{"id":12593,"date":"2020-01-21T14:50:13","date_gmt":"2020-01-21T13:50:13","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=12593"},"modified":"2021-07-12T09:54:59","modified_gmt":"2021-07-12T08:54:59","slug":"radar-du-rssi-2-3-chantiers-majeurs-2020","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2020\/01\/radar-du-rssi-2-3-chantiers-majeurs-2020\/","title":{"rendered":"Radar du RSSI (2\/3) \u2013 Quels chantiers majeurs lancer en 2020 ?"},"content":{"rendered":"

Nous avons pr\u00e9c\u00e9demment pr\u00e9sent\u00e9 le Radar du RSSI 2020 ainsi que sa m\u00e9thodologie de construction. Issus des travaux du radar du RSSI, une s\u00e9lection des chantiers majeurs a \u00e9t\u00e9 identifi\u00e9e. Ils sont \u00e9videmment \u00e0 adapter en fonction de la maturit\u00e9 de votre organisation et de votre contexte.<\/em><\/p>\n

 <\/p>\n

Repenser sa gouvernance pour la rationaliser<\/h2>\n

Certes, le RSSI se doit de d\u00e9finir une strat\u00e9gie cybers\u00e9curit\u00e9 claire et lisible lui permettant de cibler ses priorit\u00e9s voire de pr\u00e9senter une \u00e9valuation de leur efficacit\u00e9. Le mod\u00e8le de gouvernance actuel est-il performant ? Est-il adapt\u00e9 au contexte actuel et \u00e0 venir ? Apr\u00e8s plusieurs ann\u00e9es d\u2019investissements majeurs, comment optimiser les activit\u00e9s du quotidien (le run) SSI ?<\/p>\n

Aujourd\u2019hui, bon nombre de RSSI, ou leur hi\u00e9rarchie, remettent en question les organisations cybers\u00e9curit\u00e9 en place. De nombreuses questions se posent notamment au sein des grands groupes o\u00f9 les r\u00f4les et responsabilit\u00e9s sont r\u00e9partis entre plusieurs entit\u00e9s :<\/p>\n

Comment g\u00e9rer l\u2019ensemble des entit\u00e9s et s\u2019assurer que les actions sont d\u00e9ploy\u00e9es sur le terrain ? Quelle hi\u00e9rarchie, quelle entit\u00e9 de rattachement (DSI, suret\u00e9, risque\u2026) et quel reporting direct pour la cybers\u00e9curit\u00e9 au niveau du groupe ? Quelle d\u00e9marche de contr\u00f4le instaurer en fonction des diff\u00e9rents rattachements des \u00e9quipes s\u00e9curit\u00e9 (en particulier dans le monde de la finance avec le concept de lignes de d\u00e9fense) ? Quel syst\u00e8me d\u2019information cr\u00e9er dans la fili\u00e8re cybers\u00e9curit\u00e9 pour rendre les actions lisibles et correctement suivies ?<\/p>\n

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.<\/p>\n

Par ailleurs, en 2020, l\u2019agence nationale de cybers\u00e9curit\u00e9 fran\u00e7aise devrait publier une mise \u00e0 jour de son r\u00e9f\u00e9rentiel de m\u00e9tier et de nombreuses organisations commencent \u00e0 r\u00e9fl\u00e9chir \u00e0 la structuration de fili\u00e8res RH sp\u00e9cifiques. Ceci permet d\u2019organiser clairement les r\u00f4les et responsabilit\u00e9s, d\u2019identifier les profils \u00e0 recruter mais surtout \u00e0 cr\u00e9er des parcours professionnels diversifi\u00e9s et ainsi \u00e0 attirer et retenir les meilleurs profils au sein de l\u2019organisation.<\/p>\n

 <\/p>\n

D\u00e9montrer l\u2019efficacit\u00e9 des actions<\/h2>\n

Aujourd\u2019hui, d\u00e9montrer l\u2019efficacit\u00e9 des actions men\u00e9es et des mesures de s\u00e9curit\u00e9 mises en place au travers d\u2019indicateurs concrets de couverture des risques, impactants et compr\u00e9hensibles par tous reste un d\u00e9fi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour n\u00e9gocier les budgets !<\/p>\n

La justification des engagements budg\u00e9taires r\u00e9alis\u00e9s (notamment dans certains secteurs comme la finance ou 2020 sera une ann\u00e9e de rationalisation) est de plus en plus n\u00e9cessaire.<\/p>\n

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l\u2019organisation, permettra de le rendre parlant pour les d\u00e9cideurs. Ainsi, la quantification des risques, m\u00eame si elle est encore au stade embryonnaire, se d\u00e9veloppe au travers de nouvelles pistes. C\u2019est notamment le cas avec la m\u00e9thodologie d\u00e9velopp\u00e9e par Christine Lagarde qui s\u2019applique au secteur bancaire, la m\u00e9thodologie FAIR.<\/p>\n

Sur le march\u00e9, la startup Citalid propose une solution maillant m\u00e9thodologie FAIR et threat intelligence, dans le but, \u00e0 terme, d\u2019industrialiser la quantification des risques au niveau de l\u2019organisation. Plusieurs pr\u00e9requis sont n\u00e9cessaires \u00e0 son utilisation (une cartographie des risques, un r\u00e9f\u00e9rentiel des mesures en place, des abaques de co\u00fbts, la mobilisation des m\u00e9tiers\u2026) mais les r\u00e9sultats sont parlants pour mobiliser \u00e0 haut niveau.<\/p>\n

 <\/p>\n

Industrialiser l\u2019approche des sujets agiles<\/h2>\n

Sujet d\u00e9j\u00e0 mentionn\u00e9 dans notre radar du RSSI pour 2019 : les grandes organisations ont d\u00e9marr\u00e9, certaines \u00e0 marche forc\u00e9e, des migrations vers un fonctionnement agile \u00e0 grande \u00e9chelle.<\/p>\n

Une premi\u00e8re \u00e9tape a \u00e9t\u00e9 remplie pour beaucoup : l\u2019int\u00e9gration de la s\u00e9curit\u00e9 dans les projets agiles par le biais d\u2019Evil User Stories, de formation des \u00e9quipes \u00e0 la s\u00e9curit\u00e9, de mise en \u0153uvre d\u2019outils d\u2019int\u00e9gration continue et d\u2019int\u00e9gration de tests d\u2019intrusion dans le cycle de d\u00e9veloppement.<\/p>\n

Pour autant, tr\u00e8s peu d\u2019organisations ont v\u00e9ritablement pris le parti d\u2019int\u00e9grer la cybers\u00e9curit\u00e9 au nouveau mod\u00e8le op\u00e9rationnel agile. Afin de franchir le pas, les \u00e9quipes cybers\u00e9curit\u00e9 doivent revoir en profondeur leur mod\u00e8le de fonctionnement pour s\u2019adapter aux nouvelles m\u00e9thodes de delivery et garantir un bon niveau de s\u00e9curit\u00e9 dans les produits. Cela implique de restructurer leur approche d\u2019int\u00e9gration de la s\u00e9curit\u00e9 en adoptant une d\u00e9marche de r\u00e9duction incr\u00e9mentale du risque. L\u2019objectif \u00e9tant que les squad soient suffisamment matures et comp\u00e9tentes en mati\u00e8re de cybers\u00e9curit\u00e9 pour \u00eatre autonomes dans leur gestion des risques.<\/p>\n

Mais dans une p\u00e9riode interm\u00e9diaire, la pr\u00e9sence d\u2019experts s\u00e9curit\u00e9 dans une posture de service et d\u2019accompagnement est un facteur de r\u00e9ussite pour faciliter la prise en compte de la s\u00e9curit\u00e9 dans les cycles de d\u00e9veloppement agile et assurer une mont\u00e9e en comp\u00e9tences. Pour initier le mod\u00e8le, il est judicieux de le tester sur quelques pilotes afin de l\u2019adapter, si n\u00e9cessaire, avant de le g\u00e9n\u00e9raliser au sein de l\u2019organisation.<\/p>\n

 <\/p>\n

Internationaliser et rationaliser son approche sur la r\u00e9glementation<\/h2>\n

Les r\u00e8glementations (RGPD \/ CCPA, les r\u00e8glementations sectorielles, mais aussi en particulier la directive NIS en 2020) s\u2019appliquent de mani\u00e8re h\u00e9t\u00e9rog\u00e8ne entre les diff\u00e9rentes entit\u00e9s d\u2019un groupe. Avoir une vision unifi\u00e9e de ses obligations reste un graal notamment pour les groupes internationaux.<\/p>\n

Un travail important de prise de recul, de comparaison et de coordination doit \u00eatre men\u00e9 afin d\u2019optimiser et r\u00e9duire les co\u00fbts de mise en conformit\u00e9, et afin de la rendre p\u00e9renne sans trop d\u2019efforts.<\/p>\n

Pour faciliter ce travail, il est pr\u00e9conis\u00e9 de cr\u00e9er un poste de coordinateur r\u00e9gulation : il viendra cartographier les diff\u00e9rentes r\u00e8glementations qui s\u2019appliquent \u00e0 son organisation et \u00e0 ses filiales \u00e0 l\u2019\u00e9chelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l\u2019approche de chaque pays), il d\u00e9finira une strat\u00e9gie de mise en conformit\u00e9 en fonction du niveau d\u2019imbrication et de maillage du SI global de l\u2019organisation avec celui de ses entit\u00e9s internationales (mise en conformit\u00e9 par SI \/ par \u00e9tat ou mise en conformit\u00e9 globale), il viendra ensuite assister dans la construction d\u2019une roadmap globale de mise en conformit\u00e9 (synth\u00e8se des \u00e9carts vis-\u00e0-vis des r\u00e8glementations, d\u00e9finition d\u2019une cible d\u2019applicabilit\u00e9, structuration des travaux et mise en coh\u00e9rence).<\/p>\n

Et surtout, il jouera le r\u00f4le d\u2019expert dans les \u00e9changes avec les r\u00e9gulateurs lors des contr\u00f4les et sa pertinence pourra \u00e9galement lui permettre d\u2019entrer en discussion avec eux pour faire \u00e9voluer les exigences de mani\u00e8re rationnelle et efficace.<\/p>\n

 <\/p>\n

Mobilier sur la cyber-r\u00e9silience, au-del\u00e0 de la fili\u00e8re cybers\u00e9curit\u00e9<\/h2>\n

La d\u00e9multiplication des attaques cyber en 2019 a continu\u00e9 \u00e0 assoir la prise de conscience des directions g\u00e9n\u00e9rales sur le sujet de la cybers\u00e9curit\u00e9. Cette prise de conscience salutaire a initi\u00e9 une vague de projets de cyber-r\u00e9silience en 2019 qui sera amen\u00e9e \u00e0 se prolonger en 2020.<\/p>\n

Cependant, viser \u00e0 \u00eatre cyber-r\u00e9silient dans l\u2019absolu n\u2019est pas n\u00e9cessairement efficace. Il est important de cibler les cha\u00eenes m\u00e9tiers critiques et d\u2019\u00e9valuer leur s\u00e9curisation au regard d\u2019attaques bien identifi\u00e9es. Pour ce faire, la mobilisation devra \u00eatre plus large que les \u00e9quipes cybers\u00e9curit\u00e9 : les fonctions li\u00e9es \u00e0 la continuit\u00e9 d\u2019activit\u00e9, les m\u00e9tiers ou encore la direction g\u00e9n\u00e9rale de l\u2019organisation sont des acteurs essentiels au succ\u00e8s de cette d\u00e9marche.<\/p>\n

Le RSSI devra intervenir sur des sujets cl\u00e9s comme la s\u00e9lection des attaquants qui seraient le plus probablement amen\u00e9s \u00e0 cibler l\u2019organisation (sur la base des secteurs dans lesquels ils s\u00e9vissent, de leurs motivations, de leur niveau de technicit\u00e9, etc. \u2013 par exemple FIN6 pour les ransomwares, Cobalt group\u2019s pour la fraude, DeepPanda pour le vol de donn\u00e9es, etc.) et l\u2019adaptation concr\u00e8te de la strat\u00e9gie de protection et de d\u00e9tection.<\/p>\n

Cette approche peut s\u2019appuyer de mani\u00e8re efficace sur le r\u00e9f\u00e9rentiel MITRE ATT&CK qui permet de cartographier les chemins d\u2019attaques utilis\u00e9s par les attaquants s\u00e9lectionn\u00e9s, challenger les mesures de s\u00e9curisation en place, et identifier des potentiels trous dans la raquette.<\/p>\n

Deux point cl\u00e9s que tout le march\u00e9 prendra en compte l\u2019an prochain :<\/p>\n