La menace toujours croissante des cyber-attaques pesant sur les organisations du monde entier et l’impact financier, opérationnel ou de réputation potentiellement dévastateur de ces dernières sur l’entreprise font qu’il est essentiel de faire de la cybersécurité une question majeure devant la direction des organisations. Ce sont les membres du Conseil d’Administration qui détiennent la responsabilité finale en matière de risques, à la fois en tant qu’ils définissent l’appétit de l’entreprise pour le risque cyber et qu’ils veillent à ce qu’un budget et des ressources suffisants soient alloués à la gestion de ce risque dans la limite de cet appétit. S’ils ne sont pas correctement informés des risques associés à la sécurité de l’information, l’organisation risque de ne pas mettre en place les mesures de réduction justes et appropriées permettant de la protéger des menaces et risques les plus importants.

L’absence de protection efficace contre ces cybermenaces peut avoir des conséquences à la fois organisationnelles et personnelles pour les cadres. Par exemple, la réglementation de la FCA Senior Managers and Certification Regime (SMR) attribue la responsabilité de la sécurité de l’information aux membres de l’exécutif, les rendant responsables de la bonne mise en place des protections cyber pour la Sécurité de l’Information.

Cet article propose une approche en quatre étapes sur la manière de mieux impliquer les cadres dirigeants de votre organisation dans la sécurité de l’information, pour construire un partenariat fructueux entre ces cadres, qui dirigent le budget et les ressources pour la sécurité de I’information, et les équipes cyber qui sont responsables du cadrage et de la mise en place de cette sécurité.

Étape 1 : Introduire les dirigeants à la cybersécurité

Dans cette première réunion avec les cadres dirigeants, il est impératif de commencer la discussion en se concentrant sur une introduction à la cybersécurité qui donne une vue d’ensemble des capacités et du modèle opérationnel de l’organisation en matière de cybersécurité, ce qui permettra des discussions plus approfondies par la suite.

Décrivez les responsabilités de l’organisation et des dirigeants en matière de sécurité de l’information et la manière dont celles-ci s’alignent avec les priorités stratégiques de l’organisation et de l’équipe cyber. Cela devrait inclure une présentation des principales menaces (à la fois internes et externes) pour l’organisation, les risques auxquels elles l’exposent, et la feuille de route existante pour limiter ces derniers. Cela donnera un aperçu général de la capacité cyber de l’organisation et donnera le ton pour les conversations à venir avec la direction.

Faites une synthèse présentant le schéma directeur de la sécurité de l’information et la manière dont la sécurité s’intègre et ajoute de la valeur au reste de l’activité. Il est important d’inclure des indicateurs qui puissent être utilisés pour comparer l’approche de l’organisation en matière de cybersécurité à celles du marché. Une différence dans le budget ou la taille des effectifs dédiés par rapport à un concurrent peut indiquer si l’organisation affecte à la problématique les ressources et le budget adéquats.

Étape 2 : Audit à 360°

Après avoir introduit avec succès les dirigeants à la sécurité de l’information, il est maintenant essentiel de prévoir une deuxième séance afin de présenter avec plus de granularité la capacité cyber de l’organisation, en mettant clairement l’accent sur les domaines où les ressources doivent être concentrées.

Les frameworks types du secteur, comme ISO et NIST, doivent être déployés pour mesurer la maturité cyber de l’organisation et fournir une analyse sur les améliorations potentielles qui pourra être présentée à la direction. Ces frameworks offrent un cadre auquel l’organisation peut se comparer afin d’identifier les domaines nécessitant une élévation de la maturité pour réduire les risques liés aux principales menaces pour l’organisation. Si ces outillages offrent en l’état une bonne mesure de la maturité, il est important de les affiner pour qu’ils soient adaptés à l’organisation, en tenant compte de son secteur d’activité et de son environnement réglementaire. Wavestone recommande de prendre le Framework NIST comme base et de l’adapter aux enjeux spécifiques de l’organisation pour dépasser les limites de l’outil et l’orienter vers les besoins de l’entreprise.

Wavestone a élaboré son propre framework, le Cyber Benchmark, qui s’appuie sur les meilleurs frameworks du secteur pour fournir une approche globale de l’évaluation de la maturité, perspectives organisationnelles et technologiques incluses.  Nous recommandons aux organisations de suivre une approche similaire afin d’accélérer les améliorations de leur outillage pour accroître leur maturité cyber.

Il peut être difficile de capter l’attention des cadres dirigeants pour qu’ils investissement du temps et des ressources dans le développement d’un framework visant à améliorer la maturité cyber. Une bonne méthode pour les interpeller consiste à fournir des preuves concrètes de leurs vulnérabilités en matière de sécurité, en montrant par exemple comment une « Red Team » interne a pu accéder à leurs boîtes mail, et en expliquant le peu de jours qui ont été nécessaires à cela.

Étape 3 : Programme et Framework

Une fois que cette vue détaillée aura été présentée, une des priorités majeures doit être de s’assurer que les dirigeants ont adhéré à la stratégie et à la feuille de route en matière de cybersécurité. Ces dernières doivent être élaborées sur la base des axes d’amélioration de la maturité identifiés lors de l’évaluation sur la base du framework. L’adhésion de la direction à la feuille de route garantira le financement et les ressources nécessaires à la mise en œuvre de ces améliorations.

À l’aide du framework personnalisé, élaborez une feuille de route axée sur les aspects qui réduiront le plus efficacement possible les risques liés aux principales menaces pesant sur l’organisation. Cette feuille de route servira de base au programme de sécurité. Elle doit être définie de manière à fournir des cibles claires à atteindre pour garantir la conformité aux attendus du framework personnalisé, en commençant par une approche de remédiation qui garantira une maturité cyber standard dans l’ensemble de l’organisation, suivie d’étapes permettant d’atteindre les objectifs de maturité cyber. La garantie d’une maturité standard dans l’ensemble de l’organisation atténuera le risque lié aux menaces à court terme, tandis que l’atteinte des objectifs de maturité réduira le risque potentiel lié aux menaces à plus long terme.

Le soutien du programme peut être assuré par un bureau de gestion de projet (PMO) spécialisé qui supervisera son exécution. Il est important que ce PMO promeuve de bonnes relations entre les services informatiques qui mettront en œuvre la feuille de route vers la maturité et les différents métiers, afin que les avantages soient compris et exploités dans l’ensemble de l’organisation.

Étape 4 : Quantification des risques et Accélérateurs commerciaux

La dernière étape dans l’implication de la direction consiste à démontrer le retour sur investissement (ROI) que la cybersécurité peut représenter, à la fois en réduisant les risques liés aux principales menaces et en tant qu’accélérateur commercial stimulant une expansion dans de nouveaux territoires, avec l’établissement de nouvelles relations clients.

L’implémentation du framework personnalisé adapté à l’organisation et le suivi de la feuille de route vers la maturité cyber ainsi établie nécessiteront une augmentation du budget alloué. Cependant, il est important de souligner au Conseil d’Administration que ce retour sur investissement dépassera de loin le coût initial en raison d’une diminution spectaculaire de l’ampleur et de la gravité des risques auxquels l’organisation est exposée. Utilisez des calculs pour démontrer de manière quantitative ce retour sur investissement et liez-le aux efforts et changements apportés par le programme de sécurité. Il s’agira également d’expliquer que cette dépense initiale, nécessaire à la mise en œuvre du programme de sécurité, reste bien inférieure aux répercussions potentielles qu’aurait une absence de protection adéquate lors d’une cyber-attaque sur les plans financier, de la réputation et le plan personnel (ex : SMR).

Non seulement la cybersécurité peut prévenir les graves répercussions d’une absence de protection des SI en cas d’attaque, mais elle peut aussi devenir un important catalyseur commercial. Une gestion efficace de la cybersécurité permettra, d’une part, la préservation des clients en cas d’une violation de sécurité correctement gérée et, d’autre part, de positionner l’organisation comme un gestionnaire des données et des informations des clients sûr. Une organisation sûre peut s’implanter rapidement dans de nouveaux environnements commerciaux et saisir des opportunités avec la certitude que sa maturité en matière de cybersécurité lui permettra de faire face aux nouvelles menaces potentielles qui pourraient découler de cette expansion, ouvrant ainsi la porte à l’élargissement de sa base de clients en toute sécurité.

Conclusion

En suivant les quatre étapes exposées dans cet article, vous pourrez établir une relation solide avec les cadres dirigeants en matière de sécurité de l’information, en vous assurant qu’ils soient conscients de leurs responsabilités en matière de cybersécurité dans le cadre du SMR et qu’ils allouent le budget et les ressources appropriés pour faire face aux menaces majeures qui pèsent sur l’organisation. Le framework personnalisé leur permettra de comprendre la posture actuelle de la cybersécurité et d’adhérer à la feuille de route pour une maturité future.  Une fois que cette cible de maturité de la cybersécurité aura été établie, les opportunités commerciales peuvent être un levier pour s’assurer que les dirigeants continueront d’investir dans le développement de la Sécurité de l’Information à l’intérieur de votre organisation.

Cet article Impliquer la direction dans la Sécurité de l’Information est apparu en premier sur RiskInsight.

Afin de formaliser notre expérience acquise et d’aller plus profondeur, nos experts ont créé un outil d’évaluation de maturité IAM.

Entretien avec Anatole CATHERIN, Manager et expert IAM depuis presque 10 ans chez Wavestone.

Bonjour Anatole, merci pour ton temps ! Pour commencer, pourrais-tu nous expliquer ce que c’est (vraiment) l’IAM ?

L’Identity and Access Management (IAM) est une discipline à la croisée de trois mondes.

Évidemment, celui de la cybersécurité puisqu’il s’agit de gérer les identités, les droits accordés à ces identités et l’accès des utilisateurs aux ressources de l’entreprise. Concrètement, chaque utilisateur a des accès dans le cadre de son rôle au sein d’une organisation. Les organisations doivent savoir qui peut faire quoi, quand et pourquoi au sein de leur système d’information. L’IAM est ainsi une condition sine qua non de la cybersécurité, notamment pour mettre en place une politique Zero Trust.

La gestion des identités et des accès doit aussi être perçue comme un business enabler, un facilitateur pour la réussite des programmes de transformation numérique des organisations , tout en offrant des processus opérationnels plus efficaces à ses collaborateurs et clients. Il permet par exemple de contrôler et fluidifier la gestion des arrivés, des départs ou des mobilités : l’IAM assure que chaque nouveau collaborateur bénéficie des bons accès, qu’en cas de mobilité ou de départ, les accès pertinents soient coupés et qu’il n’y ait pas de perte d’informations.

Le troisième volet est que l’IAM fluidifie l’expérience utilisateur des collaborateurs au sein d’une organisation. D’ailleurs, le meilleur système IAM ne se voit pas ; pouvoir travailler dès son arrivée ou bénéficier d’une connexion renforcée lorsque le contexte de sécurité le nécessite devraient être considérés comme normal, par tous.

Pourquoi est-ce si difficile de construire un système IAM qui fonctionne ?

Vous l’aurez compris, l’enjeu de l’IAM c’est de trouver (et garder) l’équilibre entre sécurité et fluidité de navigation et ce n’est pas simple.

Et pour progresser, il faut savoir où on en est… Mais d’expérience, nous avons constaté que nos clients éprouvaient des difficultés à mesurer l’efficacité de leur système IAM en place… et pour cause ! Il n’existe pas sur le marché de référentiel dédié pour s’évaluer. Les piliers du NIST restent très haut niveau et ne permettent pas de couvrir toutes les questions liées à l’IAM évoquées précédemment ; les référentiels existants ne traitent l’IAM que sous le volet cybersécurité sans mesurer son impact sur l’efficacité opérationnelle des procédures internes d’une organisation et sans mesurer non plus la fluidité du parcours utilisateur.

Le but en créant l’IAM Framework était donc de proposer un cadre qui évalue l’ensemble de la discipline et qui puisse servir à construire un plan d’actions concrètes.

Justement, peux-tu nous parler brièvement de l’outil d’évaluation de maturité IAM ?

Plus qu’un outil, je parlerais surtout d’un cadre de travail et d’une méthodologie outillée pour accompagner clients et les aider à faire un état des lieux de leur maturité IAM.

Le Framework permet de savoir où en est l’organisation à date : sur quel périmètre l’IAM est déployé (ou non) et quels sont les grands axes sur lesquels travailler. Il donne ainsi une vue d’ensemble, avec le bon cadre, le bon angle et la bonne résolution pour parcourir tous les sujets IAM.

Cette évaluation de maturité permet ensuite de prioriser les chantiers et de mettre en place un plan d’action IAM !  Grâce à ce cadre, nous pouvons identifier les grands axes d’amélioration, tout en tenant compte des spécificités de chaque organisation, via l’introduction de la notion de périmètre.

En résumé, il répond à trois objectifs : Evaluer, Améliorer et Etendre l’IAM sur d’autres périmètres, par exemple, au-delà des internes et prestataires, avec les clients ou partenaires. Il a été voulu exhaustif afin de mettre en lumière les manquements de nos clients et mesurer par la suite leur progression et l’efficacité de leur programme de transformation.

Notre ambition serait d’en faire le premier standard d’évaluation, intégralement dédié à l’IAM, avec un niveau de granularité suffisant pour couvrir toutes les thématiques !

Comment est-il construit ?

Concrètement, notre outil est composé d’une cinquantaine de questions qui couvrent les 6 thématiques IAM :

1. Gouvernance
2. Gestion des identités
3. Gestion des habilitations
4. Contrôle des accès
5. Gestion des accès à privilège
6. Rapport et contrôles

Il peut être utilisé dans plusieurs cas, dont voici 2 exemples :

Peux-tu nous parler de la dernière fois que tu l’as utilisé avec un exemple concret ?

Nous avons confronté le questionnaire à la réalité terrain lors de plusieurs missions, au cours desquelles l’exploitation de l’IAM Framework a permis d’accélérer la démarche mise en œuvre. Ces missions concernaient :

• la définition d’une feuille de route IAM pour une grande entreprise de l’énergie
• le cadrage d’une migration vers un outil IAM pour le compte d’un groupe bancaire, qui a permis de mesurer les écarts entre leur solution existante et la nouvelle
• l’évaluation de maturité IAM pour un acteur de l’assurance, afin d’identifier les points de frictions et les axes d’amélioration et d’établir une roadmap

Pour ces trois projets, la grille d’évaluation a permis d’identifier l’ensemble des sujets à traiter (connus ou non du client au départ) afin de fournir une roadmap actionnable couvrant l’intégralité des enjeux IAM. En d’autres termes, le Framework peut être utilisé comme cadre d’analyse pour la réalisation d’un projet.

De nouvelles missions vont se lancer sur le sujet et nous avons hâte d’accompagner de nouveaux clients pour améliorer leur structure IAM !

Un mot pour la fin ?

Je terminerai par rappeler toutes les qualités du Framework !

• Prêt à l’emploi, il permet de couvrir tous les sujets IAM grâce ses cinquantaines de questions, pensées par les experts Wavestone,
• Il offre une vision standardisée et formalisée de sa maturité sur le sujet de la gestion des accès et des identités. Cette évaluation est d’ailleurs l’occasion d’impliquer tous les acteurs clés impactés par l’IAM: les équipes cyber bien sûr, avec les équipes IT, mais aussi les équipes d’audit interne et surtout métier,
• Il facilite la priorisation des actions à mener dans le cadre d’un programme de transformation. Comme expliqué précédemment, il peut par ailleurs être utilisé à différent moment et peut donc s’inscrire comme support dans le cadre d’une réflexion plus large,
• C’est enfin un moyen flexible d’utilisation: soit à utiliser pour du très haut niveau (un niveau stratégique) soit à utiliser pour développer des actions très précises.

Envie de vous évaluer ? Contactez nous !

Cet article [INTERVIEW] Maturité IAM : où en êtes vous et pourquoi est-ce essentiel de le savoir ! est apparu en premier sur RiskInsight.

Introduction

Components of Electron 

https://www.wildnettechnologies.com/build-cross-platform-desktop-apps-with-electron/

Principe de l’attaque

• Le dossier « app » qui contient l’application ;
• Le fichier « electron.asar » qui prépare l’environnement Chronium au lancement de l’application.

app.on(‘browser-window-focus‘, function (event, bWindow) { bWindow.webContents.executeJavaScript(« alert(Hello Github !!’);« ) })

Démonstration

Conclusion

Cet article BEEMKA – Electron Post-Exploitation When The Land Is Dry est apparu en premier sur RiskInsight.

Tout l’enjeu pour les DSI dans les prochaines années va être d’intégrer au mieux ces services Cloud de différentes natures afin d’assurer une gestion unifiée de leur SI hybride. L’apparition des premiers Clouds hybrides constitue une première occasion d’adresser l’ensemble des problématiques techniques et organisationnelles à prendre en compte.

Les différents visages du Cloud hybride

Un Cloud hybride est un système basé sur au moins deux Clouds différents. Il permet de créer une continuité entre les données et les applications sur chacun des Clouds sous-jacents, qui gardent en parallèle leur parfaite autonomie. Ces Clouds sous-jacents peuvent être publics ou privés, internes ou externes. Toute combinaison public/public ou public/privé est considérée comme un Cloud hybride, à chacune ses avantages et ses cas d’usages spécifiques. Les motivations pour avoir recours au Cloud hybride sont variables selon les cas d’usage, même si l’optimisation des coûts et l’enrichissement du catalogue de services de la DSI arrivent souvent en tête de liste.

Parmi les Clouds hybrides, on trouve :

• Le Cloud privé/public, qui permet de tirer parti du meilleur des deux mondes

 Dans le Cloud public, la facturation à l’usage et la diminution des coûts d’investissement permettent plus de flexibilité et incitent à la proposition de nouveaux services, moins risqués à mettre en œuvre. Le catalogue de services proposé par la DSI peut ainsi s’enrichir rapidement. À l’inverse, la DSI peut conserver la maîtrise des systèmes pour lesquels le Cloud public n’est pas opportun (avantage concurrentiel pour l’entreprise, confidentialité des données manipulées, système legacy…) ou pas souhaitable d’un point de vue économique (systèmes avec des cycles d’évolution lents qui sont généralement amortis).

• Le Cloud multifournisseurs, qui  permet de faire jouer la concurrence

L’externalisation de services peut être faite sur deux Clouds publics concurrents afin de tirer profit des modèles de tarification proposés par chacun d’eux. Si l’on prend l’exemple d’une externalisation de virtual machines, un fournisseur peut proposer des prix attractifs sur les VM avec de fortes capacités de traitement (puissance de calcul, mémoire), et le second pour des VM de performance standard. Au-delà de l’optimisation économique, ce modèle de fonctionnement permet de réduire la dépendance avec chaque fournisseur. En cas de soucis sur le delivery, les modalités contractuelles et opérationnelles déjà mises en œuvre avec le concurrent permettent de déporter plus facilement le service touché.

• Le Cloud privé opportuniste, qui s’appuie sur le Cloud public en cas de pics de charge ou de sinistre

Certains services connaissent des pics de fréquentation, que ce soit une fois par an ou une fois par jour, pour des raisons connues ou parfaitement inconnues mais constatées. Ces pics de charge impliquent une augmentation des ressources à mettre à disposition mais qui restent inutilisées une large majorité du temps. Ces puissances de calcul, espaces de stockage, ou capacités mémoire nécessaires ponctuellement impliquent un investissement financier souvent disproportionné par rapport à l’usage qui en est fait. L’élasticité, la scalabilité ainsi que l’instantanéité de la mise à disposition des ressources du Cloud public permettent de diminuer drastiquement les coûts grâce au paiement à l’usage.

Le débordement sur le Cloud public est également indiqué dans le cas de l’externalisation d’un Disaster Recovery Plan, où l’infrastructure de secours d’un service interne (privé) est externalisée (public). Ce cas est intéressant car il permet à une DSI de ne pas réaliser d’investissements matériels lourds pour des environnements qui ne sont que très rarement utilisés.

Le Cloud hybride implique des problématiques d’intégration avant tout

Pour chacun des cas d’usages décrits précédemment, le challenge est d’arriver à unifier le pilotage de multiples Clouds pour permettre une intégration sans couture des services proposés aux utilisateurs. Le passage d’un Cloud à l’autre doit être transparent pour les utilisateurs, et ce de l’accès au service jusqu’à sa facturation. Pour rendre cela possible, la DSI doit adresser de multiples problématiques.

1 – Une gestion des identités à unifier

L’utilisateur d’un service offert par la DSI ne doit pas se préoccuper de sa provenance. Ainsi, les modalités d’accès, que ce soit en matière d’identification ou d’authentification, doivent être les mêmes pour l’ensemble des services, internes ou sur le Cloud. Ceci peut aller jusqu’à une authentification transparente (Single Sign On) sur les services proposés via un Cloud externe. Une gestion unifiée des identités sur l’ensemble du SI est donc nécessaire et celle-ci doit être pensée très tôt pour anticiper l’arrivée d’un nombre croissant d’applications SaaS.

2 – Des applications à rendre « Cloud-ready » dès la conception

Dans un monde hybride, les applications (fournies en interne ou par un fournisseur Cloud) doivent pouvoir s’exécuter sur différents types d’infrastructures. Ceci induit des contraintes à prendre en compte dès en amont pour limiter les adhérences avec le socle d’exécution (PaaS) et/ou le socle d’infrastructure (IaaS) sur lequel elles s’exécutent. Le meilleur moyen d’y parvenir est de s’appuyer sur des composants (frameworks de développement, serveurs d’applications, etc.) largement répandus, et de veiller à les utiliser de manière standard et sans introduire de liens forts entre les différentes couches (présentation / traitement / données ou logicielle / matérielle). La standardisation est également de mise lorsqu’il est question de données et d’interfaces.

3 – Une intégration de bout-en-bout de la gestion opérationnelle des services

Service management, orchestration et gestion du provisionnement, catalogue de services, facturation et portail de services… autant de problématiques qui encadrent le cycle de vie des services offerts par la DSI et dont la gestion doit être unifiée dans un Cloud hybride. La multiplicité des fournisseurs de services impacte fortement les méthodes usuelles de gestion des services car les outils et processus de la DSI doivent évoluer pour s’interfacer avec ces fournisseurs aux pratiques hétérogènes. Même s’ils ne suffisent pas à résoudre les questions de découpage de responsabilités entre DSI et fournisseurs ni à garantir la parfaite intégration des différents processus de Service Management, les outils de CMP (Cloud Management Platform) apportent aujourd’hui une 1^ère réponse aux difficultés rencontrées, en particulier pour gérer une infrastructure hybride (IaaS). Nous en précisons le fonctionnement dans l’article que nous avons publié sur IT Expert.

Ainsi, au-delà des problématiques techniques et organisationnelles liées à la mise en place d’un Cloud hybride, les DSI doivent résoudre des questions plus profondes sur leur rôle et leur positionnement face à l’arrivée du Cloud et des nouveaux modes de consommation des ressources IT. Autant de questions que nous traitons plus en détails dans notre Synthèse : DSI, devenez Cloud brokers !

Cet article Les clés pour assurer une gestion unifiée de son Cloud est apparu en premier sur RiskInsight.