr\u00e9e en vigueur<\/a> du RGPD le 25 mai 2018 a \u00e9t\u00e9 au c\u0153ur des d\u00e9bats et a \u00e9t\u00e9 davantage propuls\u00e9 sous le feu des projecteurs avec le scandale Cambridge Analytica<\/a>. Vous avez \u00e9t\u00e9 plus de 4 000 lecteurs \u00e0 suivre nos s\u00e9ries sur les id\u00e9es re\u00e7ues du RGPD (Volume 1<\/a>, 2<\/a> et 3<\/a>) et sur la protection des donn\u00e9es personnelles, notamment notre benchmark GDPR<\/a> “au lendemain du RGPD, o\u00f9 en est le march\u00e9 ?”. Fortement impliqu\u00e9 dans ces probl\u00e9matiques de confiance dans le num\u00e9rique, nous avons notamment anim\u00e9 une conf\u00e9rence lors de l\u2019Annual Privacy Forum \u00e0 Madrid le 14 juin, sur le th\u00e8me\u00a0: \u00ab\u00a0How to carry out one of the key principles of accountability\u00a0?\u00bb. Nous avons \u00e9galement organis\u00e9 notre annuel \u00ab\u00a0Cybersecurity and Privacy Insight Day\u00a0\u00bb qui a r\u00e9uni plus de 80 de nos clients dans nos locaux le 28 novembre, journ\u00e9e durant laquelle le sujet a \u00e9t\u00e9 aussi pr\u00e9pond\u00e9rant\u00a0: 1\/3 de nos ateliers traitaient du sujet. Ce sujet restera important pour l\u2019ann\u00e9e qui vient avec les poursuite des travaux engag\u00e9s et le passage au RUN pour certaines activit\u00e9s. Un bilan de la mise en application du r\u00e8glement est \u00e0 venir.<\/p>\n

 <\/p>\n

La directive NIS et la notion de r\u00e9silience<\/strong><\/h2>\n
\"\"<\/figure>\n

La Directive NIS, qui arrive dans le prolongement du dispositif de cybers\u00e9curit\u00e9 des op\u00e9rateurs d\u2019importance vitale (OIV), a \u00e9galement \u00e9t\u00e9 un sujet pr\u00e9dominant en 2018. En effet, la date butoir pour sa transposition dans le droit Fran\u00e7ais \u00e9tait fix\u00e9e au 9 mai 2018. Nous avons analys\u00e9 celle-ci pour vous dans l\u2019article “Directive europ\u00e9enne NIS<\/a> : quelle transposition dans le droit fran\u00e7ais et quel impact pour les entreprises ?”. Plus globalement, la r\u00e9silience aura \u00e9t\u00e9 un enjeu majeur de 2018, notamment suite aux attaques de 2017 (WannaCry, NotPetya) et \u00e0 leur m\u00e9diatisation. Vous avez \u00e9t\u00e9 nombreux \u00e0 assister \u00e0 notre pr\u00e9sentation \u00e0 ce sujet<\/a> lors de l\u2019\u00e9dition 2018 du FIC. Afin de vous illustrer au mieux les impacts de cette attaque et la r\u00e9alit\u00e9 de la gestion de crise qui en d\u00e9coule, nous avons choisi de vous raconter l\u2019exp\u00e9rience de nos \u00e9quipes CERT (\u00e9quipes de r\u00e9ponse \u00e0 incident) chez nos clients. Nous ne nous sommes pas arr\u00eat\u00e9s \u00e0 ce travail de sensibilisation et nous avons par la suite travailler en collaboration avec l\u2019Institut Montaigne (en tant que rapporteurs) pour r\u00e9aliser une \u00e9tude dimensionnante sur la cyberr\u00e9silience du tissu \u00e9conomique Fran\u00e7ais.<\/a> Pour ce, nous avons imagin\u00e9 la France face \u00e0 un cyberouragan, sc\u00e9nario qui peut para\u00eetre lointain, aux premiers abords. Cette \u00e9tude a donn\u00e9 lieu \u00e0 13 recommandations pour faire face \u00e0 un tel ouragan. Un ma\u00eetre mot\u00a0: la solidarit\u00e9.<\/strong><\/p>\n

 <\/p>\n

L\u2019innovation et les start-ups<\/strong><\/h2>\n
\"\"<\/figure>\n

Comme chaque ann\u00e9e, nous avons publi\u00e9 notre radar des Start-ups Cybers\u00e9curit\u00e9 en France<\/a>, cette fois \u00e0 l\u2019occasion du salon Vivatech 2018<\/a>. Cette initiative a mis en lumi\u00e8re les sp\u00e9cificit\u00e9s du panorama fran\u00e7ais et propose des axes d\u2019am\u00e9lioration pour booster l\u2019\u00e9cosyst\u00e8me fran\u00e7ais. Ce radar a \u00e9galement \u00e9t\u00e9 d\u00e9clin\u00e9 au Royaume-Uni<\/a>, qui pr\u00e9sente un environnement prosp\u00e8re \u00e0 l\u2019innovation et \u00e0 l\u2019entreprenariat, et le sera en 2019 aux Etats-Unis<\/a>, en collaboration avec la mairie de New York. Notre implication dans l\u2019innovation cyber ne s\u2019arr\u00eate pas l\u00e0. Nous avons \u00e9galement organis\u00e9, \u00a0en partenariat avec Soci\u00e9t\u00e9 G\u00e9n\u00e9rale, les \u00ab\u00a0Banking CyberSecurity Innovation Awards<\/a>\u00a0\u00bb (BCSIA). Ce concours vise \u00e0 mettre en avant et de r\u00e9compenser les start-ups qui construisent la cybers\u00e9curit\u00e9 de la banque demain<\/a>. Cette \u00e9dition a mis en lumi\u00e8re une v\u00e9ritable richesse technologique, ce qui est prometteur pour l\u2019\u00e9dition 2019 qui d\u00e9bute d\u00e8s le 1er<\/sup> f\u00e9vrier.<\/p>\n

<\/h2>\n

La s\u00e9curit\u00e9 des syst\u00e8mes industriels<\/strong><\/h2>\n
\"\"<\/figure>\n

Avec l\u2019apparition de Triton, les attaques sur les infrastructures industrielles ont pass\u00e9 un nouveau cap. Il s\u2019agit en effet de la premi\u00e8re v\u00e9ritable attaque cyber sur les SIS (syst\u00e8mes instrument\u00e9s de s\u00e9curit\u00e9), autrement dit sur la derni\u00e8re barri\u00e8re de d\u00e9fense des syst\u00e8mes industriels. Le sujet est port\u00e9 par les travaux autour de la Loi de Programmation Militaire (LPM) qui positionne les SI Industriels comme des syst\u00e8mes critiques et les soumettra \u00e0 des obligations en mati\u00e8re de cybers\u00e9curit\u00e9. Nous en avons profit\u00e9 pour vous exposer notre vision sur la d\u00e9marche d\u2019homologation \u00e0 mettre en \u0153uvre dans notre article<\/a> “l’homologation de s\u00e9curit\u00e9, cl\u00e9 de voute de la mise en conformit\u00e9 LPM”. Tout comme l\u2019a fait WannaCry ou NotPetya par le pass\u00e9 sur un autre p\u00e9rim\u00e8tre, Triton a v\u00e9ritablement mis en lumi\u00e8re de nombreuses vuln\u00e9rabilit\u00e9s sur les syst\u00e8mes industriels.\u00a0Nous \u00e9tions pr\u00e9sents \u00e0 la 26\u00e8me<\/sup> \u00e9dition de la conf\u00e9rence de s\u00e9curit\u00e9 DEF CON \u00e0 Las Vegas et avons mis \u00e0 votre disposition les comptes-rendus<\/a> des diverses conf\u00e9rences \u00e0 ce sujet. Nous avons aussi anim\u00e9 un atelier<\/a> de 4 heures sur la s\u00e9curit\u00e9 des syst\u00e8mes industriels. Enfin, autre initiative lanc\u00e9e dans le but de sensibiliser \u00e0 ces probl\u00e9matiques, nous avons mont\u00e9 et partag\u00e9 une vid\u00e9o<\/a> sur la base de notre maquette de train afin de pr\u00e9senter les principales attaques sur les SI, et en particulier l\u2019ins\u00e9curit\u00e9 des protocoles industriels, sous la forme d\u2019un v\u00e9ritable \u00ab\u00a0Capture the Flag\u00a0\u00bb physique.<\/p>\n

 <\/p>\n

Sans oublier nos fondamentaux : la r\u00e9vision de nos benchmarks<\/strong><\/h2>\n
\n
\"\"<\/figure>\n<\/figure>\n

La cybers\u00e9curit\u00e9 est un secteur en constante \u00e9volution. Pour vous aider \u00e0 vous situer vis-\u00e0-vis sur votre march\u00e9, mais aussi pour sensibiliser la communaut\u00e9, Wavestone r\u00e9alise et met \u00e0 jour ses benchmarks r\u00e9guli\u00e8rement. Cette ann\u00e9e, deux benchmarks ont particuli\u00e8rement attis\u00e9 votre curiosit\u00e9\u00a0:<\/p>\n