Mais depuis quelques temps, certains comités exécutifs ne sont plus aussi généreux et exigent davantage d’efforts de la part de la filière SSI. On le sait : prouver l’efficacité des moyens engagés n’est pas aisé, et certains RSSI se retrouvent à batailler pour ne serait-ce que maintenir leur budget annuel. La situation post-COVID risque de ne rien arranger, et mon petit doigt me dit qu’il n’y a aucune raison pour que la cyber échappe aux impératifs d’économies à venir.

Sur le terrain, les trois leviers suivants peuvent présenter des opportunités pour optimiser les coûts d’une filière SSI : 1. La revue de l’Operating Model, 2. la massification des contrats, 3. l’automatisation et le recours à l’offshore.

1/ La revue de l’Operating Model

Pour optimiser un Operating Model SSI, il faut rapidement se poser la question des redondances. Le constat est souvent le même d’une entreprise à l’autre : la filière SSI a grandi très rapidement, et différentes équipes ont des missions très proches voire redondantes. Beaucoup de prestataires peuvent en témoigner : il est assez classique d’être sollicité plusieurs fois pour la même étude au sein d’un Grand Compte, dans plusieurs entités différentes. Même si quelques entreprises envisagent de traiter ce sujet par une centralisation complète de l’équipe sécurité (quelques exemples récents dans l’industrie), la clé est plutôt de regrouper a minima l’expertise cyber en central et de structurer des offres de service consommables par tous : pentests, SOC, redteam, rédaction de politiques, awareness…

Attention, cela peut représenter un changement de posture fort pour de nombreuses équipes RSSI, qui passent ainsi d’un rôle de prescripteur à un rôle d’offreur de service avec toutes ses facettes (SLA, mesure de la qualité, voire pénalités). Mais c’est une excellente manière de supprimer les redondances, optimiser les coûts et clarifier au passage les responsabilités !

2/ La massification des contrats

Les contrats d’achat représentent souvent plus de la moitié des dépenses de la filière SSI et peuvent évidemment présenter d’excellentes pistes d’optimisation. De nombreuses entreprises ont multiplié le déploiement tactique de solutions de sécurité et il n’est pas rare de se retrouver en production avec 4 types d’IPS, 3 EDR et 3 SIEM… Une solution simple pour reprendre le contrôle et optimiser les coûts est de revenir au bon vieux catalogue de solutions avec prix négociés en central : maximum 2 produits référencés par techno et obligation pour toutes les entités de taper dans le catalogue ! Les résultats peuvent être spectaculaires en jouant sur les effets de volume.

Même approche pour les prestations : il s’agit d’éviter l’éparpillement des contrats et de faire jouer la concurrence. Sur le terrain, on constate typiquement une tendance à la massification des contrats ne nécessitant pas d’expertise cyber pointue : gestion de projets, PMO, conduite du changement… D’expérience il est assez simple d’aller chercher 10%-15% sur les taux journaliers, le panel des sociétés étant beaucoup plus important pour ce type de tâche ! Mais attention à ne pas perdre en valeur : il ne s’agit pas de baisser la garde sur l’expertise ou la stratégie cyber.

3/ L’automatisation et le recours à l’offshore

L’automatisation peut également être une piste d’optimisation à explorer à moyen terme. D’autant plus que le mouvement est déjà en marche : solutions SOAR pour le traitement des incidents, apprentissage automatique pour la détection d’anomalies, déploiement de mesures dans le Cloud… de nombreuses activités de la cybersécurité cherchent actuellement à gagner en rapidité en tirant partie de l’automatisation des tâches répétitives. Les résultats ne sont évidemment pas immédiats, mais la conjoncture actuelle risque clairement de booster les projets de ce type !

Une stratégie d’offshore peut en revanche présenter des résultats beaucoup plus immédiats, mais attention aux projets menés dans la précipitation. L’offshore d’activités sécurité est tout sauf tactique et nécessite un gros travail de cadrage pour comprendre les spécificités de chaque pays, établir une proximité avec le management local, et surtout intégrer sans couture l’offshore dans l’operating model SSI… Les opérations d’offshore réussies embarquent jusqu’à 20% des effectifs de la filière en offshore. La clé pour atteindre de tels volumes est de privilégier la fourniture de services standardisés en offshore (opérations, scans de vulnérabilités, traduction…), et de limiter les équipes étendues qui peuvent s’avérer séduisantes sur le papier mais souvent contre-productives car complexes à piloter.

Cet article La cyber n’échappera pas à la réduction des coûts est apparu en premier sur RiskInsight.

Un concours digne d’une compétition sportive

Au Paris Hotel de Las Vegas, Nevada, s’est déroulé en août 2016 cet étrange concours digne d’une compétition sportive. Pendant près de 12 heures, d’imposantes machines, appelées Cyber Reasoning Systems se sont affrontées dans l’arène devant un public de 3000 personnes, auquel les présentateurs expliquaient les tentatives d’attaques et les corrections de vulnérabilités grâce à des représentations en 3D très parlantes. Organisé par la DARPA, ce concours avait un double but : valider le concept de cyberdéfense automatisée et stimuler la recherche en offrant 4 millions de dollars de prix, dont 2 à l’équipe vainqueur.

Selon Mike Walker, responsable du programme du Cyber Grand Challenge, les failles de sécurité exploitées dans la nature le seraient pendant 312 jours en moyenne avant leur détection et le temps médian de correction après détection serait de 24 jours. Un délai très long pendant lequel les systèmes restent vulnérables et que la DARPA souhaiterait voir réduit à quelques minutes ou secondes, en confiant aux machines la tâche de détecter et de corriger elles-mêmes ces failles de sécurité.

Depuis l’annonce du concours en 2013, la DARPA qui prend le sujet très au sérieux, y a investi 55 millions de dollars. 7 équipes aux propositions intéressantes ont été invitées à participer au concours en recevant une aide financière mais l’entrée restait ouverte à toute équipe auto-financée souhaitant relever le défi. En juin 2015, les qualifications ont eu lieu sur Internet pendant 24 heures au cours desquelles les équipes devaient trouver le maximum de vulnérabilités affectant 131 programmes. Sur plus de 100 équipes les 7 meilleures se sont qualifiées pour l’événement final, touchant 750.000$ au passage afin de s’y préparer. Parmi elles, 3 équipes financées par la DARPA et 4 équipes auto-financées.

Au bout de 12 heures de compétition acharnée, c’est Mayhem, le CRS de l’équipe ForAllSecure qui a remporté la victoire malgré une difficulté technique qui l’a empêché de soumettre des correctifs pendant une partie de l’épreuve. Mayhem a eu le privilège de pouvoir concourir au concours « normal » de la conférence DEFCON où s’affrontaient les meilleures équipes de hackers du monde entier. Mayhem est arrivé bon dernier de ce concours, mais à quelques points seulement de la dernière équipe humaine. Ce résultat peut être comparé à la progression des machines contre les humains aux échecs en conditions de tournoi : entre les premières victoires des machines contre des maîtres au début des années 80 et le moment où les machines parvenaient à battre des grands maîtres de façon régulière au milieu des années 2000, 25 ans se sont écoulés.

Si les machines talonnent aujourd’hui les meilleures équipes de hackers, de quoi seront-elles capables dans 10 ou 20 ans ?

Vers un monde plus sûr ?

David Brumley, CEO de ForAllSecure spinoff de l’université Carnegie Mellon, souhaite que dans le monde ultra connecté qui est le nôtre, chacun puisse avoir la garantie que les objets et les applications que nous utilisons soient sûrs, sans s’en remettre uniquement à leurs développeurs. Mais si le développement d’une cyberdéfense automatisée est une aubaine pour la société civile, on peut bien imaginer quelles implications offensives ces recherches pourraient avoir. Découvrir rapidement et en grande quantité des bugs dans des programmes fournirait autant de munitions à un état décidé à attaquer des systèmes d’organisations ou d’autres nations n’étant pas alignées avec ses intérêts. Et l’on peut être sûr que la DARPA, dont la vocation première est militaire, en a parfaitement conscience.

Cet article Et si les machines assuraient leur propre cyberdéfense ? est apparu en premier sur RiskInsight.

La sécurité des Systèmes d’Informations Industriels (SII) est aujourd’hui au centre des préoccupations dans les entreprises concernées. Ces systèmes permettent une action directe dans le monde « physique » à l’aide d’instructions provenant du monde « logique » et pilotent les outils de production de nombreuses entreprises.

Du fait du manque de sécurité de ces systèmes, de nombreuses attaques ont été recensées dans le monde ces dernières années. La dernière en date ayant eu le plus gros impact est l’attaque du réseau électrique de l’Ukraine en décembre dernier [1]. De nombreuses personnes se sont retrouvées sans électricité suite à une attaque du réseau industriel.

Le plus bas niveau des SI industriels est le réseau de production. Les capteurs et les actionneurs sont reliés aux entrées/sorties des automates industriels. Les protocoles utilisés pour communiquer avec ces automates sont généralement des protocoles propriétaires. Parmi les plus utilisés, on retrouve : Modbus, S7comm, DNP3, Profibus, Hart… Ces protocoles manquent souvent des principales fonctions de sécurité à savoir l’authentification et le chiffrement des flux. Il est donc possible de rejouer des requêtes et de réaliser des actions malveillantes directement sur les automates.
Modbus, protocole de Schneider Electric publiquement documenté et libre de droits, est une norme de référence pour les communications industrielles. De nombreux outils utilisant ce protocole existent pour communiquer avec les automates Schneider :

Cet article S7comm : un outil de communication avec les Automates Programmables Industriels Siemens est apparu en premier sur RiskInsight.

La virtualisation de serveurs a apporté un premier niveau de réponse à ces besoins de flexibilité au sein du datacenter. Plus récemment, le cloud computing est arrivé avec son lot de promesses d’optimisations et de souplesse supplémentaire.

Au-delà des buzz générés successivement autour de ces solutions, dans quelle continuité s’inscrivent-elles et quelles différences y a-t-il entre deux concepts souvent confondus ?

Retour sur les évolutions apportées par la virtualisation 

La virtualisation système consiste à faire fonctionner sur un même serveur physique plusieurs systèmes d’exploitation en parallèle. Ceci est réalisé au travers d’un hyperviseur assurant aussi bien la virtualisation du serveur physique que celle de ses interfaces (réseau, stockage…). La virtualisation s’inscrit ainsi dans le modèle SOI comme un moyen d’implémenter une couche « ressource ».

La virtualisation permet :

• De réduire le nombre de serveurs physiques en les consolidant,
• De normaliser le socle d’hébergement des OS sous forme de VM,
• D’améliorer l’agilité en réduisant le temps de provisioning,
• De renforcer la disponibilité et la reprise d’activité en offrant des mécanismes de migration et de redémarrage automatique intégrés.

La virtualisation apporte ainsi de nombreux bénéfices qu’il reste à bien mettre en balance face à ses contraintes. En effet, il faut  noter qu’elle a tendance à augmenter la complexité de l’architecture et de son exploitation et que la facilité de création des machines virtuelles peut provoquer une prolifération des instances de serveurs. Par ailleurs, la virtualisation génère de nouvelles problématiques de sécurité  et peut être source de contentions entre les services. Enfin, mêmes virtualisées, le temps de déploiement des ressources reste conséquent.

 Le cloud computing : au-delà du buzz, un mode de consommation

Depuis 2008, parallèlement à l’évolution interne des SI est apparu le cloud computing publique, promettant un niveau supplémentaire d’agilité avec une mise à disposition très rapide de ressources élastiques et une facturation adaptée à la consommation réelle.

Malgré les promesses du cloud public, les entreprises restent aujourd’hui frileuses dans son adoption. Les freins majeurs étant  les risques de sécurité perçus (utilisation d’internet, confidentialité des données et soumission à des lois locales à l’opérateur) ainsi que la dépendance aux fournisseurs engendrée par le manque de standards.

Une notion intermédiaire est donc apparue, le cloud privé. Il a pour vocation d’amener la flexibilité du cloud public dans le SI des entreprises tout en répondant aux réticences des DSI sur la sécurité et la fiabilité des services fournis.

 De la virtualisation au cloud privé

La mise en place d’un cloud privé peut être vue comme un empilement de blocs fonctionnels mettant à disposition des utilisateurs les ressources du SI en self-service, de manière automatisée, tout en offrant un niveau de qualité de service et de sécurité calibré.

Pour obtenir une plate-forme de cloud privé interne IaaS*, les principales fonctionnalités agrégées autour d’un socle de virtualisation système  sont les suivantes :

• L’automatisation du provisioning : supprimer les actions manuelles des processus de mise à disposition de ressources ;
• L’orchestration : mettre en musique les actions sur les différents composants de la plate-forme ;
• La supervision : contrôler le bon fonctionnement et collecter les métriques d’usage ;
• L’authentification et le contrôle d’accès : gérer finement les droits d’accès aux ressources et à leur administration ;
• Le portail self-service : permettre à l’utilisateur de réaliser ses demandes de création, modifications, et éventuellement suppression de ressources ainsi qu’en consulter les informations (inventaire, facturation, utilisation…) ;
• La refacturation à l’usage : traduire les métriques d’utilisation des ressources en termes budgétaires et les basculer dans les systèmes de gestion internes ;
• Le catalogue de service : être le référentiel des caractéristiques de ce qui peut être déployé.

La majorité de ces blocs existent déjà dans les SI et sont alors adaptés à l’occasion du passage au cloud privé. Ce passage s’inscrit dans une démarche d’évolution à la suite des travaux de normalisation et standardisation, de catalogues de services, d’automatisation et mise en place de stratégies self-service dans les DSI. C’est un mouvement précurseur des grandes tendances d’automatisation globale du SI.

[Article rédigé en collaboration avec Julien Contal et Aurélien Delcros]

Pour en savoir plus sur la virtualisation et le cloud computing, consulter la synthèse Solucom : Virtualisation et cloud computing : jusqu’où aller ? 

* : Le marché du cloud privé est structuré de la même facon que le cloud publique entre SaaS, PaaS et IaaS. Ce billet traite principalement du cloud privé interne IaaS. La structuration de ce marché est décrite dans la synthèse Virtualisation et cloud computing : jusqu’où aller ? 

Cet article Cloud privé, à la recherche du Graal est apparu en premier sur RiskInsight.