Rappel de ce qu’est une subscription Azure

Une subscription Azure (en français abonnement) est un conteneur de ressources et de services cloud associé à un tenant, qui permet de gérer la facturation, les accès et le déploiement des ressources Azure.

Architecture des ressources sur Azure

Fonctionnement de l’attaque 

Sur Microsoft Azure, on considère la situation de départ suivante : 

• Il y a une organisation légitime (tenant victime), qui contient ou non une subscription. 
• Il y a une organisation malveillante (tenant de l’attaquant) sous le contrôle d’un attaquant. 

L’attaque suit alors les 4 étapes suivantes : 

Etapes de l’attaque Azure

1. L’attaquant doit être présent dans les deux organisations : Il compromet donc un administrateur interne au tenant victime pour faire inviter son compte externe dans le tenant, ou bien il convainc un administrateur non compromis de se faire inviter, sous un prétexte quelconque. Dans les deux cas, l’administrateur l’invite dans le tenant victime. 
2. L’attaquant prend pour cible une subscription existante ou bien en crée une nouvelle lui-même (ce qui nécessite des permissions), associé à un compte de facturation existant. 
3. L’attaquant obtient le rôle Owner sur la subscription visée. S’il l’a créée lui-même, il l’est déjà par défaut, sinon il doit le recevoir d’un administrateur. 
4. L’attaquant effectue le transfert de la subscription de l’organisation de départ à l’organisation d’arrivée. 

La subscription est désormais sous le contrôle complet de l’organisation de l’attaquant et peut facturer l’ancien compte de facturation.  

Pourquoi cette attaque est dangereuse ? 

Cette attaque est potentiellement très dangereuse car elle est instantanée à réaliser si les conditions sont réunies, donne à l’attaquant un contrôle complet sur la ressource et son éventuel contenu, et est irréversible sans intervention du support. 

Une attaque instantanée 

Par défaut, n’importe quel utilisateur Owner sur une subscription Azure, qui est également présent dans un autre tenant, peut effectuer le transfert sans restriction. 

Des conséquences multiples et potentiellement irréversibles 

La subscription passe sous le contrôle du tenant malveillant qui l’a récupérée. Il peut donc : 

• Avoir le contrôle total dessus tandis que l’utilisateur d’origine n’y a plus accès 
• En extraire toutes les ressources ou informations 
• L’utiliser en faisant facturer l’utilisation à l’ancien moyen de facturation appartenant au propriétaire légitime 

Note : Un intérêt du subscription hijacking est d’amener les ressources dans son propre environnement hors de contrôle du propriétaire légitime, pour s’en servir à son propre compte ou pour facturer des nouvelles utilisations à l’ancien propriétaire. Cependant, un simple transfert sans utilisation entraîne déjà des conséquences importantes : l’utilisateur aura perdu sa subscription, et donc aura perdu toutes les ressources, mais également la structure (rôles, assignations, règles), qui peut être très longue à reconstruire. 

Si le propriétaire légitime peut bloquer la facturation une fois qu’il réalise ce qu’il se passe, il n’y a en revanche pas de moyen de récupérer la subscription si l’attaquant a retiré tous les anciens Owner de celle-ci. La seule alternative devient alors de se tourner vers le support de Microsoft. 

L’article suivant de Derk van der Woude décrit un cas de minage de cryptomonnaies effectué avec des subscriptions volées et facturé à l’ancien propriétaire : 

https://derkvanderwoude.medium.com/azure-subscription-hijacking-and-cryptomining-86c2ac018983 

Comment s’en protéger ? 

Pour se protéger d’un transfert illégitime de subscription, il existe des mesures préventives que l’on peut citer pour prévenir chaque étape de l’attaque : 

Mesures préventives 

1. Accès de l’attaquant aux ressources : politiques d’accès conditionnelles

Les politiques d’accès conditionnel basées sur le risque permettent de renforcer automatiquement la sécurité en adaptant les contrôles selon le niveau de risque détecté lors d’une connexion ou associé à un utilisateur. Elles permettent par exemple de bloquer les accès suspects ou d’imposer une authentification multi facteur (MFA). Ainsi, l’accès d’un invité suspect pourrait être bloqué. 

      2. Montée en privilège/obtention du rôle Owner : gestion des identités privilégiées 

La gestion des identités privilégiées (Privileged Identity Management, PIM)​ permet d’accorder des rôles à privilèges élevés seulement quand cela est nécessaire, via une élévation temporaire, approuvée et justifiée. Il réduit ainsi les risques liés aux permissions excessives grâce au contrôle, au suivi et aux notifications d’activation. 

      3. Transfert de la subscription : politique de subscription (subscription policy) 

Une subscription policy permet de bloquer le transfert d’une subscription Azure vers ou hors du tenant afin d’éviter les détournements. Elle s’implémente via Azure Policy en définissant puis assignant une règle qui restreint les actions de transfert, avec des revues régulières pour garantir son efficacité. Elle s’applique à toutes les subscriptions se trouvant dans son scope d’assignation. 

Solutions de détection 

Certaines solutions permettent de détecter cette attaque sur Microsoft Azure : 

• UEBA (Sentinel) : détecte les comportements anormaux (connexions inhabituelles, accès sensibles, modifications inattendues). Cela permet d’identifier rapidement un compte compromis avant qu’il ne puisse détourner une subscription. 
• Privileged Identity Management (PIM)​ : contrôle les élévations de privilèges et peut déclencher des alertes en cas d’activation d’un rôle privilégié. 
• Alerte Sentinel personnalisée : Peut surveiller spécifiquement les événements indiquant un transfert de subscription. La règle analyse régulièrement les logs AzureActivity et déclenche immédiatement une alerte lorsqu’une opération suspecte comme le déplacement d’une subscription est détectée. 

Stratégie de résilience 

La stratégie de résilience à mettre en place est une sauvegarde (backup) des ressources qui permet de les restaurer en cas de détournement effectif de la subscription. 

1. Isoler les sauvegardes Azure Backup dans une subscription dédiée réservé aux backups avec des règles de sécurité strictes 
2. Protéger les sauvegardes : activer le soft delete (pas de suppression définitive immédiate), la suppression réversible, l’immutabilité (empêche la modification ou la suppression pendant une période), des verrous anti-suppression 
3. Multiplier les copies, éventuellement vers un autre tenant 
4. Sauvegarder également la gouvernance (configurations Entra ID via Microsoft 365 DSC, configuration d’infrastructure avec Terraform) 
5. Automatiser la reconstruction avec l’infrastructure-as-code (Blueprints, ARM, Terraform) 
6. Tester régulièrement les backups 

Réaction à l’attaque 

Subir cette attaque revient à perdre sa subscription Azure. Auquel cas, les options sont limitées. Il faut très rapidement : 

• Bloquer les accès de l’attaquant et révoquer les éventuels secrets compromis dans l’attaque 
• Contacter le support Microsoft Billing pour bloquer la facturation 
• Contacter le support Microsoft (technique/Azure) pour tenter de récupérer la subscription 

Et sur les autres providers ? (AWS et GCP) 

Une fois cette attaque identifiée sur Azure, la question de son existence (ou d’un équivalent) sur AWS et GCP se pose alors. Le concept de subscription n’existe pas en tant que tel sur ces deux fournisseurs cloud, cependant, des unités hiérarchiques équivalentes jouent le même rôle. S’il était possible de les migrer vers une autre organisation AWS et GCP de manière illégitime, ce serait un équivalent du subscription hijacking sur ces fournisseurs.  

AWS : un équivalent possible mais avec des conditions distinctes 

Sur AWS, l’équivalent hiérarchique de la subscription est le compte AWS : un compte AWS, présent dans une organisation, contient des utilisateurs IAM, des ressources et c’est à son niveau que la facturation est gérée, si elle n’est pas consolidée par le compte de gestion. 

Le but d’un attaquant serait donc ici de faire migrer ce compte AWS vers une autre organisation. 

Chemin à suivre 

Le chemin à suivre pour effectuer la migration est le suivant : 

Etapes de l’attaques AWS 

Un compte AWS contient : 

• Un utilisateur root, unique, qui dispose de tous les droits sur le compte 
• Des utilisateurs IAM disposant de droits IAM attribués

Dès lors, deux stratégies sont envisageables pour l’attaquant : parvenir à compromettre le root (auquel cas il peut effectuer toute action) ou réussir à monter en privilèges sur un utilisateur IAM classique. Cependant, l’approbation du root reste requise pour l’étape 1 (il peut par exemple avoir été manipulé pour effectuer cette action). De plus, si des guardrails ou des stratégies de contrôle des services (Service Control Policies) sont appliqués, le compte root doit toujours valider l’opération. Par conséquent, un utilisateur IAM, même avec des droits élevés, ne peut pas toujours migrer un compte de manière autonome. 

Des conséquences similaires à l’attaque Azure ? 

Il est établi que sur Azure, le transfert de la subscription entraînait une perte de contrôle totale sur celui-ci. Ici, sur AWS, deux nuances sont à introduire : 

• D’abord, comme le montre le schéma précédent, la facturation doit impérativement être changée (vers un mode de facturation indépendant) pour permettre la migration du compte sur une autre organisation, ce qui élimine le risque de se voir facturer des services par l’attaquant après la migration
• Ensuite, dans le cas théorique où c’est un utilisateur IAM non-root qui a réalisé la migration du compte (en ayant recueilli toutes les permissions nécessaires), alors cet utilisateur n’a pas un contrôle total sur ce compte, même en le laissant indépendant (standalone), ou en le faisant rejoindre une organisation sous son contrôle. Les comptes AWS ont en effet une forte indépendance, et le fait d’avoir un compte AWS dans son organisation ne permet pas d’en faire ce que l’on souhaite (accéder à certaines ressources, le supprimer) si l’on ne dispose pas du root

Conclusion 

Si l’attaque semble théoriquement possible sur AWS, elle nécessite plus de conditions et entraîne moins de conséquences négatives définitives que sur Azure. En définitive, le seul moyen de prendre le contrôle total d’un compte AWS reste de disposer de son root. 

GCP : un équivalent possible mais plus difficile à réaliser 

Sur GCP, l’architecture est plus proche d’Azure. L’équivalent de la subscription Azure est le projet GCP. Ici, le but de l’attaquant serait donc de faire migrer un projet d’une organisation GCP à une autre.  

Chemin à suivre 

Les étapes à suivre pour effectuer la migration sont les suivantes : 

Etapes de l’attaque GCP 

Des conséquences similaires à l’attaque Azure ? 

Les conséquences en cas de migration de projet GCP sont les mêmes que pour une subscription Azure : une perte de contrôle totale sur l’élément, et le risque de se voir facturer une utilisation de l’attaquant si la facturation n’a pas été modifiée. 

Conclusion 

Un détournement de ressources similaire au subscription hijacking visant Microsoft Azure est donc théoriquement possible sur GCP. Les conditions plus strictes qui sont nécessaires rendent cependant ce cas moins probable, mais il doit être considéré. 

Résumé des conséquences 

Résumé des conséquences

Conclusion 

Le subscription hijacking doit donc être considéré comme une attaque d’importance aux conséquences graves et à fort impact pour les organisations ou entreprises touchées. Protéger les unités hiérarchiques gérant la facturation et les ressources contre tout déplacement ou migration illégitime (les mesures vont varier suivant le fournisseur cloud visé), et prévoir des processus de remédiation et de sauvegarde en cas de perte est crucial pour la sécurité d’une organisation. 

Cet article Le subscription hijacking sur Microsoft Azure  est apparu en premier sur RiskInsight.

Ces utilisations malveillantes peuvent être réparties en 3 grandes catégories : 

• Désinformation et phishing amélioré : des vidéos falsifiées portant un discours travaillé peuvent être exploitées pour manipuler l’opinion publique, influencer des débats politiques ou diffuser de fausses informations. Le discours de la vidéo poussera par exemple la cible à cliquer sur des liens de phishing. Nous avons déjà vu par le passé de telle usurpation d’identité ciblant des personnalités publiques ou des PDG d’entreprises pour inciter à de faux investissement par exemple.  
• Fraude au président et ingénierie sociale : les attaques connues de « scam » téléphonique ou de fraude au président deviennent plus difficile à détecter et éviter si un attaquant imite la voix d’un dirigeant pour valider un transfert bancaire ou usurper une identité complète (visage et voix) pour accéder à des informations sensibles. Ces usurpations d’identité en direct, notamment en visioconférence, ont déjà causé de grands dégâts financiers comme ce fut le cas à Hong Kong début 20241.  
• Usurpation d’identité pour contourner les solutions de KYC2 : de plus en plus d’applications, notamment dans le domaine bancaire, utilise des processus de vérification d’identité pour l’utilisateur en analysant le visage de celui-ci en direct. Une modification numérique de l’image du visage envoyée à l’application peut permettre à un acteur malveillant de se faire passer pour une autre personne lors de la vérification d’identité.

Directement lié à l’évolution exponentielle de l’intelligence artificielle générative ces dernières années, le nombre de modèles disponibles pour générer des deepfakes ainsi que leur sophistication est en forte hausse. Il est de plus en plus courant que les entreprises subissent de telles attaques (comme l’atteste notre dernier rapport annuel CERT-W4) et il devient de plus en plus difficile de les détecter et contrer.  

Figure 1 – Augmentation des technologies deepfakes et des pertes financières en résultant

L’humain demeure la première cible et restait donc le premier rempart du système d’information pour lutter contre ce type d’attaques. Cependant, nous avons observé une évolution importante de la maturité de ces technologies sur cette dernière année et il devient de plus en plus difficile de distinguer le vrai du faux à l’œil nu.  

Après avoir accompagné de nombreuses entreprises dans la formation et la sensibilisation de leurs collaborateurs à ces menaces, il nous a paru essentiel de mener une étude analysant l’outillage qui permettrait de renforcer leur défense. Disposer de solutions de détection de deepfakes fiables n’est plus seulement un enjeu technique : c’est une nécessité pour protéger le SI contre les intrusions, maintenir la confiance dans les échanges numériques et préserver la réputation des personnalités et des entreprises. 

Notre Radar des solutions de détection des deepfakes présente un panorama d’une trentaine d’acteurs que nous avons pu rencontrer. Ceux-ci proposent des solutions variées que nous avons rigoureusement évaluées afin d’identifier les premières tendances de ce marché naissant. 

Pour mener ces tests techniques, certains acteurs ont mis à notre disposition une ou plusieurs versions de leur solution dans des environnements variés reflétant le déploiement habituel des solutions chez leurs clients. Nous avons alors construit une base de données de multiples contenus deepfake de typologie variée : type de média (audio seul, image, vidéo, interaction live) ; format (taille de l’échantillon, durée, extension) et outillage deepfake utilisé pour générer ces échantillons : 

Pour extraire au mieux de ces tests les tendances du marché, nous avons considéré 3 critères d’évaluation distincts : 

• La performance (capacité de détection des deepfakes, véracité des résultats sur les faux positifs, temps de réponse…) 
• Le déploiement (facilité d’intégration dans un environnement client, aide au déploiement et documentation) 
• L’expérience utilisateur (compréhension des résultats, facilité d’utilisation de l’outil…) 

Un marché émergeant qui a déjà fait ses preuves en conditions réelles 

Deux technologies différentes pour atteindre le même objectif  

Nous avons en premier lieu catégorisé les différentes solutions proposées selon le type de contenu détecté : 

• 56% des solutions détectent à partir de données visuelles du média (image, vidéo) 
• 50% de solutions optent pour une détection à partir de données audio (fichier audio simple ou audio d’une vidéo)  

Cette répartition homogène du choix de contenu à traiter nous permet d’étudier la performance de l’une ou l’autre des technologies. Si la plupart des solutions développées se repose sur des modèles d’intelligence artificielle entrainés pour classifier les contenus générés par de l’IA, le traitement d’un fichier visuel (type photo) ou d’un fichier audio (type mp3) diffère grandement dans les types modèles d’IA utilisés. Nous pourrions donc nous attendre à des différences de performance sur ces deux technologies. 

Cependant, nos tests techniques montrent que la précision des solutions est relativement semblable que ce soit pour celles traitant de l’image ou de l’audio. 

Il nous a paru également important de recenser les fournisseurs de solutions les plus matures qui cherchent maintenant à développer une capacité de détection des deepfakes sur des flux audio ou vidéo en direct (avec moins de 10 secondes de traitement de la source), sources d’attaques les plus dangereuses aujourd’hui. 

Celles-ci, traitant majoritairement l’audio, ont obtenu un score de précision de 73% des deepfake détectés comme tel. Cela montre la marge de progression possible pour ces jeunes acteurs dans la détection des attaques à la pointe de la technologie en direct.

Du PoC au déploiement at scale, un pas déjà franchi par certains 

La maturité des solutions varie également sur notre radar. Si certains fournisseurs sont des start-ups émergeantes pour répondre à ce besoin spécifique, d’autres n’en sont pas à leur premier produit sur le marché. En effet, certaines entreprises rencontrées présentaient déjà des activités sur des domaines tels que l’identification biométrique, outil d’intelligence artificielle et même générateur de contenu multimédia par IA ! Ces acteurs avaient donc une connaissance et expérience suffisante pour proposer à leur client un service packagé, déployable sur un large périmètre ainsi qu’un support post-déploiement. 

Néanmoins les startups plus jeunes gagnent également en maturité sur leurs services et permettent aussi d’aller au-delà de la phase de PoC en proposant aux entreprises différentes possibilités de déploiement : 

• La requête API, intégrable dans d’autres softwares, reste la façon privilégiée d’appeler les services permettant la détection des deepfake ; 
• Des plateformes GUI6 complètes en SaaS, certaines d’entre elles ayant déjà été déployées on-premise dans certains contextes, notamment en secteur bancaire ou de l’assurance ; 
• Des conteneurs dockers on-device, permettant notamment d’ajouter des plug-ins à des périphériques audio, vidéo ou à des logiciels de vidéoconférence pour une intégration adaptée aux besoins spécifiques de détection. 

Les cas d’usages des solutions de détection de deepfakes : tendances et évolution 

Des cas d’usages spécifiques aux besoins business critiques à protéger 

Pour s’adapter et répondre aux attentes et besoins du marché, les éditeurs se sont spécialisés pour répondre à des cas d’usage précis. En plus de la réponse « deepfake ou contenu original ? », certains éditeurs développent et proposent des fonctionnalités supplémentaires pour cibler un usage spécifique de leur solution. 

Figure 2 – Répartition des solutions selon le cas d’usage business ciblé 

Nous avons regroupé les différentes propositions des éditeurs en grandes catégories nous permettant de comprendre les tendances du marché : 

• KYC et vérification d’identité : dans les processus d’onboarding bancaire ou d’ouverture de compte en ligne, la détection de deepfake permet de distinguer une véritable vidéo d’un usager d’une imitation générée par IA. Cela protège les institutions financières contre l’usurpation d’identité et le blanchiment d’argent. Ces solutions vont notamment pouvoir donner des scores de « liveness » ou de taux de correspondance à la personne devant être identifiée pour affiner la détection. 
• Veille sur les réseaux sociaux et identification des sources : Pour éviter que des faux médias ou informations ne viennent s’attaquer à la réputation de leur client, certains éditeurs de solution ont déployé des veilles sur les réseaux sociaux ou des outils d’analyse de contenu multimédia en pièce jointe de mail pour réagir rapidement. Les fonctionnalités de ces solutions permettent notamment de comprendre comment et par quel modèle de deepfake ces contenus malveillants ont été produits pour aider à tracer la source de l’attaque. 
• Documents falsifiés et fraude à l’assurance : un certain nombre d’acteurs se sont tournés vers la lutte contre la fraude à l’assurance ou aux fausses pièces d’identité. Leurs solutions cherchent alors à détecter des altérations dans des pièces justificatives ou des photos de sinistres en mettant en évidence quelles parties de l’image d’origine ont été modifiées. 
• Détection des arnaques téléphoniques et usurpation d’identité en appel vidéo : ces types d’attaque se multiplient et reposent sur la création d’imitations réalistes de la voix ou du visage d’un dirigeant notamment pour tromper des collaborateurs et obtenir des virements ou informations sensibles. La majorité des systèmes de détection ciblant ces attaques ont développé des capacités d’intégration complète dans les logiciels d’appel vidéo ou sur les cartes sons des appareils à protéger. 

Ainsi, chaque solution est pensée avec des fonctionnalités spécifiques, alignée sur les besoins du marché pour maximiser la pertinence et l’efficacité opérationnelle des solutions de détection. 

L’open-source comme initiateur, les solutions propriétaires pour prendre le relai 

Nous avons parlé jusqu’alors de solutions majoritairement propriétaires. Cependant, l’approche open-source existe bel et bien dans ce domaine. Ces initiatives jouent un rôle important dans la recherche académique et l’expérimentation, mais elles sont souvent moins performantes et moins robustes face à des deepfakes sophistiqués. 

Si certaines proposent de très bons résultats sur des bancs de tests maitrisés (jusqu’à 90% de performance de détection7), les solutions propriétaires proposées par des éditeurs spécialisés offrent en général de meilleures performances en production. Elles se distinguent aussi par l’accompagnement : mises à jour régulières, support technique et services de maintenance, indispensables pour des environnements critiques comme la finance, l’assurance ou le secteur publique. Cette différence crée progressivement un écart entre la recherche open source et les offres commerciales, où la fiabilité et l’intégration en environnements complexes deviennent des arguments clés. 

Les faux positifs, la limite qu’il reste à repousser 

Beaucoup d’éditeurs mettent en avant leur capacité de performance de détection de contenu deepfake. Il nous a paru important de prolonger les tests pour comprendre les performances de ces solutions sur les faux positifs : les contenus réels sont-ils détectés comme du contenu naturel ou comme du contenu deepfake ? 

Les évaluations que nous avons menées sur plusieurs solutions de détection mettent en lumière des résultats contrastés selon les types de contenus.  

• Pour l’image et la vidéo : près de 40 % des solutions testées rencontrent encore des difficultés à gérer correctement les faux positifs. Sur ces solutions, nous pouvons obtenir entre 50% et 70% des images réelles analysées considérées comme deepfake. Cela limite alors leur fiabilité notamment si elles sont soumises à de nombreux contenus.  
• Sur le volet audio, les solutions se distinguent avec des performances plus solides sur les faux positifs : seulement 7%. Seuls quelques échantillons particulièrement altérés (mais sans IA) ou de mauvaise qualité ont été détectés comme deepfake par certaines solutions. 

Pour pallier ces problèmes, certains éditeurs cherchent à combiner le traitement image/vidéo et audio. Aujourd’hui, ces deux modalités demeurent le plus souvent traitées comme deux scores séparés, conservant généralement le score tendant le plus vers le contenu généré par IA. Des pistes d’amélioration sont en cours chez certains éditeurs pour se servir de ces deux scores avec plus de complémentarité pour réduire les faux positifs. 

Quel futur pour la détection de deepfakes? 

Les solutions actuelles ont démontré leur efficacité dans la plupart des conditions existantes aujourd’hui dans l’écosystème d’attaques deepfake. Cependant, dans un contexte où ces technologies et leurs utilisations se réinventent rapidement, les éditeurs vont devoir faire face à deux défis majeurs.  

Le premier axe concerne l’efficacité face aux outils génératifs inconnus : si la maîtrise des technologies de génération les plus courantes est désormais bien établie, les écarts de performance apparaissent lorsqu’il s’agit de détecter des contenus produits par des technologies émergentes, moins documentées et plus opaques.  

Le second axe clé réside dans la détection en temps réel. À ce jour, seulement 19 % des solutions intègrent de telles fonctionnalités, et même parmi celles-ci la performance observée demeure insuffisante pour répondre à ces besoins qui seront les vraies préoccupations de demain. Pour contraster ces propos, des progrès notables apparaissent déjà du côté de la détection audio, qui se profile comme une avancée prometteuse pour renforcer la sécurité dans des scénarios critiques de phishing ou fraude au président via appel audio deepfake. 

La maturité du marché dans ces technologies de pointe s’accélère, et tout laisse à penser que les solutions de détection rattraperont rapidement leur retard face aux dernières avancées en matière de création de deepfakes. Les prochaines années seront déterminantes pour voir émerger des outils plus fiables, plus rapides et mieux intégrés aux besoins métiers.  

Cet article Radar de solutions anti-Deepfake :  étude de l’écosystème des solutions de détection de contenu généré par IA  est apparu en premier sur RiskInsight.

Les attaques impliquant ces chaînes d’approvisionnement introduisent de nouveaux risques dans les systèmes d’information. Des intrusions peuvent entraîner des fuites de propriété intellectuelle, des altérations de code source, des interruptions de service ainsi que des élévations de privilèges vers des parties plus critiques du SI.  

Quels sont donc ces nouveaux vecteurs d’attaques sur les chaînes CI/CD et comment s’en protéger ? Cet article vise à dresser un panorama de chemins de compromission observés sur le terrain, ainsi que des recommandations pour les contrer. 

Quels risques pour les chaînes CI/CD ? 

L’attaque de SolarWinds en 2020 est un exemple qui ne cesse d’être énoncé, mais qui a mis en lumière l‘ampleur qu’une attaque de ce type peut causer. Après avoir vraisemblablement volé des identifiants FTP laissés en clair dans un ancien dépôt GitHub, l’opération a exploité la chaîne d’approvisionnement de SolarWinds en insérant un beacon C2 (Command & Control) dans leur logiciel de gestion réseau, Orion, en amont du processus de signature. 

Cette backdoor a permis aux attaquants d’accéder aux réseaux internes de plusieurs agences gouvernementales américaines et entreprises privées, et ce, pendant plusieurs mois avant d’être détectée. 

Cet incident, ainsi que des plus récents comme Log4Shell, Codecov et XZ Utils, ont non seulement souligné la nécessité d’une sécurité accrue dans la chaîne CI/CD mais aussi celle d’une réponse à incident beaucoup plus adaptative. L’OWASP présente de façon concrète un panorama des surfaces de risques les plus communes dans leur Top 10 CI/CD Security. 

Fig 1 – Top 10 OWASP CICD-Sec 

Quels retours terrain chez Wavestone ? 

Les audits et tests d’intrusion permettent de détecter des vulnérabilités de façon proactive avant qu’elles ne soient exploitées par des attaquants. En simulant de réelles attaques, ces évaluations offrent une perspective pratique sur la manière dont un système peut être compromis, ce qui permet d’appréhender plus concrètement les potentielles failles dans un système. 

Les différentes interventions menées chez nos clients nous permettent de faire un constat clair : 

• Dans nos audits Cloud et CI/CD, des vulnérabilités sont systématiquement trouvées au niveau des chaînes CI/CD, permettant dans la majorité des cas de prendre le contrôle de la chaîne, des artefacts, voire des infrastructures sous-jacentes.  
• De même, au niveau de nos interventions CERT & RedTeam, nous observons que les chaînes CI/CD sont souvent utilisées comme accélérateur dans les chemins de compromission. 

Regardons ensemble deux exemples d’attaque observés par nos équipes d’audit : 

Ce premier test d’intrusion en boîte grise a permis la compromission totale d’une organisation Cloud AWS (600+ comptes) en partant de comptes standards de DevOps. 

Dans ce scénario d’attaque, 

• Un attaquant pousse du code malveillant vers un repository GitLab, déclenchant une pipeline dans GitLab CI qui déploie ce code dans un pod Kubernetes générique. 
• Ce code ouvre un reverse shell, permettant à l’attaquant de se connecter à distance à l’environnement Kubernetes. 
• Depuis ce pod, l’attaquant exploite le fait que le compte de service associé au nœud dispose de privilèges trop élevés (capacité de patcher des jetons dans le cluster) et patch le jeton du nœud administrateur par un jeton générique. 
• Quand un redéploiement est déclenché, le pod malveillant ne peut qu’être déployer sur l’ancien nœud administrateur bénéficiant toujours des droits admin. 
• Cela permet donc à l’attaquant d’obtenir des privilèges élevés et de se latéraliser dans l’infrastructure AWS, compromettant ainsi le cluster Elastic Kubernetes Service (EKS) et les ressources associées. 

Regardons maintenant un deuxième exemple : 

Fig 3 – Condensé de plusieurs typologies d’attaques observées dans les CI/CD de nos clients 

Ce condensé, présenté à la DefCon & BSides 2022, met en évidence comment différents composants d’une chaîne peuvent être utilisés dans une attaque. Retrouvez cette présentation détaillée sur les nouveaux vecteurs d’attaque liés aux CI/CD en vidéo ! 

Quelles recommandations pour sécuriser sa chaîne CI/CD ? 

La chaîne CI/CD est désormais devenue un composant systémique des systèmes d’information pouvant être utilisée afin de compromettre des ressources critiques d’une entreprise. 

Nos recommandations en matière de sécurité de la chaîne CI/CD peuvent être articulées autour de trois grands axes : la gestion des identités et des accès (IAM), une meilleure conception de la chaîne CI/CD, ainsi que sa surveillance. Ces recommandations suivent notamment le guide DevSecOps de l’ANSSI. 

Fig 4 – Trois grands axes de recommandations pour sécuriser une CI/CD 

Gestion des identités et accès (IAM) 

Fig 5 – Recommandations IAM

Gestion des identités 

Outre les règles traditionnelles de gestion du cycle de vie des identités, il est recommandé d’utiliser systématiquement du Single-Sign On (SSO) avec authentification multifacteur (MFA) afin de réduire significativement le risque d’intrusion en CI/CD. Cela assurerait par exemple que les utilisateurs qui accèdent aux dépôts de code, qui signent un commit ou effectuent tout autre action privilégiée soient légitimés. 

Contrôle des accès 

Il est nécessaire de limiter au maximum les droits des utilisateurs et des comptes de service selon leur fonction dans la chaîne CI/CD, toujours en suivant le principe du moindre privilège. Les comptes sans mot de passe gérés par jetons d’accès doivent également être soumis à une gouvernance claire, avec des règles de cycle de vie, de rotation et de recertification régulière pour réduire les risques liés à leur utilisation. 

Cela peut aussi se faire en passant par du contrôle d’accès basé sur les rôles (RBAC). Par exemple, il ne serait pas utile de manière générale de donner un accès en écriture sur la configuration de la chaîne en elle-même à un développeur travaillant sur un projet spécifique. 

De la même façon, il est pertinent de segmenter ses projets en utilisant différents dépôts de code et de s’assurer que le compte orchestrateur d’un projet n’ait pas des droits excessifs sur le déploiement des projets auxquels il n’est pas rattaché. 

Gestion des secrets 

Les secrets en CI/CD désignent des données sensibles telles que des mots de passe, des clés d’API, des certificats ou des jetons d’accès. Ces secrets permettent notamment d’effectuer des actions privilégiées dans les pipelines et doivent être récupérés de façon automatique. 

Des éditeurs comme HashiCorp proposent des solutions de gestionnaires de secrets pour stocker facilement ses données sensibles et les chiffrer en transit et au repos.  

Conception de la CI/CD 

Fig 6 – Recommandations sur la conception d’une CI/CD 

Segmentation des environnements 

Il est nécessaire de préserver le cloisonnement entre les utilisateurs, les applications et l’infrastructure pour minimiser les impacts en cas de compromission. Reprenant des conseils de l’ANSSI, il faut considérer les actions réalisées par la chaîne CI/CD de production comme des actions d’administration et réduire au maximum le nombre d’utilisateurs pouvant y accéder. De plus, il est nécessaire d’utiliser du chiffrement bout à bout et de s’assurer qu’aucun environnement n’est exposé sur internet. 

Intégration d’outils tiers 

De la même manière que l’attaque SolarWinds, un grand nombre d’attaques de type supply-chain sont à l’origine un composant tiers compromis dans une chaîne CI/CD. Ces outils tiers sont souvent indispensables au bon fonctionnement des chaînes d’approvisionnement, ils peuvent aller d’un simple add-on sur un espace de développement, jusqu’à un outil de contrôle de version ou un orchestrateur. 

Généralement, ces outils se voient accorder des droits leur permettant d’accéder à des ressources sensibles ou d’effectuer des actions spécifiques au sein de la chaîne CI/CD. Si une vulnérabilité sur un outil n’est pas patchée et est exploitée par un attaquant, la capacité d’intervention sera limitée car la résolution de la faille dépendra souvent du fournisseur de l’outil. Il convient donc d’adopter une gouvernance stricte et un processus de Third-Party Cyber Risk Management (TPCRM) pour ces outils tiers. 

Gestion des artefacts 

Pour éviter de stocker des artefacts malveillants, il est recommandé de les signer en amont de la chaîne pour assurer leur intégrité en vérifiant cette signature au moment de leur déploiement. De la même façon, il faut s’assurer de ne pas déployer des librairies malveillantes en réalisant des scans Software Composition Analysis (SCA) régulièrement. 

Surveillance de la chaîne  

Fig 7 – Recommandations de surveillance 

Journalisation et détection 

Garder un haut niveau de visibilité et de contrôle sur tous les composants de la chaîne permet d’assurer une maintenance plus facile et une réponse plus rapide en cas d’attaque.  

Premièrement, il faut mettre en place une stratégie de journalisation adaptée, en maintenant des logs contenant uniquement ce qui est utile à la traçabilité et la responsabilité en cas d’incident. Il faut aussi s’assurer de stocker ces logs de façon sécurisée, ne pas y laisser des secrets en dur, ainsi que les partager efficacement à son Security information and Event management (SIEM). 

Aussi, pour réévaluer sa posture de sécurité et limiter au maximum les possibles chemins de compromission du pipeline CI/CD, des audits et des tests d’intrusion réguliers sont nécessaires.  

Réponse à incident 

Enfin, il faut s’assurer d’inclure sa chaine CI/CD dans ses plans de réponses à incident au même titre que n’importe quel autre périmètre de son système d’information. Il convient par exemple d’avoir des sauvegardes de son code source et ses configurations ainsi que des plans de continuité d’activités en cas de panne d’un outil. 

En conclusion 

Les chaînes CI/CD sont devenues une véritable pierre angulaire dans les systèmes d’information. Ces composants systémiques sont aujourd’hui indispensables pour développer et déployer des applications. Pourtant, leur criticité dans les SI appelle à mettre en place des mesures de sécurité adaptées pour qu’elles ne deviennent pas un vecteur d’attaques.  

Fig 8 – Quelques composants systémiques et critiques en CI/CD 

Outre les recommandations de cet article, d’autres mesures préventives peuvent se traduire plus précisément par des guides de durcissement pour des outils particuliers d’une chaîne. L’adoption d’une stratégie pertinente de formation des utilisateurs ainsi que de conduite du changement est aussi nécessaire pour réussir ces transformations.  

Un grand merci à Jeanne GRENIER pour sa précieuse contribution à la rédaction de cet article.

Cet article CI/CD : la nouvelle pierre angulaire du SI ?  est apparu en premier sur RiskInsight.

Ces dernières années, les régulateurs ont régulièrement incité les assureurs à adopter des stratégies holistiques allant bien au-delà des approches traditionnelles de relance après un sinistre — en intégrant la résilience au cœur des opérations commerciales et tout au long du cycle de vie du développement des logiciels.

Ce document vise à offrir une perspective globale sur la résilience, en réunissant la continuité opérationnelle, la cybersécurité et la gestion des risques liés aux tiers. Il peut servir de guide stratégique pour les dirigeants (CxO), en expliquant comment identifier le Minimum Viable de l’Entreprise (EMV), en fournissant des analyses de marché sur la tolérance aux perturbations à l’échelle du secteur, et en anticipant l’évolution du cadre réglementaire et de la résilience cyber jusqu’en 2030.

Cadre du Minimum Viable de l’Entreprise (EMV)

La politique sur la résilience opérationnelle de la FCA (PS21/3) oblige les assureurs à identifier leurs Services d’Activité Importants (SAI) et à développer des stratégies pour les maintenir lors de perturbations sévères.
Bien que le concept d’EMV ne soit pas explicitement mentionné dans la PS21/3 (politique de la FCA sur le renforcement de la résilience opérationnelle, publiée en mars 2021), les organisations sont invitées à définir leur « empreinte opérationnelle minimale », ce qui s’aligne étroitement avec les principes de l’EMV.

Pensez l’EMV comme la bouée de sauvetage de votre organisation : ces services, processus, technologies et équipes indispensables qui maintiennent la confiance et la stabilité financière, même lorsque tout le reste doit être mis en pause.

La plupart des organisations maintiennent une légère EMV  — elle représente seulement 15 à 17 % de l’activité totale — soutenue par des listes solides d’applications critiques, d’infrastructures essentielles, de données clés et de relations tierces vitales.
Ce n’est pas qu’une simple question de conformité : il s’agit d’identifier une base modulaire et évolutive permettant à l’entreprise d’isoler les problèmes, de se rétablir rapidement et de continuer à opérer en période de risques systémiques.

Sur la base de notre vaste expérience auprès des principaux acteurs de l’assurance au Royaume-Uni et à l’international, voici une liste indicative des services essentiels généralement identifiés :

Analyse approfondie des tendances en matière de tolérance à l’impact, avec un examen détaillé des standards observés et des justifications stratégiques pour les services essentiels identifiés dans le cadre de l’EMV.

Remarque : Les plages de tolérance présentées ci-dessous sont fournies à titre indicatif, sur la base de notre étude de marché et de notre expérience en conseil réglementaire. Les tolérances réelles peuvent varier en fonction de plusieurs facteurs, tels que les juridictions concernées, le profil de risque de l’organisation et sa capacité financière.

Tendances réglementaires : perspectives 2025–2030

Alors que le secteur de l’assurance doit faire face à des exigences opérationnelles en constante évolution, il est tout aussi essentiel d’anticiper les mutations du paysage réglementaire qui marqueront les années à venir.
Les perspectives suivantes mettent en lumière les principales tendances réglementaires prévues pour la période 2025 à 2030, en exposant les exigences clés en matière de conformité ainsi que les évolutions attendues qui façonneront les cadres de gestion des risques et de reporting du secteur de l’assurance au Royaume-Uni.

Il est important de reconnaître qu’à mesure que la réglementation dans ce domaine continue d’évoluer, les régulateurs britanniques tels que la FCA et la PRA tendent à s’aligner davantage sur les grands cadres européens, notamment le Règlement européen sur la résilience opérationnelle numérique (DORA) et la directive sur la sécurité des réseaux et de l’information (NIS).

Cet alignement traduit une prise de conscience de l’interconnexion des marchés financiers et des services critiques au-delà des frontières, ainsi que de la nécessité d’appliquer des normes cohérentes et renforcées en matière de résilience opérationnelle et cyber.

La FCA et la PRA ont publié des consultations et des orientations indiquant leur intention d’intégrer les principes fondamentaux de DORA et de NIS — tels que la gestion renforcée des risques liés aux tiers, des obligations harmonisées de déclaration d’incidents, et des tests de résilience à l’échelle du secteur — dans le régime réglementaire britannique.
Cette convergence garantit que les institutions financières, les assureurs et les prestataires de services du Royaume-Uni soient préparés non seulement aux exigences réglementaires nationales, mais également aux impératifs d’un marché global et numériquement intégré.

Liste de vérification de la résilience pour les conseils d’administration

À la lumière de ces évolutions réglementaires à venir et des réformes stratégiques en cours, il est essentiel que les conseils d’administration évaluent et renforcent leurs cadres de résilience organisationnelle.
La liste suivante est conçue pour aider les équipes dirigeantes à évaluer de manière proactive leur niveau de préparation, à garantir une gouvernance solide et à intégrer la résilience au cœur des processus décisionnels.

• Couverture EMV : Votre Entreprise Minimum Viable (EMV) est-elle clairement définie, cartographiée et testée sous contrainte pour garantir la continuité des services essentiels ?
• Étalonnage de la tolérance à l’impact : Avez-vous validé des tolérances réalistes à travers des analyses de scénarios, et les avez-vous comparées à celles d’institutions similaires et aux exigences réglementaires ?
• Visibilité des risques liés aux tiers : Disposez-vous d’une visibilité en temps réel sur vos dépendances critiques externes, avec des plans de secours et des clauses de résilience dans les contrats ?
• Fonctions de résilience intégrées : Vos équipes en résilience opérationnelle, cybersécurité, gestion des tiers, gestion des risques et de communication au conseil d’administration sont-elles alignées sur le plan stratégique et cohérentes ?
• Préparation à la gestion des incidents : Disposez-vous de mécanismes robustes pour la déclaration multicanal des incidents (interne et externe), ainsi que d’un dialogue actif avec les régulateurs, soutenu par des plans d’action éprouvés ?
• Alignement de l’assurance cyber : Votre couverture d’assurance cyber est-elle adaptée à votre profil de risque spécifique, et testée face à des scénarios de menaces en évolution portant sur des actifs critiques ?
• Responsabilisation du conseil : Les membres du conseil d’administration ont-ils été formés à la surveillance de la résilience et de la cybersécurité, et reçoivent-ils des rapports réguliers des fonctions de gestion des risques intégrées pour garantir une gouvernance éclairée ?
• Culture de la résilience : Une culture de la résilience est-elle ancrée dans toute l’organisation — du comité exécutif aux équipes opérationnelles — pour encourager la prise de responsabilité proactive et l’amélioration continue face aux risques ?
• Veille réglementaire et anticipation : Suivons-nous de manière proactive les évolutions réglementaires locales et internationales (par ex. DORA de l’UE, FCA SS1/21, règles cyber de la SEC), tout en assurant la sensibilisation et la préparation au niveau du conseil d’administration ?

Le secteur britannique de l’assurance et de la réassurance est bien capitalisé, en pleine transformation numérique, et stratégiquement positionné pour la croissance.
Mais la résilience — qu’elle soit opérationnelle, cyber, ou liée aux tiers — reste le facteur déterminant du succès à long terme.

En harmonisant soigneusement leurs stratégies de résilience avec les normes internationales les plus avancées, les organisations peuvent non seulement renforcer leur position sur le marché, mais aussi gagner la confiance durable des parties prenantes.
Cette approche proactive permet de rester conforme dans un environnement réglementaire en constante évolution, tout en consolidant la capacité à atténuer les risques transfrontaliers et à réagir de manière décisive face à des perturbations imprévues.

Dans un monde où les menaces numériques et les vulnérabilités des chaînes d’approvisionnement dépassent les frontières géographiques, développer une résilience reconnue à l’échelle internationale n’est pas seulement une obligation réglementaire, mais un pilier fondamental d’une stratégie d’entreprise durable et tournée vers l’avenir.

En conclusion, les dirigeants doivent intégrer des cadres de résilience robustes et intégrés pour garantir une croissance et une stabilité à long terme. En cultivant une culture de gestion proactive des risques et de veille réglementaire, les institutions peuvent se positionner à l’avant-garde de l’excellence opérationnelle — prêtes non seulement à faire face aux défis, mais à les transformer en opportunités de succès durable.

Cet article Résilience par design : Les impératifs stratégiques pour les assureurs généraux et de réassurance au Royaume-Uni (2025 – 2030) est apparu en premier sur RiskInsight.

Contrairement à l’IA traditionnelle, qui possède une autonomie limitée, les agents IA sont capables de planifier leurs actions de manière autonome, en s’appuyant sur la compréhension de leur environnement pour atteindre des objectifs définis dans leur périmètre d’actions. Cette montée en puissance est directement liée à l’intégration des LLMs (Large Language Models) dans leurs systèmes, leur permettant de traiter des entrées complexes et de lancer des actions en simulant le raisonnement humain.

L’impact attendu est considérable : d’ici 2028, l’IA agentique pourrait automatiser 15% des décisions récurrentes[1] et être intégrée à 33% des applications d’entreprise — contre quasiment aucune aujourd’hui. À l’horizon 2029, l’IA agentique pourrait résoudre de manière autonome jusqu’à 80 % des demandes courantes en service client, réduisant les coûts jusqu’à 30 %.[2]

En parallèle, la perception des risques évolue. Début 2024, Gartner a interrogé 345 responsables du risque, qui ont identifié deux principales menaces émergentes : les activités malveillantes pilotées par l’IA et la désinformation.[3]

Cette tension entre le potentiel immense de l’IA agentique et l’élargissement de la surface de risque qu’elle implique soulève une question essentielle :

« Comment les organisations peuvent-elles déployer l’IA agentique à grande échelle en toute sécurité, en équilibrant l’innovation avec la responsabilité, et l’automatisation avec le contrôle ? »

Cet article explore cette question, en soulignant les risques clés, les principes de sécurité et les conseils pratiques pour aider les RSSI et les leaders technologiques à naviguer dans la prochaine vague d’adoption de l’IA.

Un agent IA, un système d’IA autonome dans la prise de décision

Au sein des systèmes d’IA, les agents sont conçus pour traiter les stimuli externes et y répondre par des actions spécifiques. Les capacités de ces agents peuvent varier de manière significative, en particulier selon qu’ils sont ou non alimentés par des LLM.

Les agents traditionnels suivent généralement un flux de travail basé sur des règles préprogrammées : ils reçoivent des données, les classifient et exécutent une action prédéfinie.

Figure 1 : Un diagramme montrant les différentes parties constitutives d’un agent doté de LLM, montrant 1) les stimuli externes, 2) les processus de base des agents (raisonnement et outils) et 3) les actions de l’agent.

Les agents IA introduisent une nouvelle dimension en incorporant un (ou plusieurs) LLM pour effectuer le raisonnement et la prise de décision entre la perception et l’action. Cela rend les réponses plus flexibles et adaptées au contexte et, dans de nombreux cas, permet aux agents IA de se comporter davantage comme des intermédiaires humains.à

Comme illustré dans la figure 1, un agent IA traite les informations en plusieurs étapes :

1. Perception : L’agent IA reçoit des stimuli externes, tels que du texte, des images ou des sons.
2. Raisonnement : Ces entrées sont traitées par une couche d’orchestration, qui les transforme en formats structurés à l’aide de règles de classification et de techniques d’apprentissage automatique. Le LLM joue ici un rôle central. Il ajoute une couche de réflexion adaptative qui permet à l’agent d’analyser le contexte, de sélectionner des outils, d’interroger des sources de données externes et de planifier des actions en plusieurs étapes.
3. Action : Avec des données affinées et une couche de raisonnement appliquée, l’agent exécute des tâches complexes, souvent avec une plus grande autonomie que les systèmes traditionnels.

Cette architecture donne aux agents IA la capacité d’opérer dans des environnements dynamiques. Ils peuvent ainsi s’adapter en temps réel et collaborer avec d’autres agents ou systèmes, ce qui constitue un élément clé de différenciation par rapport à l’automatisation antérieure, plus statique.

En résumé, les agents IA dotés d’un LLM peuvent réaliser des actions plus complexes en appliquant une forme de raisonnement similaire à de l’intelligence humaine – un « raisonnement d’IA ». Les inputs sont transformés puis affinés, ce qui les rend plus puissants et plus polyvalents que des agents traditionnels qui profitent du RPA (Robotic Process Automation).

Retour d’expérience terrain sur l’usage des agents IA chez nos clients

Les entreprises ont reconnu à juste titre le potentiel de ces agents IA dans une variété de cas d’usage, allant du plus simple au plus complexe. Plongeons-nous dans le détail des cas d’usage les plus courants, en les différenciant par leur niveau d’autonomie.

Cas d’usage standard : Chatbot / agents virtuels

Les agents IA peuvent être configurés pour fournir des réponses instantanées à des questions complexes et ne répondre qu’à partir de certains référentiels d’information. Cela leur permet de guider les utilisateurs de manière fluide et efficace à travers des bibliothèques SharePoint (ou autres référentiels de documents). Agissant à la fois comme une fonction de recherche et comme un assistant, ces agents peuvent améliorer considérablement la productivité des employés en réduisant le temps passé à rechercher des informations et en garantissant aux utilisateurs un accès rapide aux données dont ils ont besoin. Par exemple, un chatbot intégré à SharePoint peut aider les employés à localiser des documents spécifiques, à comprendre les politiques de l’entreprise ou même à contribuer aux processus d’intégration en fournissant des informations et des ressources pertinentes. Ces agents ont peu d’autonomie et ne font que répondre directement aux demandes formulées par les utilisateurs.

Cas d’usage intermédiaires : Automatisation des tâches récurrentes

Les agents peuvent être utilisés pour rationaliser les tâches répétitives telles que la gestion des plannings, le traitement des demandes des clients et des transactions. Ces agents peuvent être conçus pour suivre des processus spécifiques, offrant des avantages significatifs par rapport aux humains en limitant les erreurs et en augmentant la productivité. Par exemple, un agent IA peut :

• Planifier des réunions en comparant les calendriers des participants,
• Envoyer des rappels
• Traiter les demandes courantes de service à la clientèle telles que le suivi des commandes ou la mise à jour des comptes

Cette automatisation permet d’une part de gagner du temps, et d’autre part de garantir la cohérence et la précision des tâches. En outre, en s’occupant des tâches récurrentes, les agents IA permettent aux employés de se concentrer sur des activités plus complexes et stratégiques, contribuant ainsi à accroître l’efficacité et la productivité au sein de l’organisation.

Cas d’usage avancés : Analyse de données complexes et gestion des vulnérabilités

Les agents peuvent également être utilisés pour des cas d’usage plus complexes, notamment pour la cybersécurité. Par exemple, Microsoft a récemment annoncé le lancement d’agents IA avec Security Copilot, un produit portant sur la qualification des incidents de cybersécurité.

Un cas d’usage particulièrement intéressant concerne les agents spécialisés dans la remédiation des vulnérabilités. Ces agents, au sein de Microsoft Intune, viendront :

• Surveiller les vulnérabilités des endpoints,
• Evaluer ces vulnérabilités en termes de risques et d’impacts potentiels,
• Produire une liste de mesures de mitigation classées par ordre de priorité.

Les équipes de sécurité peuvent ainsi se concentrer sur les problèmes les plus critiques, augmentant ainsi leur productivité. En automatisant l’identification et la hiérarchisation des vulnérabilités, ces agents permettent aux équipes de sécurité de s’attaquer rapidement aux menaces les plus pressantes, réduisant ainsi le risque de failles de sécurité et améliorant la posture de sécurité globale.

La promesse de rentabilité et d’automatisation intelligente est convaincante, mais elle introduit également un compromis stratégique. Les RSSI seront confrontés au défi de sécuriser des systèmes de plus en plus autonomes. En effet, en l’absence de garde-fous robustes, les organisations s’exposent à des perturbations opérationnelles, à des difficultés de gouvernance et à des atteintes à leur réputation. Il faudra également porter une vigilance accrue à la traçabilité des actions des agents, à la visibilité des assets et à la sécurité du Cloud.

Les avantages sont évidents, mais les risques aussi. Sans une approche axée sur la sécurité, l’IA agentique pourrait rapidement représenter un casse-tête handicapant plutôt qu’un atout.

Des risques majoritairement connus mais dont la vraisemblance et l’impact augmentent

Pour un système d’IA traditionnel, les surfaces de menace sont généralement limitées aux entrées, au comportement du modèle et aux sorties et à l’infrastructure. L’IA agentique introduit un nouveau niveau de complexité en matière de sécurité : ils interagissent de manière dynamique et autonome avec leur environnement. Cela couvre les échanges d’agent à agent, d’agent à humain et d’humains à agents. Ces flux peuvent être difficiles à tracer, à surveiller ou à contrôler en temps réel. Par conséquent, le périmètre de sécurité s’étend au-delà des modèles statiques pour englober les comportements et les interactions imprévisibles.

Les travaux récents de l’OWASP sur la sécurité des agents [4] mettent en valeur l’ampleur des menaces auxquelles sont confrontés les agents IA aujourd’hui. Ces risques se divisent en 3 catégories :

• Certains sont des risques traditionnels de cybersécurité (par exemple : la fuite de données et les attaques sur la supply chain),
• D’autres sont des risques généraux liés à l’IA Générative (par exemple : hallucinations, empoisonnement du modèle),
• Une troisième catégorie émergente concerne spécifiquement l’autonomie des agents à réaliser des actions dans le monde réel.

Outre les risques traditionnels, les systèmes d’IA agentique présentent de nouvelles menaces pour la sécurité, telles que l’exécution non autorisée ou involontaire de codes, ou encore le « détournement d’agent », où les agents sont manipulés à des fins malveillantes. Ces risques sont amplifiés par la manière dont de nombreux agents IA sont développés aujourd’hui.

Environ 90 % des cas d’usage actuels d’agents IA reposent sur des plateformes low-code, appréciées pour leur rapidité et leur flexibilité. Cependant, ces plateformes dépendent souvent de bibliothèques et de composants tiers, ce qui introduit d’importantes vulnérabilités dans la chaîne d’approvisionnement et élargit encore la surface d’attaque globale.

L’IA agentique marque la transition de la simple prédiction passive vers une intelligence proactive, à travers une automatisation plus sophistiquée. À mesure que les organisations mettent en place des réseaux d’agents interactifs, les systèmes deviennent de plus en plus complexes et vulnérables (multiplication des fenêtres de risques). Avec l’augmentation des interfaces et des échanges autonomes, il est crucial de poser des bases de sécurité solides dès le début. Une première étape essentielle consiste à cartographier les activités des agents pour garantir la transparence, faciliter les audits et permettre des contrôles efficaces.

Se prémunir des risques : les bonnes pratiques de sécurité à adopter dès maintenant

Pour faire face à l’évolution des menaces et des risques posés par l’IA agentique, les entreprises doivent adopter des mesures de sécurité proactives afin de garantir des opérations sécurisées et traçables.

1. Cartographie des activités et audits de sécurité

Avec l’essor des agents IA autonomes et leur interaction croissante avec divers systèmes, il devient impératif de cartographier toutes leurs activités, processus, connexions et flux de données. Cette visibilité est essentielle pour détecter les anomalies et garantir le respect des politiques de sécurité.

Des audits réguliers sont cruciaux pour identifier les vulnérabilités, assurer la conformité et prévenir le phénomène de « shadow AI », où des agents opèrent sans surveillance. Les agents non autorisés peuvent exposer les systèmes à des risques significatifs, et le shadow AI, en particulier les modèles non sanctionnés, représente une menace sérieuse pour la sécurité des données. Auditer les processus décisionnels, l’accès aux données et les interactions des agents, tout en maintenant une piste d’audit immuable, renforce la responsabilité et la traçabilité globales.

Pour atténuer ces risques, les entreprises doivent adopter des politiques de gouvernance claires, sensibiliser & former ses utilisateurs, et mettre en place des stratégies de détection efficaces. Ces pratiques doivent être soutenues par des frameworks de sécurité spécialisés sur l’IA, et par des politiques de gouvernance de la donnée.

Cependant, les audits et la gouvernance ne suffisent pas. Des contrôles d’accès robustes pour les agents IA sont nécessaires pour limiter leurs actions et protéger l’intégrité du système.l’IA

     2. Filtrage de l’IA

Pour éviter que l’agent n’effectue des actions inappropriées, il faut d’abord s’assurer que son système de prise de décision est protégé. L’une des mesures les plus efficaces est de filtrer les inputs et outputs potentiellement malveillants du decision-maker, souvent composé d’un orchestrateur et d’un LLM.

Il existe plusieurs moyens techniques de filtrer les inputs & outputs d’un LLM :

Filtrage par mot-clé – Efficacité faible à moyenne : Empêcher le LLM de prendre en compte toute entrée contenant des mots-clés spécifiés et de générer tout contenu contenant ces mots-clés.

• Avantage : Quick-win, en particulier sur les outputs, par exemple en empêchant un chatbot de générer des mots grossiers.
• Inconvénient : Facilement contournable via des entrées déguisées ou en exigeant des sorties déguisées. Par exemple, « p@ssword » ou « p,a,s,s,w,o,r,d » peuvent être des moyens de contourner le mot-clé « password ».

LLM-as-a-judge – Efficacité haute : Demander au LLM d’analyser les inputs et les outputs et d’identifier s’ils sont malveillants.

• Avantage : Étend l’analyse à l’ensemble de la réponse.
• Inconvénient : Peut être contourné en noyant l’agent d’informations en input, de telle sorte qu’il a du mal à traiter l’ensemble des entrées.

Classification de l’information – Efficacité très élevée : Définir des catégories de sujets auxquels le LLM a le droit de répondre ou non. Cela peut se faire par le biais d’une whitelist (le LLM ne peut répondre qu’à certaines catégories de sujets) et d’une blacklist (le LLM n’est pas autorisé à répondre à certaines catégories précises de sujets). Pour cela, on peut utiliser une IA spécialisée pour analyser chaque entrée et chaque sortie.

• Avantage : Garantit l’alignement de l’agent en ne l’empêchant de recevoir des inputs sur des sujets auxquels il ne devrait pas être en mesure de répondre.
• Inconvénient : coût élevé, car cela nécessite une analyse LLM supplémentaire.

Pour tous les systèmes d’IA générative, ces actions de filtrage doivent être effectuées pour les inputs/output des utilisateurs. Dans le cas spécifique de l’IA agentique, tous les inputs/output doivent être filtrés, y compris les interactions avec les outils que les systèmes d’IA peuvent utilisés, les bases de données qu’ils peuvent interrogées etc. 

• Mesures de sécurité spécifiques à l’IA

Inclure un « Human-in-the-loop » (HITL) est essentiel pour garantir le fonctionnement responsable et sécurisé de l’IA agentique. Bien que les agents IA puissent exécuter des tâches de manière autonome, le contrôle d’un humain dans les situations à haut risque ou sensibles sur le plan éthique fournit une couche supplémentaire bienvenue de jugement et de responsabilité. Cette surveillance permet d’éviter les erreurs, les biais et les conséquences involontaires, tout en permettant aux organisations d’intervenir lorsque les actions de l’IA s’écartent des lignes directrices ou des normes éthiques. Le HITL favorise également la confiance dans les systèmes d’IA et garantit l’alignement sur les objectifs de l’entreprise et les exigences réglementaires. Pour maximiser les avantages de l’automatisation, il est essentiel d’adopter une approche hybride où IA et humains partagent les responsabilités, approche soutenue par une formation continue pour aborder la conformité et les risques inhérents.

Certaines actions peuvent être strictement interdites à l’agent, d’autres devraient nécessiter une validation humaine, et d’autres encore pourraient être effectuées sans supervision humaine. Ces actions doivent être déterminées par une analyse de risque classique, sur la base de l’impact et de l’autonomie de l’agent. En clair, on évalue l’impact de l’agent en fonction de son autonomie (et non de la probabilité du risque)

Des déclencheurs doivent être mis en place pour déterminer si et quand une validation humaine est nécessaire. On le configure directement dans le Master Prompt du LLM, et l’accès peut être restreint en utilisant un modèle IAM approprié.

     3. Contrôles d’accès et IAM

Les agents IA jouent un rôle plus actif dans les workflows des entreprises. Ils doivent donc être gérés comme des identités non humaines (NHI), avec leur propre cycle de vie d’identité, leurs autorisations d’accès et leurs politiques de gouvernance. Il faut donc intégrer les agents dans les frameworks IAM existants, en appliquant la même rigueur que pour les utilisateurs humains.

La gestion des agents IA introduit de nouvelles exigences. Lorsqu’ils agissent au nom des utilisateurs finaux, les agents doivent être strictement limités aux permissions de ces utilisateurs, sans dépasser ou conserver des privilèges élevés. Pour y parvenir, les organisations doivent appliquer des principes clés de gestion des accès et des identités (IAM), à savoir :

• Accès suivant le principe du moindre privilège : Limiter les agents à l’ensemble minimum de permissions nécessaires pour accomplir des tâches spécifiques.
• Accès Just-in-time (JIT) : Fournir un accès temporaire et contextuel afin de réduire les privilèges permanents et l’exposition.
• Séparation des tâches et habilitations limitées : Définir des limites claires entre les rôles et empêcher les escalades de privilèges non autorisées.

Pour renforcer davantage les contrôles, les équipes de sécurité devraient mettre en place une détection des anomalies en temps réel afin de surveiller le comportement des agents, signaler les violations de politiques et remédier ou escalader automatiquement les problèmes lorsque nécessaire. L’accès aux données sensibles doit également être strictement limité. Les violations doivent entraîner une révocation immédiate des privilèges, et des listes de blocage doivent être utilisées pour empêcher les modèles ou points d’accès malveillants connus.

En fin de compte, bien que les contrôles techniques soient essentiels, ils doivent être soutenus par une supervision humaine et des mécanismes de gouvernance, en particulier lorsque les agents opèrent dans des contextes à fort impact ou sensibles. La gestion des identités et des accès pour les agents IA doit évoluer en parallèle avec l’autonomie croissante de ces systèmes et leur intégration dans des fonctions critiques de l’entreprise.

     4. Gestion des crises IA et Redteam

Bien que les contrôles spécifiques à l’IA soient essentiels, les mesures traditionnelles comme la gestion de crise doivent également s’étendre au domaine de l’IA. À mesure que les cyberattaques deviennent plus sophistiquées, les entreprises devraient envisager des stratégies de gestion de crise en cas de défaillance ou de compromission de l’IA. Il est crucial de s’assurer que toutes les équipes, des équipes de recherche IA aux équipes de sécurité, soient prêtes à réagir rapidement et efficacement afin de minimiser les perturbations.

Exemple de plan d’action pour les RSSI

Cette année, les RSSI seront exposés à des menaces accrues introduites par l’IA agentique, ainsi qu’à une pression réglementaire supplémentaire par des réglementations complexes telles que DORA, NIS 2 et l’AI Act. Les RSSI et les directeurs techniques devront collaborer étroitement : les RSSI devront superviser le déploiement sécurisé des systèmes d’IA pour s’assurer que les interactions avec les agents sont soigneusement cartographiées et sécurisées afin de préserver la sécurité de leurs organisations, de leur personnel et de leurs clients.

Premières pistes d’actions sécurité pour les RSSI :

• Limiter l’accès des agents IA en appliquant des contrôles d’accès stricts et en s’alignant sur les politiques IAM existantes.
• Surveiller le comportement des agents en suivant leur activité et en menant des audits réguliers pour identifier les vulnérabilités.
• Filtrer les inputs et les outputs de l’agent pour s’assurer que le decision-maker ne lance pas d’action involontaire.
• S’assurer de la supervision d’un human-in-the-loop cohérente, afin de valider les résultats de l’IA pour les décisions/tâches critiques.
• Fournir une formation de sensibilisation à l’IA agentique pour éduquer les utilisateurs sur les risques, les meilleures pratiques de sécurité et l’identification des attaques potentielles.
• Auditer l’agent, via du redteaming, afin d’identifier les faiblesses potentielles.
• Etablir un RACI en cas de mauvais fonctionnement de l’agent : malgré toutes les mesures de sécurité, l’IA fonctionne selon des principes probabilistes plutôt que déterministes. Cela signifie que l’agent peut occasionnellement se comporter de manière inappropriée.
• Préparez-vous aux crises liées à l’IA en entamant des discussions avec les équipes concernées afin de garantir une réponse coordonnée en cas d’incident.

Au cours des dernières années, chez Wavestone, nous avons observé une augmentation significative de la maturité des clients en matière de sécurité de l’IA. De nombreuses organisations ont déjà mis en place des processus robustes pour évaluer la sensibilité des initiatives d’IA et gérer les risques associés. Ces premiers efforts se sont avérés payants : nous avons observé une réduction de l’exposition aux menaces et un renforcement de la gouvernance des systèmes d’IA.

Bien que l’IA agentique ne réécrive pas fondamentalement le manuel de sécurité de l’IA, elle introduit un changement significatif dans le paysage des risques. Sa nature intrinsèquement autonome et interconnectée augmente à la fois l’impact et la probabilité de certaines menaces. La complexité de ces systèmes peut être difficile à gérer au début, mais elle est maîtrisable. Avec une compréhension claire de ces dynamiques et l’émergence de nouvelles normes de marché et de protocoles de sécurité, l’IA agentique peut s’accomplir pleinement, dans des conditions sécurisées, et assurer un gain de productivité conséquent.

Dans cette mer de menaces en perpétuel changement, notre cap reste clair : accompagner les RSSI et leurs équipiers pour qu’ils avancent avec sérénité.

Références

[1] Orlando, Fla., Gartner Identifies the Top 10 Strategic Technology Trends for 2025, October 21, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-10-21-gartner-identifies-the-top-10-strategic-technology-trends-for-2025

[2] Stamford, Conn., Gartner Predicts Agentic AI Will Autonomously Resolve 80% of Common Customer Service Issues Without Human Intervention by 2029, March 5, 2025. https://www.gartner.com/en/newsroom/press-releases/2025-03-05-gartner-predicts-agentic-ai-will-autonomously-resolve-80-percent-of-common-customer-service-issues-without-human-intervention-by-20290

[3] Stamford, Conn. Gartner Survey Shows AI-Enhanced Malicious Attacks Are a New Top Emerging Risk for Enterprises, May 22, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-05-22-gartner-survey-shows-ai-enhanced-malicious-attacks-are-new0

[4] OWASP, OWASP Top 10 threats and mitigation for AI Agents, 2025. OWASP-Agentic-AI/README.md at main · precize/OWASP-Agentic-AI · GitHub

Merci à Leina HATCH pour son aide précieuse dans la rédaction de cet article.

Cet article IA Agentique : typologie des risques et principales mesures de sécurité est apparu en premier sur RiskInsight.

L’effervescence croissante au sujet de l’avènement des ordinateurs quantiques est justifiée pour un sujet qui ne relève plus de la science-fiction, mais qui implique une menace d’un nouveau genre.

En effet, selon les prévisions de nombreux experts tels que le Global Risk Institute, les ordinateurs quantiques devraient prochainement être capables de résoudre les problèmes mathématiques qui sous-tendent les standards cryptographiques actuels – ce qui, en conséquence, rendrait obsolètes les systèmes classiques protégeant nos communications, nos finances et nos infrastructures critiques.

Pour les entreprises, l’urgence n’est plus de se demander si cette menace deviendra réalité, mais quand. Comment anticiper les impacts opérationnels et structurels de ce bouleversement technologique tout en répondant aux recommandations croissantes des régulations à ce sujet ? Quels outils adopter pour garantir la confidentialité et l’intégrité des données dans un futur proche ? Le défi est de taille, mais des solutions sont à l’étude comme la cryptographie post-quantique (PQC), déjà massivement plébiscitée par la communauté internationale. 

La menace quantique

Aujourd’hui, la sécurité des systèmes d’information repose principalement sur la cryptographie symétrique, asymétrique (ou à clé publique) et les fonctions de hachage. Ces catégories sont représentées par des algorithmes largement utilisés aujourd’hui, en particulier AES, RSA, ECC, ainsi que SHA pour les fonctions de hachage. Adoptés massivement par la communauté mondiale et intégrés nativement dans de nombreux dispositifs modernes, ces algorithmes ont fait leurs preuves depuis des décennies pour assurer la confidentialité, l’authenticité et l’intégrité des échanges de données.

Les problèmes mathématiques sur lesquels sont basés ces standards présentent un niveau de complexité de calcul suffisant pour assurer l’absence de capacité de brute-force même avec les meilleurs supercalculateurs actuels.

L’ordinateur quantique vient rebattre ces cartes.

Ces machines reposent sur des principes physiques fondamentalement différents des ordinateurs classiques actuels. Grâce aux phénomènes de superposition et d’intrication, un processeur quantique peut traiter simultanément différents états physiques. Ce que l’on décrit souvent comme du « parallélisme quantique » ne correspond pas à un simple calcul parallèle classique (où plusieurs cœurs exécutent des tâches identiques), mais à la capacité d’explorer simultanément de multiples chemins d’exécution. Pour certains algorithmes, cette approche permet de réduire considérablement l’espace de recherche et d’accélérer le traitement.

Une question essentielle se pose alors : existe-t-il déjà des algorithmes capables d’exploiter ces propriétés quantiques, et ainsi de venir à bout des standards de chiffrement actuels ?

En 1994, P. Shor, suivi de L. Grover en 1996, introduisent des algorithmes intégrant des processus de calcul quantique pour résoudre certains problèmes mathématiques complexes. Le premier permet de factoriser de grands nombres de manière exponentiellement plus rapide qu’un algorithme classique, tandis que le second optimise la recherche d’un élément dans des ensembles non ordonnés. Si les caractéristiques  des ordinateurs classiques rendaient jusque-là leur mise en œuvre impraticable, l’émergence des ordinateurs quantiques changerait radicalement la donne, rendant ces algorithmes exploitables. 

En effet, le meilleur supercalculateur mettrait 1.02 x 10¹⁸ ans (un trillion d’années) pour casser AES-128 par force brute et 10¹⁰ ans (10 milliards d’années) pour RSA-2048 avec les meilleures méthodes actuelles. En comparaison, un ordinateur quantique exécutant l’algorithme de Grover pourrait briser AES-128 en 600 ans, tandis que l’algorithme de Shor viendrait à bout de RSA-2048 en seulement 8 heures avec une machine de 20 millions de qubits.

Face à cette menace, AES et la cryptographie symétrique, ainsi que SHA-256 et les fonctions de hachages restent viables en doublant la taille des clés utilisées, mais la cryptographie asymétrique doit être repensée. Dans cette optique, la cryptographie post-quantique s’impose comme la solution la plus prometteuse. 

Qu’est-ce que la cryptographie post-quantique ?

Selon l’ANSSI, « la cryptographie post-quantique (PQC) est un ensemble d’algorithmes cryptographiques classiques comprenant les établissements de clés et les signatures numériques, et assurant une sécurité conjecturée vis-à-vis de la menace quantique en plus de leur sécurité classique ».

Cela désigne donc l’ensemble des nouveaux algorithmes de chiffrement asymétriques capables de garantir la sécurité à la fois face aux attaques classiques, et face aux nouvelles attaques quantiques. La différence avec ceux que nous utilisons aujourd’hui réside essentiellement dans les problèmes mathématiques sous-jacents aux algorithmes, choisis pour rester complexes à résoudre, même pour un ordinateur quantique.

Pourquoi cette solution est-elle considérée comme la plus prometteuse ?

La PQC n’est pas la seule réponse envisagée face à la menace quantique, mais elle est largement considérée comme étant la solution la plus viable selon la communauté internationale. Plusieurs facteurs expliquent cet intérêt, parmi lesquels on retrouve :

• Une continuité avec les systèmes actuels, facilitant son adoption et son intégration progressive dans les infrastructures classiques.
• Une maturité avancée, avec des standards déjà établis et soutenus par les principales autorités en cybersécurité.

Une continuité avec les systèmes actuels

Comment cette cryptographie de nature classique permet-elle de protéger les données chiffrées face aux attaques quantiques ?

La PQC n’implique pas un changement de paradigme dans notre approche de sécurisation des infrastructures. Comme évoqué plus tôt, la PQC s’inscrit dans la famille de la cryptographie asymétrique et conserve donc le même fonctionnement et objectif que les algorithmes à clé publique actuels. Sa résistance face aux attaques quantiques est assurée par la nature des problèmes mathématiques sous-jacents, différents de ceux utilisés par la cryptographie asymétrique classique.  Cette différence structurelle permet également une intégration plus fluide de cette cryptographie dans les infrastructures numériques actuelles, assurant ainsi une transition progressive vers un avenir où la PQC supplanterait totalement et efficacement les standards de chiffrement modernes.

Une maturité avancée

Le deuxième atout majeur de la PQC est sa maturité par rapport aux autres options envisagées. En effet, cette année a été marquée la publication des standards de PQC par le National Institute of Standards and Technology (NIST) américain en août 2024.

Ce processus a débuté en 2017 avec 69 candidats initiaux, dont 4 ont été retenus afin de devenir les nouveaux standards de PQC. Aucune des autres solutions évoquées pour contrer la menace à venir, parmi lesquelles se trouve la cryptographie quantique (basée sur l’usage des propriétés quantiques en opposition à la PQC, dont les implémentations sont possibles sur des ordinateurs classiques), n’ont été l’objet d’un processus de standardisation.

De surcroît, les organismes de cybersécurité nationaux tels que l’ANSSI (France), la BSI (Allemagne), la NLNCSA (Pays-Bas), la SFA (Suède), le NCSC (UK), la NSA (USA) etc. s’accordent tous à dire que la PQC est la meilleure façon de se prémunir contre la menace quantique, et que la priorité des entreprises doit être la migration vers des systèmes de PQC.

Quand et comment mettre en place cette technologie ?

Les prédictions des organismes de recherche sur l’avènement  de la menace quantique restent encore assez disparates, mais s’accordent néanmoins à annoncer que des ordinateurs quantiques capables d’exécuter des algorithmes responsables de la future désuétude des standards de cryptographie actuelle, appelés en anglais Cryptographically Relevant Quantum Computer (CRQC) rendront obsolètes RSA-2048 notamment, d’ici les 15 prochaines années. En effet, il est difficile de prédire avec exactitude quand l’ordinateur quantique sera prêt et atteindra des performances suffisantes pour des cas d’usage concrets, mais les croisements entre les recommandations d’organismes comme la la NSA et les prédictions d’experts sur le sujet nous permettent d’estimer l’émergence des premiers CRQC entre 2033 et 2037. 

Harvest now, decrypt later

Nous ne disposons pas pour autant de 10 ans devant nous pour nous armer face à cette menace. Les données en transit actuellement restent exposées aux attaques de type « harvest now, decrypt later ». Ce sont des attaques reposant sur l’interception et le stockage à long terme de données chiffrées, dans l’attente des percées technologiques en matière de décryptage qui les rendraient lisibles à l’avenir.

Les données ciblées par ce type d’attaques sont principalement des données en transit, car c’est lors de leur transport que des protocoles comme TLS utilisent des paires de clés asymétriques. C’est à ce moment que la donnée est « vulnérable au quantique » et donc intéressante à intercepter puis stocker afin de la déchiffrer ultérieurement. Les données au repos sont au contraire généralement chiffrées à l’aide d’algorithmes symétriques, et requiert d’être exfiltrées pour être capturées, elles ne sont donc pas la cible de ces attaques.

Le risque principal de ces attaques demeure la violation de la confidentialité à long terme de données. Selon les secteurs, notamment financier ou industriel, les données peuvent rester sensibles sur de longues périodes et par conséquent l’accès à ces informations peut entraîner des conséquences multiples graves. 

Il est raisonnable de considérer que des attaquants pourraient actuellement récupérer une quantité considérable de données chiffrées afin de les décrypter ultérieurement. Dès lors, il est impératif d’amorcer une migration vers des systèmes cryptographiques résistants aux algorithmes quantiques dès aujourd’hui. 

Recommandations des organismes au sujet de la préparation

La CISA, la NSA et le NIST américain pour ne citer qu’eux, exhortent les entreprises à se préparer dès maintenant en établissant une feuille de route quantique, pilotée par une équipe projet dédiée, dont le but serait de planifier et superviser la migration de l’organisation vers la PQC.

Le cadrage du projet devra être axé sur ces 3 volets principaux :

1. Inventaire cryptographique : l’objectif est de comprendre l’exposition de l’organisation aux mécanismes cryptographiques vulnérables. Cela passe par l’identification des technologies utilisées au sein des systèmes, des protocoles réseaux, des applications, et des bibliothèques de programmation.

2. Analyse de risques : cet axe vise à prioriser les actifs et processus à sécuriser en premier. Il s’agit d’évaluer la criticité des données protégées, mais aussi d’anticiper leur durée de protection nécessaire. Cette analyse repose sur l’inventaire cryptographique fait en amont et permet de cibler les efforts là où l’impact d’une attaque quantique serait le plus critique.

3. Responsabilité des fournisseurs : la transition vers la cryptographie post-quantique implique également un travail étroit avec les partenaires technologiques. Les entreprises doivent s’assurer de la crypto-agilité des solutions qu’elles utilisent : les produits actuels pourront-ils être mis à jour vers des systèmes résistants à la menace quantique ou devront-ils être remplacés pour éviter l’obsolescence ?

La stratégie de migration que nous préconisons chez Wavestone reprend les grandes étapes évoquées par la CISA, la NSA et le NIST, et les approfondit en les adaptant aux réalités opérationnelles de chaque entreprise :

1. Phase stratégique :
   • Compréhension et sensibilisation : Premièrement, il s’agit de former et d’informer l’ensemble des acteurs (direction, équipes métiers, équipes techniques) sur l’impact de la menace quantique, les enjeux liés à la cryptographie post-quantique, ainsi que sur les grandes orientations réglementaires.
   • Évaluation des risques et inventaire initial : Cartographie des usages cryptographiques (protocoles, bibliothèques, applications, etc.) et identification des données sensibles devant rester confidentielles sur une longue période. C’est également à ce stade que l’on évalue la maturité de l’entreprise et qu’on priorise les chantiers les plus critiques.
   • Cadrage du programme : Sur la base des risques identifiés, la feuille de route globale (objectifs, budget, organisation) est définie. Une équipe dédiée – ou “centre d’excellence” – est créée pour piloter la transition, coordonner les différents chantiers et définir les indicateurs de succès.
2. Quick wins
   • Avant d’entrer dans une phase de transformation plus lourde, nous préconisons de lancer rapidement des initiatives à faible investissement, par exemple inclure des clauses post-quantiques dans les contrats (fournisseurs, partenaires). L’objectif est d’obtenir des retours concrets, de sensibiliser davantage les parties prenantes et de créer une dynamique positive autour du projet.
3. Programme de transition
   • Test d’un premier cas d’usage : Sélection d’un cas d’usage représentatif pour déployer, en conditions réelles, les premiers algorithmes ou mécanismes de cryptographie post-quantiques.
   • Inventaire détaillé (seconde itération) : Il faut ensuite affiner la cartographie des composants cryptographiques (PKI, gestion de clés, protocoles réseaux, librairies de chiffrement, etc.) afin de planifier précisément la migration.
   • Modernisation de la “confiance numérique” : Il s’agit d’actualiser les infrastructures (PKI, gestion de certificats, politiques de rotation de clés…) et de mettre en place des procédures permettant d’accueillir les nouveaux algorithmes.
   • Migration et veille : Déploiement progressif des algorithmes post-quantiques sur les systèmes critiques, tout en maintenant la continuité de service. Cette phase s’accompagne de contrôles, de tests de performance et de vérifications de sécurité. À terme, l’ensemble du SI est couvert, garantissant la pérennité et la conformité réglementaire.

Cette feuille de route, à la fois pragmatique et en phase avec les préconisations des organismes compétents, garantit une transition maîtrisée vers la cryptographie post-quantique. 

L’hybridation évoquée en Europe comme une étape importante dans la transition

L’ANSSI dans une publication commune avec plusieurs de ses homologues européens BSI, NLNCSA, SNCSA, et SFA, recommandent également une préparation à cette transition devant débuter le tôt possible. Bien que les nouveaux standards de PQC incluant les algorithmes, les instructions d’implémentation, et leur utilisation, ont été publiés par le NIST en août 2024, ces organismes n’encouragent pas l’intégration immédiate de ces algorithmes dans les systèmes cryptographiques des entreprises. L’ANSSI annonce même « n’approuver aucun remplacement direct à court ou moyen terme ». En cause, « un manque de recul cryptanalytique sur plusieurs aspects de sécurité » ; malgré son processus de standardisation terminé, la PQC n’est pas encore considérée suffisamment mature pour garantir la sécurité à elle seule :

• Plusieurs algorithmes finalistes (et donc jugés comme prometteurs) du processus de standardisation du NIST ont été l’objet d’attaques classiques ayant abouties. L’algorithme SIKE dont on est venu à bout en 10min, et Rainbow en un week-end.
• Le dimensionnement, l’intégration des algorithmes dans des protocoles de communication, et la conception d’implémentations sécurisées sont d’autres aspects sur lesquels il faut progresser selon l’ANSSI.

Par conséquent, au contraire du NIST, l’ANSSI mais également la BSI entre autres, recommande l’adoption de systèmes hybrides par les organisations. C’est un concept qui consiste à « combiner des algorithmes asymétriques post-quantiques avec une cryptographie asymétrique pré-quantique bien connue et bien étudiée » ANSSI. Ainsi, l’on peut bénéficier de l’efficacité des standards actuels sur les attaques classiques, et de la résistance conjecturée de la PQC sur les attaques quantiques.

L’hybridation est possible pour les mécanismes d’encapsulation de clés et pour les signatures numériques. Chaque opération classique est remplacée soit par :

• l’exécution successive,
• l’exécution en parallèle des 2 algorithmes, pré-quantique et quantique.

La deuxième option peut être implémentée dans le but de réduire la perte de performance du système. Ces schémas hybrides nécessitent par ailleurs que les acteurs impliqués supportent les deux types d’algorithmes.

C’est un schéma dont « le surcoût de performance d’un schéma hybride reste faible par rapport au coût du schéma post-quantique ». L’ANSSI estime « qu’il s’agit d’un prix raisonnable à payer pour garantir une sécurité pré-quantique au moins équivalente à celle apportée par les algorithmes normalisés pré-quantiques actuels ».

Outre-manche et Atlantique, on est beaucoup plus nuancé que les homologues européens sur la question. Bien que l’intérêt de l’hybridation soit reconnu par les autorités de cybersécurité anglaise et étatsunienne, le NCSC et le NIST insiste sur le caractère temporaire de cette solution et n’imposent pas l’hybridation comme étape obligatoire avant de migrer totalement vers la PQC. La NSA dit explicitement avoir confiance dans les standards de PQC et ne requiert pas l’utilisation de modèles d’hybridation dans les systèmes de sécurité nationaux. En résumé, la décision d’utiliser ces modèles doit être prise en tenant compte :

• des contraintes techniques d’implémentation,
• de la complexité accrue (deux algorithmes au lieu d’un),
• du coût additionnel,
• de la nécessité de transitionner une seconde fois à l’avenir vers un système de PQC total, , ce qui peut constituer un exercice complexe de crypto-agilité – c’est-à-dire la capacité de modifier rapidement et sans bouleversements majeurs son infrastructure cryptographique en réponse à l’évolution des menaces – pour certaines entreprises.

Aspect règlementaire

Il n’y a actuellement pas de règlementation européenne qui formule d’exigences explicites au sujet de la cryptographie post-quantique. Néanmoins, parmi les différents textes évoquant le chiffrement de données (NIS2, DORA, HDS…), certains exigent explicitement de l’appliquer à l’état de l’art.  DORA impose notamment la mise à jour constante des moyens cryptographiques utilisés par rapport à l’évolution des techniques de cryptanalyse. Il est donc possible de considérer cela comme un premier pas pour guider les organisations vers le concept de crypto-agilité.

Malgré cette absence d’exigences actuellement, l’ANSSI prévoit un plan de transition post-quantique en 3 phases :

1. Phase 1 (en cours)

La sécurité post-quantique effective à travers l’hybridation reste facultative et est considérée par l’agence comme une défense en profondeur. Les visas de sécurité délivrés par l’ANSSI restent inchangés et garantissent uniquement la sécurité pré-quantique.

2. Phase 2 (après 2025)

La résistance quantique devient une propriété de sécurité. Des critères de sécurité post-quantique pour les algorithmes de PQC auront été définis par l’ANSSI, et seront pris en compte dans la délivrance de visas de sécurité.

3. Phase 3 (après 2030)

On estime que le niveau d’assurance de sécurité post-quantique sera équivalent au niveau pré-quantique actuel. L’hybridation deviendra donc optionnelle ; des visas de sécurité pourront être délivrés pour des entreprises utilisant des schémas post-quantiques sans hybridation.

En outre, suivant le contexte, l’ANSSI pourra décider de n’octroyer ses visas de sécurité que pour la sécurité à long terme post-quantique.

Aux Etats-Unis, le plan de transition post-quantique du NIST n’est pas définitif, mais l’obsolescence de RSA et ECC est d’ores et déjà projeté pour 2030, suivi d’une interdiction d’implémentation totale en 2035 ; d’où l’objectif annoncé – aligné avec la NSA – pour l’achèvement de la migration vers la PQC dans l’ensemble des systèmes fédéraux la même année. Selon les exigences des différents secteurs, il sera peut-être nécessaire de transitionner plus rapidement selon les niveaux de risque associés. 

Même si 2035 semble être un horizon lointain, la migration complète vers la cryptographie post-quantique est un long processus, et les phases initiales d’inventaire cryptographique, classification de données et d’analyse de risques notamment, requièrent un temps considérable. Par conséquent, il est essentiel de démarrer dès aujourd’hui afin de planifier une transition réussie.

L’avènement des ordinateurs quantiques n’est donc plus une hypothèse lointaine, mais une certitude qui redéfinira les fondations de la cybersécurité. Si le timing précis (2033-2037) reste incertain , la pression règlementaire impulsée par les institutions de cybersécurité se précise, et les impacts sur la confidentialité et l’intégrité des données sont, eux, inéluctables. Chaque jour qui passe sans adaptation renforce la vulnérabilité des entreprises face aux attaques futures.

Pourtant, des solutions existent déjà : la cryptographie post-quantique, bien que peu mature à date – surtout dans ses implémentations – offre une réponse prometteuse à cette menace. Standardisée et soutenue par les plus grandes instances internationales, elle incarne la première étape vers une sécurité pérenne à l’ère quantique.

Cependant, adopter cette technologie ne se limite pas à un simple déploiement technique. C’est une transition stratégique, un exercice de crypto-agilité , et une opportunité pour les entreprises d’affirmer leur résilience face aux bouleversements technologiques.

La question n’est plus de savoir si votre organisation sera prête lorsque le premier ordinateur quantique capable de briser RSA-2048 verra le jour. Il s’agit de savoir si elle aura su anticiper ce futur, en s’armant dès maintenant des outils et des plans nécessaires pour transformer cette contrainte en un avantage compétitif. Le futur de la sécurité commence aujourd’hui. 

Contactez-nous

Cet article Ordinateur quantique et cryptographie post-quantique : quelle stratégie les entreprises doivent-elles adopter sur ces éléments ? est apparu en premier sur RiskInsight.

Sensibiliser à la cybersécurité pour intégrer des comportements sûrs dans le quotidien

Pour que vos collaborateurs adoptent les bonnes pratiques en matière de cybersécurité, vous devez mettre en place un programme solide de sensibilisation à la cybersécurité, axé sur vos problématiques clés. Par le biais d’actions positives, concrètes et variées, il doit susciter leur engagement tout en respectant leurs particularités. Concrètement, il s’agit de mettre en place un programme qui répond à vos ambitions et qui vise à la fois :

• Un changement de comportement efficace
• Le développement d’une culture de la sécurité dans votre organisation

Pour vous aider à construire de la meilleure manière votre programme, nous avons développé une méthodologie : TAMAM.

TARGET : fixer des objectifs concrets et mesurables

AUDIENCE : adapter l’approche en fonction des personnes ciblées

MESSAGE : choisir un message concis, positif, qui appelle à l’action

ACTIONS : mettre en place des actions efficaces, concrètes et variées

MESURES : évaluer l’impact du programme sur les comportements

Cet article vous expose les principes, les enjeux et le rôle que TAMAM joue pour vous accompagner !

Mais posons tout d’abord quelques éléments de contexte quant à la sensibilisation à la cybersécurité…

Pourquoi cliquent-ils toujours sur ces e-mails de phishing ?!

• Notre parcours de sensibilisation à la cybersécurité a commencé il y a plus de 15 ans. À l’époque, les choses étaient bien différentes. C’était l’époque des nouveaux programmes de sensibilisation, menés par des responsables de la cybersécurité nouvellement nommés, avec peu de moyens et pourtant un objectif clé : dire aux gens ce qu’ils doivent faire pour protéger les systèmes d’information. Rien de plus, rien de moins. C’était l’époque des 10 meilleures pratiques, des choses à faire et à ne pas faire, des formations de masse, etc.

• Une fois énoncés, ces messages étaient considérés comme des connaissances communes et appliqués par tout le monde ; et c’est ainsi que la sensibilisation a été reléguée au second plan et n’était plus une priorité pour les responsables de la cybersécurité. C’était la période difficile de l’insuffisance et des coupes budgétaires.

• Puis sont arrivés le nombre croissant de cyberattaques et le RGPD. Avec de nouveaux risques est apparu un nouvel appétit pour la sensibilisation et l’éducation des utilisateurs. La sensibilisation à la cybersécurité était de nouveau à l’ordre du jour, mais avec des moyens et des intérêts variables. Au fil des années, elle est restée parmi les sujets de cybersécurité, mais avec une grande variabilité entre les organisations en matière d’efficacité et d’efficience.

• Et nous voici maintenant en 2023, et les mêmes questions demeurent : « J’ai tout essayé mais il y a encore des gens qui ne perçoivent pas les risques – que puis-je faire ? » ; « J’ai besoin de garder mes collaborateurs intéressés par le sujet, que pouvez-vous proposer de nouveau ? ». Au fond, ce que l’on constate, c’est simplement un manque de considération de l’efficacité du programme de sensibilisation : il semblait atteindre un plafond de verre. Des efforts ont été faits, des investissements ont été réalisés, mais peu de changements ont eu lieu. Pourquoi ? Parce que les efforts et les investissements sont vains s’ils ne visent pas à modifier efficacement les comportements et, en fin de compte, à instaurer une culture de la cybersécurité. Mais comment y parvenir ? C’est l’objet de cet article.

Comment impliquer tous vos collaborateurs dans la cybersécurité ?

Sur la base de ces éléments de contexte, nous avons élaboré une méthode pour construire un programme efficace de sensibilisation à la cybersécurité. Nous voulions que ce modèle soit personnalisable afin qu’il puisse être appliqué à chaque organisation, quels que soient sa taille, sa maturité, son budget ou sa culture. Il ne s’agit pas d’un modèle unique, mais d’une structure de base à adapter à chaque organisation.

Target

Comme pour tout, vous devez commencer par le “pourquoi”. Cela sert à définir les objectifs : une cible à atteindre, une vision de l’endroit où aller et un chemin pour y parvenir, ce qui est essentiel pour avoir une chance de réussir.

Ces objectifs doivent être ciblés sur vos batailles prioritaires, c’est-à-dire sur le changement que vous voulez voir dans votre organisation. Ils ne représentent pas seulement de bonnes intentions comme “sensibiliser mes employés”. Il s’agit de comportements précis que vous voulez voir tous les jours. Par exemple, si le phishing est l’une de vos principales préoccupations : “Comment éduquer mes employés à signaler les tentatives et les incidents de phishing ?”. Ainsi, vous voyez votre cible et le moyen de l’atteindre.

Des objectifs précis permettent également d’obtenir des résultats mesurables. Lorsque vous les définissez, vous retenez généralement les indicateurs clés de performance et les mesures que vous utiliserez pour évaluer leur succès. En règle générale, si vous êtes incapables de trouver une mesure pour votre objectif, cela signifie qu’il est plus illusoire que réalisable.

Enfin, vous vous devez de partager ces objectifs avec vos employés. De cette façon, vous les faites participer activement au changement de comportement que vous attendez d’eux. En leur donnant les règles du jeu, vous leur permettez de jouer et de gagner la partie avec vous, car la cybersécurité est un gain collectif.

Cette première étape est largement survolée, et rares sont les organisations qui prennent le temps nécessaire pour réfléchir à leur véritable cible en matière de sensibilisation à la cybersécurité. Pourtant, elle est le point de départ essentiel. Comme pour tout voyage : on ne peut atteindre la maison d’un ami que si l’on connaît son adresse.

Audience

Qui voulez-vous atteindre exactement ? Votre public, ce sont les personnes qui ont besoin de sensibilisation, de formation et d’éducation. Une identification claire de ce public vous aidera à définir une approche adéquate. Pour connaître leurs besoins, vous devez commencer par répartir les personnes en groupes – principalement en fonction de leur place dans l’organisation, de leur proximité avec le sujet, de leur exposition aux risques que vous voulez prévenir, de leur rôle, etc. Ces clusters peuvent regrouper les nouveaux arrivants, le personnel externe, les ambassadeurs locaux, le personnel informatique, etc.

Pour chacun de ces groupes, votre rôle sera d’évaluer leur niveau actuel de maîtrise des différents objectifs définis. Il s’agit en fait de réaliser un gap de compétences pour savoir quels sujets nécessitent plus d’attention. Ces informations seront essentielles pour adapter le programme aux besoins de ces personnes et à leur niveau actuel de maîtrise.

Message

C’est le moment de trouver cette phrase d’accroche qui restera dans la tête ! Les personnes à qui vous allez communiquer vos messages reçoivent de nombreuses autres sollicitations pour diverses causes (RSE, règles, valeurs, etc.). D’où l’importance de sélectionner judicieusement vos messages et de rester concis. Le temps et l’attention disponibles sont limités, c’est pourquoi il est préférable de sélectionner quelques messages qui abordent les risques clés et les objectifs importants.

Le ton utilisé est aussi crucial car il doit être adapté à la culture organisationnelle : les messages drôles fonctionnent dans certains environnements, tandis que les messages sérieux fonctionnent mieux dans d’autres. Quel que soit le ton utilisé, les messages devront être positifs et appeler à l’action. Oubliez les injonctions négatives (“ne pas”) et adoptez les actions positives (“agir”).

Avec ces trois premières étapes en tête (Target, Audience et Message), vous avez la base de votre programme de sensibilisation à la cybersécurité :  vous savez ce que vous voulez dire, à qui, afin d’atteindre des comportements définis.

Actions

Il est temps d’identifier les actions que vous allez pouvoir mettre en place dans ce cadre. Ici, il faut rester concentrés et pragmatiques, et penser à l’efficacité de l’action choisie pour atteindre vos objectifs. La créativité et l’innovation sont sûrement importantes pour maintenir une certaine motivation, mais elles ne constituent pas le seul facteur de réussite. Pour que les collaborateurs soient impliqués dans leur apprentissage, la cybersécurité doit être concrète : cela passe par des activités ou cas d’application qui les rapprochent de leur vie quotidienne.

Une fois les actions identifiées, la manière dont elles sont mises en œuvre est également essentielle. Les ressources, les personnes et l’organisation doivent être adéquates pour faire passer les messages sélectionnés.

• Qui en est le porteur ? Interne ou externe ?
• Comment peuvent-ils être répétés de manière différente (stimulus pratique, visuel, oral, etc.) ?
• Sous quels angles et avec quelles activités aborder ces questions pour sensibiliser les collaborateurs de la manière la plus adéquate ?

En bref, avec quelques messages, il vous faut construire différentes activités, à différents moments, avec différentes approches, pour ancrer ces comportements dans leur vie quotidienne.

Mesures

Enfin, l’ensemble de ce programme doit être évalué : a-t-il réellement permis de changer les comportements des collaborateurs ? C’est nécessaire pour la Direction qui demandera de voir la valeur apportée à son investissement, mais aussi pour l’équipe de sensibilisation qui voudra montrer les résultats tangibles de ses efforts.

Dans votre démarche de sensibilisation, vous devez vous concentrer sur son efficacité, au-delà de la mise en œuvre elle-même. Trop souvent, les organisations se concentrent sur le nombre d’activités réalisées ou le nombre de personnes touchées par le programme. Mais ces chiffres permettent rarement de comprendre le changement de comportement qui s’opère (ou non).

Pour élaborer votre plan d’évaluation, et afin d’obtenir une compréhension globale de la réalisation de vos objectifs, il est pertinent d’utiliser à la fois des mesures quantitatives et des retours qualitatifs de la part des collaborateurs. Cela nécessitera peut-être de nouvelles méthodes de collecte de ces informations – comme l’implication du service d’assistance, ou même l’obtention de nouvelles données du SOC (Security Operations Center) – mais le résultat apportera une valeur considérable à votre programme. En effet, cette évaluation vous permettra de le revoir et de le maintenir continuellement adapté à vos objectifs, qui peuvent également faire l’objet d’adaptations si le contexte organisationnel change.

Une dernière chose. Si vous voulez créez de l’engouement autour de la sensibilisation à la cybersécurité : communiquez vos réalisations et célébrez les victoires ! Vous le méritez.

Prenez la première lettre de ces 5 principes et vous obtenez TAMAM. Ce n’est pas un hasard si ce mot se traduit par “tout va bien” en turc. TAMAM, c’est ce que vous attendez de vos collaborateurs : qu’ils soient alignés avec vos objectifs et partants pour vous suivre vers de bonnes pratiques cyber et des comportements plus sûrs.

Par où commencer ?

Maintenant que vous avez une meilleure compréhension des différentes étapes pour construire un programme solide de sensibilisation à la cybersécurité, vous vous posez peut-être les questions suivantes : où en suis-je et comment parvenir à mettre en place un tel programme au sein de mon organisation ?

Pour commencer, il faut probablement prendre du recul pour examiner votre niveau de maturité actuel en matière de sensibilisation à la cybersécurité. Pour gagner en maturité, vous devrez avoir une compréhension claire et honnête de la manière dont votre organisation aborde ce sujet.

Quoiqu’il en soit, la puissance du TAMAM réside dans sa capacité à être utilisé quel que soit votre niveau de maturité, car ses principes sont adaptables à de nombreuses situations.

TAMAM : vous vous lancez ?

Quand vous utilisez TAMAM, vous :

• Posez un objectif clair et précis à atteindre
• Adaptez l’approche en fonction des besoins des différents publics
• Définissez les quelques messages à communiquer sur ces objectifs
• Sélectionnez la meilleure façon de communiquer ces messages par des activités efficaces
• Évaluez cette efficacité afin d’adapter l’approche et affiner le programme

Cet article n’est qu’un aperçu de ce que TAMAM peut apporter à votre programme de sensibilisation à la cybersécurité. Contactez-nous pour comprendre comment notre méthode peut vous aider à renforcer vos efforts de sensibilisation !

Contactez-nous

Cet article TAMAM ou comment sensibiliser à la cybersécurité est apparu en premier sur RiskInsight.

Après avoir vu dans un premier article l’état de la menace et les problématiques actuelles liées à la gestion des vulnérabilités, nous verrons dans ce second article les nouvelles approches à prendre en compte pour mieux gérer les vulnérabilités, notamment via la priorisation de la remédiation proposée par Hackuity.

L’avènement du « Risk-Based Vulnerability Management » (RBVM)

La gestion des vulnérabilités basée sur le risque, « Risk Based Vulnerability Management » (RBVM) est une approche qui traite chaque vulnérabilité en fonction du risque qu’elle représente pour chaque entreprise.

Dans ce contexte, la formule classique de calcul d’un risque s’applique :

La première partie de la formule, vulnérabilité × menace, peut également être considérée comme une probabilité. Cette probabilité décrit les chances qu’une vulnérabilité donnée soit découverte et utilisée par un acteur de la menace dans le contexte technique spécifique de l’organisation concernée. La dernière partie de la formule décrit les conséquences, ou l’impact, d’une attaque réussie par un acteur de la menace dans le contexte métier de l’entreprise

C’est en synthèse l’approche retenue par CVSS, une norme développée par le FIRST (Forum of Incident Response and Security Teams), initialement pour quantifier la gravité technique d’une vulnérabilité. Au travers de 3 métriques (base, temporelle, environnementale), l’ensemble du score CVSS (aujourd’hui dans sa version 3.1) est censé refléter le risqué réel qui pèse sur chaque vulnérabilité, dans le contexte de chaque entreprise.

Source: FIRST (https://www.first.org/cvss/specification-document)

L’objectif n’étant cependant pas ici de décrire CVSS, nous supposons que le lecteur est familier avec ce concept. Le score CVSS comporte de nombreux avantages, parmi les principaux :

• Le seul standard du marché disponible pour mesurer la criticité d’une vulnérabilité,
• Un algorithme détaillé et transparent,
• Un scoring largement adopté par l’industrie,
• Des bases de référence mondiales (notamment pour qualifier la criticité des CVE).

Cependant, il comporte de nombreuses limitations, dont on peut lister les principales ici :

1. Sa faible granularité; chacune des métriques est composée de valeurs catégorielles avec des valeurs prédéterminées (ex : faible, moyenne, élevé) ce qui limite ses capacités de discrimination.
2. Sa vocation à qualifier unitairement les vulnérabilités : il est ainsi impossible d’évaluer la criticité d’un scénario complet d’attaque avec CVSS. Certaines cyberattaques vont par exemple exploiter plusieurs vulnérabilités de criticité modérée pour arriver à compromettre un périmètre entier. Cependant, l’évaluation CVSS ne portera que sur chacune des failles prise de façon indépendante ; il sera nécessaire pour l’auditeur de présenter le scénario dans sa globalité et de mettre en lumière le risque final, sans qu’il ne puisse s’appuyer sur un score CVSS, celui-ci n’ayant pas pour vocation d’être agrégé.
3. Son caractère arbitraire: les poids et l’algorithme semblent parfois être composés de chiffres arbitraires rendant l’interprétation de ces valeurs complexe. Finalement, on constate une marge d’erreur parfois significative dans la quantification CVSS d’une même vulnérabilité par deux professionnels.

D’autre-part, faut-il le rappeler (?) les scores CVSS publics, comme ceux référencés dans le NVD, ne sont que des scores de base. Ils représentent la gravité intrinsèque d’une vulnérabilité, mais ne reflètent pas le risque que cette vulnérabilité représente pour l’entreprise. En d’autres termes, ils répondent à la question « Est-ce dangereux ? », mais pas à la question « Est-ce dangereux maintenant pour mon entreprise » ?

Une gestion efficace des vulnérabilités doit tenir compte non seulement du score de base, mais aussi des facteurs temporels et environnementaux. Le FIRST fournit le cadre, mais le NIST ne peut pas calculer le score CVSS pour l’entreprise, car il nécessite une connaissance de la criticité des actifs, l’identification des contrôles en place, l’exploitabilité de la vulnérabilité dans ce contexte précis ou l’intensité de la menace réelle et actuelle.

Sur le terrain, pourtant, on constate que près de 45% des entreprises interrogées – toutes tailles confondues – n’utilisent pour seul métrique de quantification de la criticité des vulnérabilités que le score CVSS de base.

Au-delà de la pertinence de cette approche, l’utilisation de cette métrique unique ne résout pas la problématique majeure de l’industrie qui reste le volume de vulnérabilités à traiter.

Sur les 123 454 vulnérabilités (CVE) recensées au 15/01/2020, plus de 16 000 avaient un score CVSS de base (V2.0) jugé critique (soit plus de 13% du total).

Au-delà de CVSS ?

L’objectif de la priorisation est donc de réduire le stock de vulnérabilités à traiter en priorité en discriminant les plus critiques afin de permettre de concentrer les équipes et moyens de remédiation sur les vulnérabilités qui comptent réellement.

D’autre part, il ne fait aucun doute que l’avalanche quotidienne de nouvelles vulnérabilités remontées par l’arsenal de détection ne peut plus être gérée manuellement. Il est totalement irréaliste d’examiner manuellement toutes les vulnérabilités identifiées, de les analyser et de les classer par ordre de priorité.

L’automatisation de la pratique doit permettre aux équipes de travailler plus efficacement, en réduisant les tâches et les processus manuels répétitifs et/ou à faible valeur ajoutée.

Pour répondre à ces besoins et aux limites de CVSS, les acteurs du RBVM introduisent :

• De nouvelles métriques (scores) de mesure du risque – propriétaires – qui viennent compléter, surcharger ou remplacer CVSS,
• L’automatisation des tâches d’analyses et de mesure, et notamment la corrélation avec des sources de menaces (CTI) pour qualifier en continu l’intensité de la menace associée à chaque vulnérabilité.

Plus généralement, l’approche RBVM prend en compte de nombreuses métriques d’évaluation pour établir un score basé sur le contexte et la menace. 4 grandes catégories de critères semblent faire consensus :

1/ La vulnérabilité ou les caractéristiques individuelles – intrinsèques – de la vulnérabilité elle-même.

Au travers de ces critères il s’agit de mesurer la gravité d’une vulnérabilité en prenant en compte des métriques qui sont constantes dans le temps et quels que soient les environnements, comme par exemple les privilèges requis pour exploiter la vulnérabilité ou encore son vecteur d’attaque (à distance, sur le même réseau local, avec un accès physique, etc.).

Pour cette catégorie, le score CVSS de base (généralement pris dans sa version 2.0 pour assurer l’antériorité) est un point de départ solide pour l’analyse de la criticité intrinsèque de la vulnérabilité. C’est d’ailleurs le score repris par la plupart des solutions du marché.

2/ Les menaces externes qui vont servir à quantifier l’intensité – actuelle – de la menace associée à chaque vulnérabilité.

Les métriques utilisées reflètent des caractéristiques qui peuvent changer au fil du temps mais pas d’un environnement technique à l’autre.

« La vulnérabilité est-elle associée à des sujets d’actualité sur les forums de discussion, le darknet et les réseaux sociaux ? Un mécanisme d’exploitation a-t-il été publié ou est-elle actuellement exploitée par un ransomware particulièrement virulent ? »

La disponibilité d’un « exploit » associé à une vulnérabilité est par exemple un facteur important repris par la plupart des de solutions de gestion des vulnérabilités par les risques. Selon une étude Tenable Research, 76% des vulnérabilités avec un score de base CVSS > 7 n’ont pas d’exploit disponible.

Source: (https://fr.tenable.com/research)

Cela signifie que des entreprises qui s’attacheraient à corriger toutes leurs vulnérabilités de criticité « Haute » ou « Critique » selon CVSS consacreraient plus des trois quarts de leur temps à combler des failles qui ne représentent au final que peu de risques. Pour une meilleure efficacité opérationnelle, il est donc opportun de concentrer les efforts de remédiation sur les vulnérabilités pour lesquelles un exploit a déjà été publié.

Mais c’est loin d’être le seul critère pertinent. En l’absence d’exploit connu, l’âge de la vulnérabilité pourra être pris en compte pour calculer sa probabilité d’exploitation, par une approche statistique, en fonction des occurrences d’exploitation mesurées. Certaines initiatives comme EPSS (Exploit Prediction Scoring System)[1] s’essayent même à prédire la « weaponization » des vulnérabilités.

Tout comme l’âge de la vulnérabilité, l’ancienneté de l’exploit est également un facteur qui va influer sur la probabilité d’exploitation. On relève par exemple que le taux d’exploitation d’une CVE explose au moment de la publication de l’exploit pour ensuite progressivement diminuer.

Plus généralement, l’intensité actualisée de la menace est un critère déterminant dans l’algorithme de priorisation. Au-delà d’approches statistiques, elle peut être quantifiée en monitorant des sources de CTI, les réseaux sociaux ou encore des publications diverses comme par exemple en quantifiant le nombre d’occurrences de ces vulnérabilités dans les discussions de forums cybercriminels.

On pourra ainsi déterminer qu’un nouveau malware particulièrement actif exploite une vulnérabilité et donc pondérer à la hausse sa criticité.

Beaucoup d’autres indicateurs peuvent être intégrés pour affiner la pertinence de la priorisation des vulnérabilités. La solution Hackuity prend notamment en compte plus de 10 critères en complément des métriques du standard CVSS pour calculer son « True Risk Score » :

Outre la pertinence du choix de ces critères et de l’algorithme de calcul lui-même, la nature et la qualité des sources de CTI monitorées pour renseigner en continu ces métriques représentent un enjeu important.

Parmi les sources utilisées, citons les nombreuses sources ouvertes (OSINT) sur les vulnérabilités et les menaces (NIST-NVD, Exploit-db, Metasploit, Vuldb, PacketStorm, OpenCVE, …) dont certaines consolidées au travers d’initiatives Open-source comme VIA4CVE (https://github.com/cve-search/VIA4CVE).

On compte aussi de très nombreux acteurs privés qui proposent des sources de CTI commerciales plus ou moins spécialisées dans l’intelligence sur les vulnérabilités.

3/ Le contexte technique ou les caractéristiques uniques de l’environnement dans lequel se trouve l’actif.

Il s’agit au travers de cette catégorie de mesurer la probabilité / difficulté d’exploitation d’une vulnérabilité dans le contexte spécifique de chaque organisation.

« L’actif est-il exposé sur l’Internet ou hébergé au fin-fond du Datacenter de l’entreprise ? Quelles sont les mesures techniques (protection, détection) qui le rendent plus ou moins vulnérable aux attaques ? »

Si certains acteurs se limitent à déterminer qu’un actif est exposé sur internet sur la base de son plan d’adressage IP, d’autres comme Hackuity vont chercher à mesurer la profondeur des arbres d’attaques nécessaires pour exploiter la vulnérabilité dans le SI de l’entreprise.

Ces caractéristiques sont par définition propres à chaque environnement. Il est donc nécessaire de disposer, prélever ou déterminer ces informations notamment en alimentant la formule de priorisation avec des données contextuelles liées aux actifs, par exemple des extraits de référentiels internes, lorsqu’ils existent.

4/ La criticité business de l’actif.

Il s’agit de mesurer les conséquences, ou l’impact, d’une attaque réussie par un acteur de la menace dans le contexte métier de l’entreprise.

« L’actif concerné par la vulnérabilité est-il critique pour l’organisation d’une manière ou d’une autre ? Héberge-t-il des informations sensibles ou nominatives ? Quels sont les impacts pour l’entreprise en termes financier, de réputation ou de conformité en cas d’exploitation de la vulnérabilité ? »

Tout autant que pour le contexte technique, ces caractéristiques sont spécifiques à chaque environnement. Il peut s’agir d’informations renseignées manuellement ou bien issues de résultats d’analyse de risque tels que des Business Impact Analyses.

Pour conclure sur le RVBM, quel que soit le degré d’automatisation apporté par la Solution, celle-ci ne prendra sa pleine mesure qu’avec l’apport d’éléments contextuels que l’outil ne peut deviner (impacts métier, environnement technique des actifs, organisation, processus, etc.).

Au-delà du RBVM, les technologies de VPT (Vulnerability Prioritization Technology)

Si les grands leaders du marché de la détection de vulnérabilités du marché ont aujourd’hui adopté une approche de gestion des vulnérabilités par les risques, ils n’ont pas adressé le principal problème associé à l’approche « best-of-breed » de la détection : les entreprises utilisent plusieurs outils et pratiques de détection pour assurer une couverture complète et efficace de leur périmètre.

Nombre moyen d’outils de détection selon la taille de l’entreprise / Hackuity – Panel de 93 entreprises

Comme évoqué précédemment, ce recours – nécessaire – à un arsenal hétérogène favorise une perception morcelée et non consolidée de la situation, ce qui limite les capacités de passage à l’échelle et, avec le volume des vulnérabilités croissant, entraine une explosion des coûts.

Pour répondre à ce problème, les acteurs du marché émergeant que le Gartner appelle VPT (« Vulnerability Prioritization Technology »), comme Hackuity, exploitent de manière agnostique les sources de vulnérabilité.

Ils collectent et centralisent les vulnérabilités issues de l’arsenal de détection de l’entreprise quel qu’il soit : multiples pratiques (test d’intrusion, bug-bounty, red team, etc.), éditeurs de solutions de détection des vulnérabilités (scans de vulnérabilités, SAST, DAST, IAST, SCA, etc. ) et sources de veille en vulnérabilités. Les principales caractéristiques des solutions de VPT sont décrites ci-après.

Schéma de principe de la solution Hackuity

Une vision exhaustive de l’état du stock de vulnérabilités

L’automatisation de la collecte des vulnérabilités permet aux équipes de la filière sécurité de disposer, parfois pour la première fois, d’une vision consolidée et centralisée du stock de vulnérabilités de l’entreprise, indépendamment des solutions ou pratiques de détections mises en œuvre.

Une opération capitale – et très rarement réalisée – est la conversion des formats propriétaires dans un format normalisé, qui va permettre par la suite de dé-dupliquer des clones d’une même vulnérabilité qui aurait été identifiée par plusieurs sources différentes (ex. une même injection SQL identifiée dans le cadre d’un test d’intrusion et lors d’un scan de vulnérabilités).

Ainsi, le méta-référentiel des vulnérabilités d’Hackuity est une base de connaissances multilingue qui fournit une description unifiée et normalisée de toutes les vulnérabilités, y compris les mesures correctives, les correctifs, les coûts de remédiation ou l’exploitabilité, sans perte d’informations remontées par la source d’origine.

L’établissement et l’enrichissement d’un inventaire des actifs

Sur le terrain, il n’existe que de rares exceptions d’entreprises qui disposent d’un référentiel de leurs actifs jugé complet ou au moins fiable (CMDB, ITAM, …). C’est d’ailleurs un problème endémique à la pratique et parfois le principal frein à la mise en place d’une politique de gestion des vulnérabilités efficient dans les entreprises. Afin de résoudre ce problème, certaines solutions intègrent dans leurs fonctionnement l’établissement dynamique et continu du référentiel des actifs de l’entreprise. Cette cartographie est établie par analyse et corrélation des données techniques collectées (ex. la stack logicielle installée sur un serveur, ses différents alias, etc.) et permet de disposer d’une base d’actifs continuellement maintenue à jour avec des données en provenance de multiples sources.

La criticité des actifs est également un élément clé dans le processus de mesure des risques liés aux vulnérabilités et qui compte pour près de 50% dans une approche de priorisation. Sans un inventaire précis des actifs et une évaluation de leur criticité dans l’environnement « business » de l’entreprise, il est impossible de calculer avec précision le risque réel associé à chaque vulnérabilité. Certains acteurs, tel qu’Hackuity, vont pallier l’absence ou à la non-complétude des analyses de risques en évaluant automatiquement la criticité des actifs en s’appuyant sur leurs propriétés techniques et opérationnelles (types et familles d’outils installés, densité des interconnexions, bases de données hébergées, etc.).

Au final, pour disposer d’informations consolidées sur les vulnérabilités ou les actifs de l’entreprise, plus besoin de maîtriser des dizaines d’outils ou de formats : le coût et la charge de travail liés à la gestion d’outils disparates sont considérablement réduits.

Le chainon manquant entre la détection et la remédiation des vulnérabilités

Enfin, le lien bidirectionnel avec les équipes en charge de la remédiation ou de la supervision sécurité permet de disposer d’une approche collaborative pour la gestion du stock de vulnérabilités.

En effet, si l’automatisation est devenue un levier indispensable à la gestion des vulnérabilités, il n’en reste pas moins que le facteur humain reste au cœur du processus.

Dans la plupart des entreprises, la gestion des vulnérabilités voit en effet intervenir 3 acteurs qui doivent travailler de concert :

1. Les équipes sécurité en charge d’opérer les outils de détection et de piloter les plans de remédiation,
2. Les responsables business qui vont arbitrer ou éclairer les plans de remédiation à l’aune des contraintes métier,
3. Les opérationnels en charges de déployer les mesures correctives (patch management, configuration, développements, etc.)

L’efficience du processus ne se limite donc pas à l’automatisation du recueil des vulnérabilités. Dans la partie aval du processus (la gestion de la remédiation), des play-books permettent de mobiliser les ressources nécessaires à la mise en œuvre des correctifs : identification du porteur de la correction, création automatique de tickets d’incidents, génération de scripts pour les solutions Infrastructure as Code, etc.

En amont, le RSSI dispose enfin, et bien souvent pour la première fois, d’une perception en temps réel de l’avancée des plans de remédiation.

La solution de gestion des vulnérabilités est alors l’orchestrateur de l’écosystème visant à détecter, qualifier, corriger et suivre les vulnérabilités affectant l’entreprise.

Conçu comme un système ouvert, il permet également de nourrir les outils et processus tiers (SIEM, GRC, IR, Forensics, etc.) avec des données consolidées et structurées sur les vulnérabilités, actifs et menaces qui affectent l’entreprise.

Conclusion

Véritable pierre angulaire de la cybersécurité des entreprises, la gestion des vulnérabilités peut aujourd’hui (enfin) être synonyme d’une pratique scalable, efficace et pour laquelle il est possible de disposer d’indicateurs factuels traduisant les efforts déployés par les équipes sécurité et les équipes en charge de la remédiation.

Outre les retombées directes sur la posture sécurité de l’entreprise via la réduction de la fenêtre d’exploitation des vulnérabilités ou encore la mobilisation des experts sur des tâches à haute valeur ajoutée, l’intégration d’une solution d’orchestration de la gestion des vulnérabilités peut aussi se traduire par des retombées indirectes comme une meilleure connaissance du Système d’Information ou encore un engagement décuplé des équipes grâce à la quantification de l’impact de leurs actions sur la sécurité de l’entreprise.

[1] https://arxiv.org/pdf/1908.04856.pdf

Cet article Hackuity | Shake’Up – Le futur de la gestion des vulnérabilités: vers de nouvelles approches basées sur les risques et sur la priorisation (2/2) est apparu en premier sur RiskInsight.

L’atelier EUS & Security Stories : Qui, quand, où ?

Tout d’abord, nous ne pouvons que vous conseiller d’impliquer dans cet atelier les habituels acteurs des cérémonies agiles :

• Le Product Owner (PO) en sa qualité de représentant des besoins métiers
• Le Coach Agile en sa qualité de garant du respect de la méthode
• Les référents techniques du projet (architecte, développeurs, testeurs…)

Pour apporter un œil cybersécurité, il est important de compter sur la présence du Security Champion de l’équipe projet. Si aucun n’est disponible, un membre de l’équipe du RSSI peut le remplacer et aura « l’état d’esprit » Cybersécurité pour vous aiguiller et mener l’atelier à bien.

Ensuite, on se demande souvent à quel moment ces ateliers doivent être conduits… Pour tout vous avouer, il n’y a pas de règle à ce sujet, car cela dépendra des exigences sécurité de chaque release ! Toutefois, notre premier conseil à ce sujet est de synchroniser leur fréquence avec celle de revue du backlog produit. Ainsi, il vous suffit de prolonger les ateliers où vous travaillez sur les User Stories d’environ 50% pour vous consacrer à cette étude sécurité avec déjà tous les bons acteurs présents et mobilisés.

Enfin, où réaliser l’atelier ? Idéalement dans la continuité de votre atelier précédent, dans une salle avec un tableau ou un projecteur permettant de partager un écran et la possibilité d’annoter les schémas assez facilement (post-its, feutres pour tableau blanc…). Néanmoins, il est également tout à fait envisageable de le faire en ligne ! Chez Wavestone, nous utilisons régulièrement des solutions comme Mural ou Stormboard à cet usage. Faites-vous la main sur une solution de ce genre et vous verrez si c’est jouable !

Déroulement de l’atelier

Tout d’abord, il est souvent nécessaire que le Security Champion mène la barque dans les premiers ateliers. Mais l’idée est de se coordonner avec le Coach Agile et travailler de concert pour que les référents techniques puissent petit à petit prendre en main la méthodologie et se l’approprier.

Quand nous formons nos clients sur le sujet, nous prenons souvent un cas d’usage, fictif mais concret et réaliste ! WaveCare est une application médicale avec de nombreuses fonctionnalités innovantes telles que :

• Consultation des disponibilités de praticiens près de chez vous
• Transmission en temps réel de vos données de santé grâce à votre montre connectée
• Réalisation de consultations à distance en Visio (conférence Skype)
• Réception de l’ordonnance après le RDV en format dématérialisé

Pour cette démonstration, intéressons-nous à deux composants en particulier : le schéma descriptif de la fonctionnalité permettant à un patient de rechercher et réserver un créneau dans l’agenda de son médecin et le schéma d’architecture générale.

–

Etape 1 : Construire les scénarios de risque

Les premières questions à se poser sont « Où-suis-je vulnérable ? », « Comment et par où peut-on m’attaquer ? ». Le référent sécurité (Security Champion) et les développeurs vont devoir essayer de répondre à ces questions ! Ici, c’est donc un mélange de connaissances en sécurité applicative et en développement qui va permettre d’identifier les vulnérabilités exploitables. Nous pouvons déjà noter un aspect intéressant de l’approche : elle fonctionne aussi bien sur l’aspect infrastructure qu’applicatif !

Un conseil que nous pouvons déjà vous donner : encouragez les développeurs à s’approprier l’approche et à être force de proposition, c’est un excellent levier pour les sensibiliser à la sécurité ! Pour le référent sécurité, son rôle doit majoritairement être de modérer l’échange et challenger les propositions des développeurs. Cette posture peut en plus vous permettre d’identifier des potentiels Security Champions, ne lésinez pas à la conserver !

Appliquons donc ce que nous venons de nous dire à notre exemple, dans les figures ci-dessous.

–

Et voilà, on peut finalement identifier assez rapidement quelques points d’attention ! Si nous voulons détailler le scénario « Injection de code » du schéma d’architecture globale, nous pouvons par exemple le reformuler comme cela : « En tant qu’attaquant, je veux injecter du code malveillant dans les champs de saisie non sécurisés de l’application ». Vous voyez, cette terminaison est très proche de celle d’une User Story classique, mais l’angle est bien celui de l’attaquant !

Etape 2 : Evaluer les impacts métiers des scénarios

La seconde phase va être clef pour s’assurer d’utiliser l’énergie de l’équipe au bon endroit. C’est à ce moment que le Product Owner entre en jeu ! Avec le Security Champion, il va mener les débats pour qualifier l’impact que peut avoir chaque vulnérabilité.

Pourquoi le PO est-il décisif sur cette étape ? Toute simplement car c’est lui qui connaît le mieux à la fois la réalité métier du projet et l’importance de chaque fonctionnalité. Il s’agira de bien l’orienter, avec des questions comme « Est-ce grave si les données envoyées à ce moment par le patient sont volées ? », « Quelle est la gravité du vol du compte de l’utilisateur ? », etc.

Ensuite, il vous faudra donner une note pour prioriser chaque scénario. Deux choix s’offrent alors à vous. Le premier est d’utiliser une vue risque cyber classique, avec un niveau de probabilité et d’impact. Personnellement, je vous recommande plutôt d’utiliser un système de point ou la suite de Fibonacci, comme pour une US classique, c’est franchement plus simple et instinctif !

Etape 3 : Définir et prioriser les Security Stories

La prochaine étape consistera à construire des Security Stories basées sur chacun des scénarios.

Au tour du Security Champion et des développeurs de remonter sur scène ! Pour continuer sur l’exemple précédent, voici une Security Story que nous pouvons rédiger : « En tant que développeur, je veux m’assurer que les attaques par injection de code sont évitées ». Concrètement, elle nous fera ajouter au backlog du produit des actions comme l’échappement des caractères spéciaux, le filtrage des entrées utilisateurs ou encore l’usage de l’attribut HttpOnly pour éviter le vol des cookies de session.

Evidemment, pour chacune des Security Stories, il peut s’avérer que les mesures de sécurité à mettre en œuvre le sont déjà. Dans le cas contraire, le Security Champion se charge de prioriser les mesures de sécurité techniques, au regard de la couverture des risques induits, à l’échelle de l’entreprise et pas uniquement du métier. Pour les mesures de sécurité n’étant pas uniquement techniques, c’est au Product Owner de les prioriser, au regard des risques business et des moyens de l’équipe.

Et voilà, vous pouvez maintenant démarrer votre sprint plus sereinement !

Et pour vous aider, préparez et adaptez le matériel à votre contexte !

Pour rendre les ateliers plus simples et ludiques, nous avons conçus un jeu de cartes génériques, constitué de cartes ayant chacune deux faces :

• Recto : les Evil User Stories, elles décrivent de façon très pédagogique ce qui peut mal se passer, en utilisant quelles vulnérabilités (ex : élévation de privilèges sur un serveur Web, attaque par force brute, XSS, …)
• Verso : les Security Stories décrivent les mesures de sécurité à implémenter pour s’assurer que l’Evil User Story ne se produit pas (ex : utilisation d’un algorithme de chiffrement robuste AES 256/512, …).

Ces cartes sont vraiment utiles pour vous lancer ! Pour de meilleurs résultats, vous pouvez même choisir de les adapter à votre contexte d’entreprise. Utilisez vos politiques de sécurité et intégrez vos exigences sur le chiffrement, la complexité des mots de passe, etc. Suivant les besoins de sécurité du projet, vous pouvez aussi calquer de exigences liées à des certifications (HDS) ou des directives (LPM, NIS).

Retrouvez le jeu de carte disponible gratuitement ici (et en anglais ici)et n’hésitez pas nous faire vos retours pour que nous continuions à l’améliorer !

Également, un atelier qui se déroule avec fluidité est toujours plus productif ! N’oubliez pas de préparer les supports en amont : schémas d’architecture du projet (flux et classification des données), listing et détail des prochaines User Stories à développer…

Cet article Comment conduire un atelier Cybersécurité agile ? est apparu en premier sur RiskInsight.

Mais ces projets ne sont pas uniquement à l’initiative des RSSI ! Le lancement de tels projets peut également émaner de comités exécutifs, désirant une vision à 360° de la sécurité de leur organisation pour mieux évaluer le risque auquel ils sont confrontés.

Quels sont les facteurs clés de succès et qu’avons-nous observé sur le terrain ?

Etape 1 : savoir qui va être le destinataire de l’évaluation et quelles sont ses attentes

Les évaluations peuvent être d’un niveau de profondeur radicalement différent ! D’une interview haut niveau avec le RSSI d’une organisation à une évaluation en profondeur des mécanismes et processus sécurité de toutes les filières d’un groupe multinational, chacun peut mettre le curseur où il le désire et avancer pas-à-pas.

Notre premier conseil est de garder en tête les objectifs de votre évaluation : cela vous permettra de vous orienter vers les bons référentiels de cybersécurité (NIST, ISO 27001/2…) et surtout de définir avec cohérence la profondeur de l’évaluation. Voulez-vous uniquement mesurer le niveau de maturité de votre filière SSI ou également son efficacité ? Des processus sécurité parfaitement documentés et une certification ISO 27001 peuvent malheureusement masquer des problèmes de terrain qui vous exposent à des vulnérabilités… Il peut être judicieux de combiner un test technique (pentest, red team…) à l’évaluation pour éviter le piège des indicateurs pastèques !

Etape 2 : trouver et mobiliser les bons interlocuteurs au bon niveau, facile à dire…

La prochaine difficulté que vous pouvez rencontrer dans votre évaluation est de réussir à rencontrer les bons sachants. D’expérience, nous vous conseillons de confirmer et figer aussi tôt que possible la liste des interlocuteurs.

En toute logique, cette liste dépendra fortement de la granularité de l’analyse (figure ci-dessus) mais également de l’organisation de l’entreprise ! Par exemple, les interlocuteurs diffèrent si les effectifs sécurité sont au niveau groupe et fonctionnent comme un centre de service ou alors s’ils sont fondus dans chaque entité et service.

Ainsi, si vous désirez avoir dans un premier temps une estimation haut niveau, il peut suffire d’échanger pendant une demi-journée avec le RSSI, qui dispose généralement d’une vision globale et suffisante du sujet.

Le second stade d’analyse peut être atteint en recueillant des informations auprès de l’ensemble des acteurs cybersécurité (SOC, CSIRT…) à l’échelle du groupe. Dans cet ensemble, il peut être intéressant de rencontrer une grande partie des effectifs cybersécurité présents dans des équipes de la DSI (Cloud…).

Enfin, quand l’évaluation doit être poussée et exhaustive, il devient nécessaire d’élargir la liste des interlocuteurs à l’ensemble des entités concernées. Evidemment, il faut s’attendre à une charge de travail en aval d’autant plus grande, ne lésinez pas sur la préparation et l’utilisation d’outil pour vous en sortir ! C’est peut-être également le bon moment pour réfléchir au format de restitution : présentiel, distanciel, stratégique, opérationnel…

Etape 3 : L’outillage, trouver l’équilibre entre trop et pas assez

Place maintenant au choix des outils, un des principaux challenges de l’évaluation auquel vous devez faire face. Au plus elle sera complète, au plus elle nécessitera un outillage pour simplifier et assurer la cohérence de l’ensemble. En effet, pour les grandes évaluations, la consolidation et la restitution des résultats font partie des grandes difficultés rencontrées ! En particulier les principaux outils ne prennent pas en compte la complexité organisationnelle des grands groupes ou encore l’efficacité des moyens octroyés. C’est pour ces raisons que nous avons choisi de notre côté de développer un outillage particulier.

Un bon outil vous permettra également de vous positionner vis-à-vis de vos concurrents et de comprendre votre exposition aux tendances d’attaques actuelles, des points auxquels votre COMEX est particulièrement sensible et vous permettant de légitimer l’évaluation.

C’est parti, c’est l’heure de mettre les mains dans le cambouis pour démarrer la collecte des informations ! En définitive, une phase assez classique, en totalité faisable à distance, ce qui est utile dans la situation actuelle. Soyez conscient et transparent sur les limites de l’exercice : les personnes questionnées auront parfois l’impression que l’évaluation est trop théorique et c’est normal, suivant ses objectifs. Durant cette phase, il faudra également savoir jongler entre les différents imprévus car il n’est pas rare d’avoir des interlocuteurs finalement absents pendant de longues durées, des périmètres ajoutés, des changements de méthodologie … Mettons un point d’honneur à rester agile.

Etape 4 : restituer au bon niveau pour agir, tout est une question de vue !

La bonne habitude à garder, est de franchement adapter chaque support de restitution à chaque personne. Entre les synthèses managériales où on parlera sans trop de détail des tendances, de ce qui va bien, ce qui ne va pas bien et c’est tout, et de l’autre côté les présentations pour les équipes techniques où il ne faudra pas lésiner sur la description des risques de compromission, adapter le discours est donc l’enjeu essentiel pour réussir à faire passer les bons messages.

Usuellement, nous démarrons la restitution par le positionnement de l’organisation évaluée sur l’angle du budget et des effectifs dédiés à la cybersécurité. Ces points très concrets permettent d’attirer l’attention et de pouvoir ensuite analyser la situation selon 4 vues différentes :

• Conformité globale par rapport aux référentiels de cybersécurité (ISO/NIST)
• Evaluation du niveau de maturité des différentes entités évaluées comparé à celui du secteur et du marché
• Quantification de l’effort à fournir sur chacune des thématiques pour atteindre le niveau du marché et/ou le niveau demandé par les référentiels de cybersécurités
• Evaluation du niveau de robustesse de l’organisation face aux dernières cyberattaques connues.

La restitution va souvent se focaliser avec la direction générale sur des sujets d’organisation et de gouvernance. Toutefois, il arrive d’avoir de sacrées surprises ! Dans des contextes d’entreprises déjà touchées par de violentes cyberattaques, nous avons déjà eu des questions étonnamment précises et techniques par des membres du COMEX, demandant par exemple « Comment est sécurisé mon Active Directory ? » ou des précisions sur les algorithmes de chiffrement… Assez étonnant !

Lancez-vous

Comme mentionné plus tôt, l’évaluation de maturité est un formidable moyen pour mesurer l’efficacité et l’avancement de votre roadmap cybersécurité ! Ainsi, même si vous ne voulez pas tout de suite franchir le cap d’une évaluation impliquant tous les éléments SSI de votre entreprise et sollicitant des dizaines d’équipe, nous vous conseillons de vous familiariser avec l’approche et son utilité en démarrant sur un périmètre et une profondeur plus modeste !

Chez Wavestone, fort de ces différents retours d’expérience, nous avons construit le W-Cyber-Benchmark, remplissant ces usages et contenant déjà l’évaluation de plusieurs dizaines de clients. On comprend que vous ne croyez pas sur parole, alors n’hésitez pas à nous contacter pour en discuter !

Cet article Comment évaluer efficacement sa maturité en cybersécurité ? est apparu en premier sur RiskInsight.

Les grandes agences de notation telles que Moody’s ou Standard&Poor’s sont bien connues du grand public, notamment depuis la crise financière de 2008. Elles structurent désormais les marchés financiers en imposant de facto des grilles de comparaison utilisées à l’échelle mondiale pour caractériser le risque de solvabilité d’une entreprise.

Nous observons aujourd’hui que ce concept de notation d’entreprises par des organismes externes ne se cantonne plus uniquement au domaine financier et s’étend progressivement à la sphère de la cybersécurité.

Ainsi, des agences de cyber-rating attribuent désormais une « cyber-note » aux entreprises dans l’objectif de quantifier le risque cyber auquel elles sont exposées. Parmi elles, on retrouve principalement des acteurs américains (BitSight, Security ScoreCard, Panorays ou UpGuard), mais aussi une start-up européenne (Cyrating), qui collectent et analysent des informations accessibles publiquement :

• Les vulnérabilités présentes sur les sites web publiés par l’entreprise et la robustesse du chiffrement TLS mis en œuvre ;
• La réputation des adresses IP publiques de l’entreprise, calculée elle-même à partir de divers éléments tels que le nombre de plaintes pour spam, apparition dans des listes noires de fournisseurs d’accès à Internet et services de messagerie, le taux de rebond, … ;
• L’activation de la protection des adresses mails de l’entreprises (DMARC, DKIM, SPF) ;
• L’analyse des DNS (whois, serveurs racine et NS, vérification des Start Of Authority, des Mails eXchanger, …) ;
• La présence de données de l’entreprise sur le Dark Web.

En dehors de ces données accessibles par tout à chacun, les plateformes de cyber-rating captent un grand nombre de données échangées, et les analysent pour déterminer par exemple la répartition des OS par entreprise, ou encore la version des navigateurs utilisés.

L’algorithme utilisé pour corréler ces données est propre à chaque plateforme de cyber-rating, qui monétisent ensuite l’accès à leurs résultats via la souscription d’un service.

Ainsi, les entreprises ne peuvent le plus souvent connaître leur notation qu’en souscrivant à l’offre d’une plateforme de cyber-rating !

Cela va même plus loin puisque cette note sera accessible aux entités s’abonnant à cette plateforme. Les concurrents peuvent dès lors se comparer et l’utiliser comme argument commercial. Les cyber-assureurs commencent également à la prendre en compte dans le calcul du prix des contrats cyber proposés. Plus inquiétant, on pourrait imaginer que cela facilite le travail de reconnaissance des attaquants afin de cibler les entreprises les moins bien notées en supposant qu’elles soient plus faiblement défendues…

Au regard de ces enjeux, il semble indispensable que les entreprises intègrent la problématique du cyber-rating à leur gouvernance cybersécurité.

Des limites évidentes au modèle actuel du cyber-rating

Pour le dire franchement, une large part de la communauté cyber se montre réservée vis-à-vis du cyber-rating, cette défiance pouvant se résumer ainsi :

« Quelle confiance accorder à une évaluation du niveau de sécurité réalisée par un algorithme tiers ne disposant que d’un échantillon d’éléments et sans boucle de contrôle quant à la qualité des informations collectées ? » 

En effet, le modèle est encore perfectible et présente plusieurs biais, qu’il convient d’éviter au risque de remettre en cause la pertinence de la notation :

• Se limiter à une vision périmétrique ne permet pas de refléter le niveau global de sécurité d’une entreprise. De nombreux facteurs ne sont pas pris en compte : segmentation du réseau interne, mesure de protection des systèmes et des données, capacité de détection, etc. ;
• La note peut être « polluée » par des faux-positifs : adresses IP ou noms de domaine n’appartenant pas à l’entreprise (erreurs d’enregistrement), trafic provenant d’une sandbox considéré comme malveillant… Cela demande donc un travail de fond avec l’éditeur (tri des IP, exclusion de certaines données) afin d’obtenir un résultat le plus fidèle possible ;
• Le manque de transparence des algorithmes de notation rend difficile l’évaluation des éléments justifiant une note donnée et l’identification des paramètres sur lesquels des corrections sont nécessaires.

Il serait donc illusoire de réduire le niveau de sécurité d’une entreprise à cette seule note. D’ailleurs, il ne serait pas étonnant de voir des acteurs comme Qualys proposer à l’avenir de prendre également en compte le résultat des tests menés à l’intérieur même du SI de l’entreprise pour affiner ce système de notation.

Un large panel de cas d’usage

Cependant, ces limites ne doivent pas faire perdre de vue les opportunités que crée la souscription à une offre de cyber-rating.

Argument principal avancé par les acteurs du cyber-rating, ce score représente un indicateur percutant et compréhensible pour le top management, concept déjà maîtrisé dans le domaine de la finance, mais qui fait encore défaut en cybersécurité. L’évolution de la note permettrait également de justifier et quantifier l’efficacité d’un plan d’actions correctrices menées sur les services périphériques du SI de l’entreprise.

Par ailleurs, les plateformes de cyber-rating offrent la possibilité d’accéder à la note de l’ensemble des entreprises inventoriées, permettant ainsi :

• De s’étalonner vis-à-vis de ses concurrents sur une base commune, et potentiellement de faire de la cybersécurité un atout marketing ;
• D’évaluer le niveau de maturité cybersécurité de ses fournisseurs sur une base plus objective que les questionnaires remplis dans le cadre des Plans d’Assurance Sécurité.

Le cyber-rating, un enjeu incontournable pour les entreprises

Au vu des opportunités offertes et des enjeux, l’essor du cyber-rating semble inéluctable comme le note d’ailleurs l’ANSSI dans sa revue stratégique de cyberdéfense : « Les acteurs majeurs du domaine [du cyber-rating] deviendront donc des références de fait qu’il sera difficile de déloger ».

Malgré ses limites actuelles, il est donc crucial pour les entreprises – certains évoquent même la notation cyber des Etats à l’instar de la notation financière – d’identifier comment le cyber-rating pourrait devenir un atout pour faire progresser la prise de conscience de l’importance de la cybersécurité jusqu’au top management, sans pour autant stigmatiser les « moins bons élèves ».

Cet article Le cyber-rating : plus qu’une note, un enjeu crucial de gouvernance est apparu en premier sur RiskInsight.

Bien que les principes fondamentaux d’identification des enjeux, des risques et des actions de remédiation demeurent, la méthode s’illustre par son appel à des scénarios d’attaque complexes tirant partie de vulnérabilités multiples, à la manière d’attaques réelles comme celle contre les systèmes de connexion à SWIFT de la Banque Centrale du Bangladesh en 2016 ou contre Sony Pictures en 2014… Autre évolution majeure, l’apparition d’une analyse approfondie des attaquants potentiels, de l’écosystème et des parties prenantes du périmètre étudié.

Ce changement de posture permet à EBIOS RM de répondre spécifiquement aux problématiques posées par des attaquants toujours plus professionnalisés qui étudieront méthodiquement les vulnérabilités d’une cible ainsi que l’ensemble de son écosystème pour parvenir à leurs fins. Elle vient ainsi remplir une zone de vide dans l’espace des méthodologies d’analyse de risques.

Néanmoins, malgré cette approche réellement innovante et comme nous allons l’étayer ci-dessous, EBIOS RM ne doit pas forcément être considérée comme la nouvelle démarche globale d’analyse des risques mais plutôt comme une nouvelle corde à l’arc méthodologique du RSSI pour traiter les scénarios d’attaque les plus complexes.

S’appuyant sur nos premiers retours d’expérience de l’application concrète de cette méthode, nous présenterons en détail les évolutions qu’elle apporte ainsi que leurs implications sur la gouvernance plus générale des risques SSI.

EBIOS RM, une nouvelle méthodologie pour mieux appréhender les risques complexes de cybersécurité

Depuis bientôt 10 ans, EBIOS 2010 propose une méthode centrée sur la notion de menaces unitaires tirant partie de vulnérabilités et de prévention de leurs impacts sur des processus métiers. Cette méthode, qui remettait à l’époque le métier au centre de l’analyse de risques, n’est cependant pas conçue pour identifier et traiter des menaces complexes. Ces menaces, composées de rebonds de l’attaquant d’une vulnérabilité à une autre pour atteindre ses fins, constituent pourtant aujourd’hui une part majeure de l’univers des risques SSI et ont été mises à l’ordre du jour de nombreux comités exécutifs à la suite des dernières attaques majeures comme NotPetya ou WannaCry.

EBIOS RM vise à compléter ce manque par une approche intégrant dans un premier temps de l’étude poussée des intentions des attaquants potentiels, puis la prise en compte formelle de l’écosystème et enfin l’identification de scénarios d’attaque complexes de type kill chain. L’objectif final de cette étude n’est plus l’alignement des mesures de sécurité à des failles unitaires comme pour EBIOS 2010 mais bien la capacité à maîtriser des risques aux facettes multiples.

En préalable, mener un travail préparatoire concernant les vulnérabilités

EBIOS RM propose dans un premier temps la mise place d’une étude structurée du niveau de sécurité du périmètre analysé par une revue de conformité. Cette vérification permet d’identifier un premier panel de vulnérabilités, comme le ferait un attaquant en testant par exemple la version des infrastructures ou les vulnérabilités de l’OWASP.

Contrairement à ce qui est proposé dans la méthode EBIOS 2010, la principale finalité de cette approche n’est pas de remédier à des vulnérabilités unitaires mais bien d’alimenter la définition des scénarios d’attaque complexes en identifiant les potentiels points de rebond de l’attaquant.

Ensuite, mieux prendre en compte l’écosystème et les sources d’attaque

Par ailleurs, afin d’adapter l’analyse des risques à la réalité des SI contemporains et de l’univers de menace, EBIOS RM intègre une innovation majeure sous la forme de la revue systématique de l’écosystème du périmètre étudié, depuis les tiers de confiance connectés à celui-ci jusqu’aux tiers présumés hostiles tels que des concurrents, des états voire des activistes.

L’étude des tiers de confiance met en lumière leurs interactions avec le périmètre étudié, trop souvent acquises comme sûres, qui constituent un vecteur d’attaque idéal pour un attaquant contournant ainsi les défenses périmétriques voire les mesures de gestion des accès internes.

L’étude des tiers hostiles place quant à elle la notion d’intentionnalité de la malveillance au cœur de l’étude. EBIOS RM propose donc de les identifier précisément et d’analyser les objectifs possiblement visés. Ce changement d’angle de vue sert de base au développement de scénarios d’attaque complexes dans la suite de la démarche.

Cette nouvelle approche vise notamment à faire face aux attaques par water-holing ou encore des conséquences de la compromission d’un SI tiers comme les fuites de données de l’enseigne américaine Target en 2013.

Enfin, un travail itératif de construction des scénarios d’attaque

Sur la base de cette connaissance approfondie du contexte, la démarche EBIOS RM vise à réaliser une étude préliminaire et plus fonctionnelle des évènements pouvant survenir sous la forme de scénarios stratégiques, puis un zoom plus technique sous la forme de scénarios opérationnels détaillés. L’objectif est que ces deux visions s’alimentent tout au long de l’étude dans une réflexion itérative.

EBIOS RM demande tout d’abord de définir de 3 à 5 scénarios stratégiques combinant source d’attaque, objectif visé et principaux moyens utilisés pour atteindre cet objectif. Cette vision de haut niveau et aux aspects techniques très limités, atout clef pour présenter les risques cyber aux métiers voire aux instances dirigeantes d’une organisation, permet également de préciser le périmètre de la réflexion plus technique qui sera réalisée au travers de 10 à 15 scénarios opérationnels.

Ces scénarios opérationnels racontent un fil détaillé d’évènements qui, combinés, mènent à un impact majeur. EBIOS RM structure ce cheminement au travers de quatre phases. Tout d’abord, la prise de connaissance par l’attaquant du SI ciblé, de son fonctionnement et de ses acteurs. Ensuite, la phase d’entrée dans ce SI au travers d’actions comme le phishing ou l’exploitation d’une backdoor. Puis vient la phase de recherche des données ou du SI critique que l’attaquant souhaite compromettre. Enfin, c’est la phase d’exploitation de cette cible via par exemple l’exfiltration de données ou l’implantation d’une bombe logique.

Chaque scénario d’attaque opérationnel aura donc sa propre histoire à raconter, sa propre kill chain, dont la vraisemblance sera déterminée. Cette spécificité est une des forces de l’étude, facilitant sa restitution, mais lui permettant également d’alimenter la réflexion d’un SOC concernant la définition de scénarios de corrélation à implémenter dans un SIEM.

Cette hauteur d’analyse en fait d’ailleurs un outil de choix pour l’étude des risques des périmètres les plus critiques d’une entreprise, comme par exemple les SI d’importance vitale.

Un outil ambitieux dont il faut cadrer l’utilisation

EBIOS RM présente des atouts séduisants par la prise en compte des motivations et méthodes des attaquants, de l’étude approfondie des tiers de confiance comme potentiels vecteurs d’attaque ou encore par sa capacité à produire des scénarios d’attaques complexes mais capables de convaincre des publics non-initiés.

L’une des principales qualités d’EBIOS RM, imposer réflexion et créativité pour définir les scénarios stratégiques et opérationnels pertinents, a néanmoins un revers notable : EBIOS RM ne pourra ainsi pas, exception faite de l’étude du socle et des acteurs menaçants, faire l’objet d’une industrialisation poussée des outils associés sans craindre une perte de créativité et donc une perte de qualité dans ses résultats. Cette logique s’écarte donc de celle en vigueur pour EBIOS 2010 qui rendait par exemple possible une revue exhaustive des menaces, permise par la complexité très souvent limitée de celles-ci.

En l’absence de cadre largement outillé et afin d’éviter que la subjectivité des participants n’y fasse son lit, EBIOS RM va ainsi exiger de son pilote un éventail de compétences qui reste rare sur le marché : des connaissances techniques pointues et orientées test d’intrusion pour déterminer ce que serait capable de réaliser un attaquant selon son niveau d’expertise, de la créativité, une capacité au story telling, à la synthèse et à la pédagogie, afin de définir des scénarios d’attaques qui auront à la fois suffisamment d’impact et de pertinence pour convaincre à la fois les équipes métiers et techniques tout en illustrant avec justesse et moins de quinze scénarios opérationnels toutes les facettes remarquables de la situation étudiée.

Ces différentes qualités renforceront par ailleurs la légitimité du pilote de l’étude, indispensable pour animer et recadrer efficacement les différents groupes de travail demandés par la méthodologie, afin d’éviter les discussions sans fin qu’elle peut risquer d’entraîner par ses aspects subjectifs. Il faut en outre garder à l’esprit que par son aspect itératif et les nombreux groupes de travail qu’elle implique, EBIOS RM sera une démarche significativement plus coûteuse en temps qu’EBIOS 2010. De plus, ses résultats seront difficilement réutilisables d’une étude à l’autre, en cela qu’elle se concentre justement sur les spécificités des périmètres étudiés.

Les sources accidentelles écartées

Dernier point d’attention, EBIOS RM, en plaçant l’intentionnalité au cœur de sa démarche, écarte les sources accidentelles. Pourtant, celles-ci se produisent régulièrement, qu’il s’agisse d’un coup de pelleteuse, d’une corruption d’une base de données ou de l’erreur d’un administrateur. Par ailleurs, le cœur de la démarche EBIOS RM, en générant un nombre limité de scénarios opérationnels, ne vise pas à l’exhaustivité qui était une des forces d’EBIOS 2010. La réponse de la démarche à ce biais méthodologique est l’étape d’étude du socle, mais celle-ci n’est qu’une revue de conformité. Si on imagine appliquer la démarche à un périmètre existant présentant de nombreux axes d’améliorations et qu’on utilise un référentiel de conformité suffisamment exhaustif (les 42 règles de l’ANSSI ou ISO27002), on pourra se retrouver avec une liste à la Prévert des mesures correctives à mettre en œuvre, sans moyen rigoureux de les prioriser, sauf à faire appel à EBIOS 2010 qu’EBIOS RM visait à remplacer…

Vers une refonte de la gouvernance de la gestion des risques

EBIOS RM est donc une démarche qui nécessite un temps de mise en œuvre certain ainsi que des expertises à la disponibilité souvent déjà limitée, et dont les résultats seront difficiles à réutiliser. En tenant également compte de ses priorités méthodologiques, nous pensons préférable de concentrer l’application de cette démarche aux systèmes présentant des enjeux forts et dont le niveau de sécurité a déjà un certain niveau de maturité, par exemple parce qu’ils seront passés par l’étape EBIOS 2010. Il nous semble également préférable d’utiliser EBIOS RM pour des ensembles cohérents de SI (exemple : une voiture ou les activités marketing) afin de conserver un périmètre d’étude suffisamment important pour permettre des attaques avancées. Enfin, sur des ensembles cohérents de SI appartenant à des acteurs différents, il est possible d’appliquer la méthode jusqu’aux scénarios stratégiques afin de fixer des priorités d’étude pour les analyse de risques plus détaillées qui seront mises en œuvre par chaque entité sur ses périmètres propres. EBIOS RM sera dans ces cas d’autant plus pertinente qu’elle se concentrera uniquement sur des scénarios au plus proche des pratiques métiers.

EBIOS RM, une brique dans l’offre de services d’analyse de risque

L’arrivée d’EBIOS RM, démarche novatrice quoique à utiliser avec mesure, et qui finalement complète plus qu’elle ne remplace EBIOS 2010, participe donc à créer ce qu’on pourrait appeler une offre de service EBIOS. Les ressources et les compétences nombreuses qu’elle nécessite pour être mise en œuvre la réserveront ainsi à des périmètres spécifiques, fortement exposés ou porteurs d’enjeux majeurs comme par exemples les SI d’importance vitale, ayant déjà fait l’objet d’un socle de mesures d’hygiène SSI.

Tout ceci plaide en faveur de la mise en œuvre, en amont des projets, d’une démarche de gouvernance des risques, transverse à l’entité, qui permettra de déterminer rapidement les enjeux, l’exposition et la maturité sécurité de ses périmètres fonctionnels et applicatifs, puis de décider en fonction quelle méthodologie de sécurisation mettre en place : simple revue de conformité à un socle minimal de règles de sécurité, étude EBIOS 2010 plus ou moins approfondie ou enfin, sur les périmètres à la fois sensibles et matures, étude EBIOS RM.

Cet article EBIOS (2010) est mort, vive EBIOS (RM) ? est apparu en premier sur RiskInsight.

Nous avons proposé 5 facteurs clés de succès pour mener un projet de mise sous contrôle des risques liés aux habilitations des ERP :

Les deux premiers facteurs clés de succès ont été vus dans le précédent article ; les trois derniers sont détaillés ci-après.

3. Industrialiser le déploiement

Services, filières, entités géographiques ou légales… la remédiation des risques sur les habilitations nécessite de passer en revue les comptes utilisateurs de différents – et souvent nombreux – périmètres. Afin de tenir les plannings, de limiter la charge de travail, mais également de rassurer les contributeurs locaux, il est préférable « d’industrialiser » au maximum le déploiement. Cela passe notamment par :

• la définition et la communication d’une méthodologie d’analyse et de remédiation des risques ;
• la mise en place d’outils de pilotage ;
• la mise en place d’outils d’analyse plus ou moins automatisés pour faire face à la volumétrie ;
• la formalisation de supports d’ateliers et de restitution ;
• la documentation de la méthodologie et de l’outil pour former les utilisateurs.

Tous les documents produits dans ce cadre constitueront le « kit » de déploiement utilisé par le projet sur les différents périmètres, et qui pourra également servir après le projet.

« Kit » de déploiement d’un projet de remédiation des risques liés aux habilitations d’un ERP

La méthodologie de déploiement va nécessairement s’articuler autour des activités suivantes, à reproduire pour chaque périmètre :

• Analyse des risques et définition d’indicateurs.
• Ateliers de remédiation des risques portés par les utilisateurs.
• Validation et exécution des plans de remédiation.
• Formation et accompagnement à la montée en compétence.

Cette méthodologie doit néanmoins s’adapter à l’organisation de l’entreprise et aux moyens de chaque entité : effectifs, déclinaisons locales des processus métiers, maturité dans la gestion des risques et des habilitations…

En particulier, il s’agira de mobiliser des sachants locaux aussi bien sur le volet technique des habilitations (correspondants habilitations, responsables applicatifs, responsables sécurité) que sur le volet métier des processus (représentants métiers, responsables de processus, contrôleurs internes, managers d’équipe…). À ce titre, la contribution attendue de leur part et la charge qu’ils devront y consacrer devra être annoncée le plus tôt possible et rester « raisonnable ». Le management local devra donc être impliqué pour garantir la mobilisation des contributeurs et aider dans la prise de décisions.

Lors des ateliers de remédiation, les contributeurs participeront notamment à l’analyse des risques portés par les utilisateurs et seront amenés à étudier différentes stratégies de remédiation telles que celles-ci :

Stratégies à considérer dans un projet de remédiation des risques liés aux habilitations d’un ERP

Il est bien entendu préférable de valider cette méthodologie sur un périmètre pilote, d’une volumétrie limitée tout en restant représentatif de l’entreprise. Suivant le contexte, il peut être plus stratégique de choisir un périmètre a priori « favorable » au projet, ou bien au contraire un périmètre qui demandera de toute façon plus d’accompagnement. Les leçons apprises dans le cadre du pilote permettront d’ajuster la méthodologie et l’outillage qui l’accompagne avant la phase de déploiement généralisé.

4. Bien s’outiller

Les outils mis en place doivent aider à mener à bien la phase projet, mais aussi et surtout être utilisés dans la durée en support de la méthodologie, les deux fonctionnant de concert.

Bien s’outiller, c’est déjà être au clair quant aux contrôles à réaliser a priori (au moment de la demande d’une nouvelle habilitation) et aux contrôles à réaliser a posteriori (une fois que les habilitations ont été données). Avoir beaucoup de contrôles a priori peut certes aider à prévenir plus de risques, mais l’efficacité opérationnelle peut aussi en pâtir (délais, difficultés dans le traitement des demandes), d’où l’intérêt de trouver le bon équilibre.

D’un point de vue fonctionnel, il s’agit d’être en mesure de réaliser plusieurs familles de contrôles typiques pour un tel projet, à savoir :

• Contrôles sur la qualité des données : complétude et cohérence des données, respect des nomenclatures…
• Contrôles sur des règles de sécurité IT : comptes orphelins, dormants et administrateurs, permissions temporaires ou rémanentes, comptes IT avec des permissions métier et réciproquement…
• Contrôles sur des règles métier / conformité : écarts entre la fonction et les permissions, écarts de permissions entre les membres d’une même équipe, infractions aux règles de séparation des tâches, accès en dehors du périmètre de responsabilité…
• Contrôles sur les usages et le comportement : usages excessifs ou inhabituels, comportements suspects, scénarios de fraude typiques…

Familles de contrôles typiques pour un projet de remédiation des risques liés aux habilitations d’un ERP

Bien s’outiller, c’est aussi prioriser et automatiser les contrôles qui en valent le coup. Le retour sur investissement doit être évalué au regard de la pertinence de chaque contrôle dans le contexte de l’entreprise (le contrôle ne coûte-t-il pas plus cher que l’impact du risque qu’il est censé couvrir ?) et du gain potentiel lié à l’automatisation (combien économise-t-on par rapport à une réalisation manuelle ?).

La volumétrie et la complexité des modèles d’habilitation des ERP imposent le recours à des outils adaptés : il n’est en effet pas étonnant de voir par exemple des systèmes SAP avec plusieurs milliers de rôles et plus d’une centaine de milliers de permissions fines (transactions et objets d’autorisation).

Les besoins se retrouvent à la croisée de plusieurs marchés logiciels particulièrement dynamiques en ce moment et aux frontières assez poreuses : « Gestion des identités et des accès », « Contrôle continu », « Outils de Gouvernance-Risque-Conformité spécialisés sur un ERP donné »… L’approche, la maturité, la couverture fonctionnelle et le mode de delivery (sur site ou cloud/SaaS) peuvent ainsi varier sensiblement d’un produit à l’autre.

Lors du choix de l’outil, il s’agira de considérer attentivement les éléments suivants :

• L’ergonomie et la facilité d’utilisation – une fois le projet terminé, les utilisateurs de l’outil seront majoritairement « Métier » et peu « IT ».
• Les possibilités de personnalisation – pour que l’outil vienne véritablement en support de la méthodologie (vocabulaire et écrans, règles et contrôles, tableaux de bord et rapports spécifiques à l’entreprise…).
• Le référentiel des contrôles déjà préconfigurés pour l’ERP de l’entreprise – généralement basés sur des bonnes pratiques.
• La capacité à réaliser des contrôles sur d’autres applications et entre applications – dans une logique moyen terme pour l’entreprise.
• Les fonctionnalités d’aide à l’analyse et à la décision – mise en évidence des anomalies, simulation de changements sur les habilitations, analyses approfondies et suggestions de remédiations…

Bien que les outils soient généralement peu « intrusifs » vis-à-vis des applications, il s’agira tout de même d’automatiser et de fiabiliser le transfert des données depuis l’ERP et les autres référentiels éventuels. Les équipes IT concernées devront donc être sollicitées également.

5. S’inscrire dans la durée

Un tel projet n’a de sens que s’il permet de maîtriser efficacement et dans la durée les risques liés aux habilitations. Il s’agit en effet d’éviter que les risques couverts en phase projet ne soient de nouveau présents quelques temps plus tard.

Pour favoriser l’appropriation de la méthodologie et des outils mis en place, il est indispensable d’investir dès le début et tout au long du projet dans la conduite du changement : réunions et lettres d’information régulières, séances de formation et de coaching, documentation et tutoriels… On préfèrera diversifier les canaux et supports d’échange afin de toucher un maximum de personnes sans donner l’impression de les sursolliciter.

Il convient par ailleurs d’aider les futurs responsables des risques liés aux habilitations à inscrire les nouveaux contrôles dans leurs activités récurrentes. On peut ainsi définir à quelles fréquences les contrôles plus ou moins avancés doivent être réalisés, quels sont les objectifs à atteindre ou les seuils de risques à ne pas dépasser. Ces objectifs se doivent d’être réalistes et progressifs : « Visons loin mais jalonnons court. »

Dans une logique de « communauté », il est important de favoriser les échanges entre responsables des différents périmètres afin qu’ils partagent leurs retours d’expérience et leurs bonnes pratiques. Il peut également être intéressant de créer une émulation saine entre les différents périmètres, voire même d’organiser de petits challenges. On veillera néanmoins dans un premier temps à valoriser plus la progression que l’atteinte d’un objectif chiffré donné, les différents périmètres n’ayant probablement pas tous la même situation de départ ni les mêmes moyens.

Enfin, il convient de mettre en place le mode « nominal », garantissant que les risques liés aux habilitations restent sous contrôle une fois le projet terminé. Cela passe notamment par :

• la nomination d’un référent de la méthodologie et de l’outil de contrôle des habilitations ;
• la montée en compétence des équipes techniques pour assurer le maintien en condition opérationnelle des outils et assurer l’évolution des rapports et des contrôles lorsque nécessaire ;
• la documentation et la capitalisation des connaissances acquises durant la phase projet.

La définition d’une feuille de route pour l’extension ultérieure du périmètre est également à envisager, afin de mettre sous contrôle de nouveaux processus, risques, applications, populations…

Inscrire dans la durée la maîtrise des risques liés aux habilitations d’un ERP

En conclusion, c’est possible !

Comme nous venons de le voir au travers de ces deux articles, maîtriser les risques liés aux habilitations d’un ERP nécessite de mener plusieurs chantiers importants, de la mise en place de l’outillage à la conduite d’ateliers avec les métiers, en passant par la formation et la conduite du changement.

Mais avec de la méthode et les bons contributeurs IT et Métiers embarqués dans le projet, rien d’impossible ! Des résultats tangibles peuvent être obtenus dans un délai raisonnable et initier une dynamique d’entreprise pour retrouver la maîtrise des habilitations sur l’ensemble du SI. Les facteurs clés de succès présentés ici sont en effet tout à fait applicables à des applications autres que les ERP.

Cet article ERP : comment mettre sous contrôle les risques liés aux habilitations ? (2/2) est apparu en premier sur RiskInsight.

Les commissaires aux comptes, les contrôleurs internes et les auditeurs ne s’y sont d’ailleurs pas trompés, augmentant la pression depuis plusieurs années pour mettre ces risques sous contrôle et s’assurer de la conformité avec les règlementations afférentes.

Les enjeux de la mise sous contrôle des habilitations d’un ERP

Il convient dès lors de se pencher sérieusement sur le sujet des « habilitations » (appelées également droits, permissions, rôles ou encore profils d’accès). C’est en effet grâce aux habilitations qui leur sont octroyées sur les ERP que les utilisateurs peuvent réaliser une grande partie de leurs activités, qu’elles soient légitimes ou non. Donner les bonnes habilitations, aux bonnes personnes, au bon moment, doit donc permettre de réduire significativement les risques évoqués précédemment.

Au travers de deux articles, nous présentons notre vision du sujet et partageons des bonnes pratiques éprouvées permettant de mettre sous contrôle les risques liés aux habilitations des ERP.

Une maîtrise toute relative des habilitations sur les ERP

L’écosystème des ERP se révèle relativement complexe et les entreprises dépensent généralement beaucoup de temps et d’énergie pour leur mise en place. Pourtant, le volet « gestion des identités et des habilitations » est bien souvent traité a minima. Au fil du temps, cela se traduit par une dégradation du niveau de maîtrise et de sécurité :

• Comptes obsolètes, génériques ou partagés qui s’accumulent.
• Nombre de rôles qui explose.
• Non-respect du principe de moindre privilège.
• Combinaisons toxiques de droits (infractions à la séparation des tâches, Segregation of Duties en anglais), etc.

Autant de facteurs qui tendent à augmenter l’exposition aux risques évoqués plus haut.

Ainsi, rares sont les entreprises pouvant se targuer d’avoir la pleine maîtrise des identités et des habilitations sur leurs ERP. Pour s’en convaincre, les quelques questions symptomatiques ci-dessous peuvent aider à évaluer sa propre maturité sur le sujet :

• Combien de comptes ne peuvent pas être rattachés à une personne physique (comptes génériques, comptes non réconciliés avec les référentiels RH ou Active Directory…) ?
• Combien d’utilisateurs peuvent changer les droits d’accès d’autres utilisateurs ?
• Combien d’utilisateurs disposent de profils à forts privilèges (tels que « SAP_ALL» et « SAP_NEW » dans SAP ECC) ? Parmi ceux-ci, combien sont réellement légitimes ?
• Combien d’utilisateurs peuvent changer les données de base fournisseurs ?
• En moyenne, combien de rôles sont affectés aux utilisateurs ? Plutôt 2 ou 3 rôles par utilisateur, ou bien la dizaine de rôles est-elle régulièrement dépassée ?
• Combien de rôles IT sont affectés à des utilisateurs métiers… et inversement ?
• Combien de rôles donnent en réalité plus de droits que ceux prévus théoriquement (rôles supposés en lecture mais donnant des droits en écriture, rôles avec périmètres plus larges que prévu, etc.) ?

Comment s’y prendre ?

Maintenant que le constat est posé, que faire ? Surtout ne pas s’avouer vaincu ni se décourager face au chantier en apparence titanesque qui s’annonce ! Améliorer la situation et remettre les risques liés aux habilitations sous contrôle, c’est possible. Il faut pour cela, outre s’en donner les moyens évidemment, respecter quelques facteurs clés de succès déterminants détaillés ci-après.

Facteurs clés de succès d’un projet de remédiation des risques liés aux habilitations d’un ERP

1. Piloter de façon rapprochée

Dans un tel projet, il ne faut bien évidemment pas chercher à tout traiter tout de suite. Il s’agit donc de cibler stratégiquement des « périmètres » qui permettront de montrer des résultats significatifs dans un délai raisonnable. Il peut s’agir par exemple d’une application clé ou d’un module central de l’ERP, d’un processus particulièrement mis en lumière lors d’un récent audit, ou encore d’une série de risques déjà identifiés comme critiques dans le référentiel d’entreprise. L’analyse des données réelles, extraites des systèmes ERP, peut s’avérer d’une grande aide quant à la priorisation et la justification de cette priorisation.

En termes de démarche, le projet doit nécessairement prendre en compte 3 volets :

• L’analyse et la mise sous contrôle des risques liés aux habilitations, cœur du projet.
• La mise en place d’une solution technique, en support de la méthodologie.
• Le pilotage et la conduite du changement, indispensables pour la bonne réussite d’un tel projet.

Il est important de cadencer ce projet avec des jalons réguliers sur chacun des trois volets et durant chaque phase du projet :

• La phase de préparation, qui comprend le cadrage à proprement parler, la mise en place de l’outillage et la préparation des prérequis.
• La phase de déploiement, dite Get-clean, qui vise à mettre sous contrôle les risques à date : validation de la démarche sur un pilote, déploiement généralisé et adaptation de l’outillage en fonction des retours.
• Le mode nominal, dit Stay-clean, qui prend la suite du projet mais doit se préparer pendant celui-ci, afin d’assurer la maîtrise des risques dans la durée.

Démarche type d’un projet de remédiation des risques liés aux habilitations d’un ERP

Il sera impératif de suivre de près les actions des différents contributeurs et décisionnaires, et plus globalement la bonne atteinte des engagements pris pour chaque étape. Ces engagements pourront se matérialiser par des résultats aussi bien quantitatifs (réduction de X% du nombre de risques critiques, pas plus de 5 risques par utilisateur désormais…) que qualitatifs (évolution des processus ou des contrôles compensatoires). Il s’agira dès lors d’être en capacité de mesurer et de valoriser ces résultats auprès des sponsors du projet et des représentants métiers.

2. Préparer le terrain

Les aspects techniques et métiers sont étroitement liés dans les projets qui ont trait aux habilitations, et encore davantage dans le cas des ERP. Il est donc nécessaire de trouver dès le début les bons sponsors pour le projet, à la fois côté Sécurité ou IT et côté Métier ou Contrôle Interne par exemple.

Il pourra par ailleurs être nécessaire de solliciter de nombreux acteurs : correspondants habilitations, responsables sécurité, représentants métiers, responsables de processus, managers d’équipe, contrôleurs internes, etc. La coordination va s’avérer essentielle tout au long du projet et il faudra dès le début embarquer et mobiliser les futurs contributeurs et personnes concernées par le projet en leur partageant les enjeux, les objectifs et la démarche. L’approche se doit d’être « bienveillante » : il ne s’agit pas de stigmatiser une situation, des comportements, ou un périmètre par rapport à un autre, mais bien de faire progresser l’entreprise et les collaborateurs dans la maîtrise des risques.

La phase de préparation va consister dans un premier temps à recueillir les différents entrants nécessaires au projet, et particulièrement tout ce qui permettra de réaliser une première analyse des données : informations organisationnelles sur les utilisateurs (département, métier…), habilitations, journaux d’accès, référentiels de contrôle, matrice de séparation des tâches, etc. Sur ce dernier point en particulier, des ateliers sont certainement à prévoir pour compléter cette matrice et la « traduire » en permissions techniques afin d’automatiser les contrôles dans un outil.

Il s’agira par ailleurs de définir les indicateurs, tableaux de bord et rapports qui seront utilisés à la fois pendant la phase projet mais également dans la durée par les personnes en charge du contrôle continu.

Un autre point important durant cette phase de préparation sera de mettre en qualité les données. Ce prérequis se révèlera d’autant plus indispensable que le niveau de maturité de l’entreprise en termes de gestion des identités et des habilitations sera faible. La mise en qualité porte non seulement sur les comptes utilisateurs, mais également et surtout sur le modèle d’habilitation de l’ERP. En effet, si les rôles ou les profils d’accès sont eux-mêmes porteurs de risques (en termes de séparation des tâches notamment), il faudra y remédier avant de s’attaquer aux risques individuels portés par les utilisateurs.

Exemples de prérequis pour un projet de remédiation des risques liés aux habilitations d’un ERP

Nous venons de voir les deux premiers facteurs clés de succès pour mener à bien un projet de remédiation des risques liés aux habilitations d’un ERP, à savoir piloter de façon rapprochée et préparer le terrain. Les trois facteurs clés suivants seront détaillés dans un second article, à venir très prochainement.

Cet article ERP : comment mettre sous contrôle les risques liés aux habilitations ? (1/2) est apparu en premier sur RiskInsight.

Celle-ci peut prendre différentes formes, mais historiquement, sont étudiés essentiellement les aspects suivants :

• Finance et comptabilité : vérification des comptes, recensement du personnel, contrôle du bilan et du compte de résultat, de l’activité prévisionnelle, etc.,
• Juridique : statuts de l’entreprise, procès en cours, détention de brevets et de propriétés intellectuelles, etc.,
• Stratégie de l’entreprise (identification des concurrents, des forces de l’entreprise, de ses canaux de distribution, etc.

Bien que l’actualité soit riche d’exemples d’entreprises touchées par des cyberattaques, la question de la cybersécurité est encore bien trop souvent négligée lorsqu’il s’agit de fusions/acquisitions.

Mais la perception de ces enjeux est en train d’évoluer. Dans un récent sondage mené par le cabinet d’avocat Freshfields Bruckhaus Deringer, spécialisé en droit des affaires, 90% des répondants estiment qu’une cyberattaque avérée pourrait engendrer une réduction du prix d’acquisition de la cible, et 83% d’entre eux pensent qu’une attaque se produisant pendant la phase de due diligence pourrait conduire à un abandon total du deal en cours.

Le risque cyber est bien réel dans la mesure où, dès que deux systèmes d’information sont interconnectés, l’ensemble hérite souvent de facto du niveau de sécurité le plus faible des deux. À cela s’ajoutent les risques d’écarts réglementaires, alors que les régulateurs durcissent leur position partout dans le monde, et qu’une fusion/acquisition met la structure sous les feux des projecteurs.

L’évaluation du risque cyber : un pilier futur des fusions/acquisitions ?

De plus en plus conscientes de ce risque, les entreprises intègrent progressivement la notion de « risque cyber » à leurs stratégies de rapprochement. L’objectif est, en principe, simple : comprendre si le rapprochement des deux entreprises, et donc probablement de leurs systèmes d’information, augmente le risque de fuite d’information, d’attaque ou encore de non-conformité.

Il existe pourtant une différence majeure entre une due diligence classique et son pendant cybersécurité. Si les règles comptables et légales sont claires et partagées au niveau international, il n’existe pas encore d’équivalent dans le monde de la cybersécurité. Les standards se multiplient (par type de système ou de données à protéger, par industrie, par pays…), mais il s’agit de référentiels de bonnes pratiques indiquant comment bien mettre en œuvre sa cybersécurité, et non si elle a bien été mise en œuvre. Notons quelques exceptions notables, tels que les environnements certifiés PCI-DSS (protection des données de cartes bancaires), ou encore des environnements homologués de type Défense. Ces exemples sont cependant toujours des périmètres spécifiques et très limités.

Pour l’acquéreur, le fait d’agir en bonne foi et de ne pas être conscient de manquements en sécurité n’empêchera aucune cyberattaque : en risque cyber, on n’endosse pas seulement la responsabilité, mais bien directement le risque lui-même !

De la même manière, il n’est pas aisé (pour ne pas dire impossible) pour une entreprise de garantir que sa cybersécurité est « bonne ». Le fait d’avoir géré son système d’information « en bon père de famille » ne garantit pas qu’il ne constituera pas une faiblesse demain… où dans l’heure qui suit.

Le cadre des fusion/acquisitions n’est d’ailleurs pas le seul à présenter un intérêt à étudier les aspects sécurité d’un SI au travers d’une cyber due diligence. Depuis plusieurs années, les principaux assureurs internationaux ont lancé leur offre de cyber-assurance. Dans ce cadre, ils cherchent – légitimement – à connaître le niveau de sécurité informatique des entreprises qu’ils vont assurer, ou a minima à savoir quel niveau général de cyber-risque ils auront à couvrir. C’est ainsi qu’en amont de ce type de souscription, les cyberassureurs s’accompagnent aujourd’hui d’experts en sécurité informatique, dont le rôle est d’effectuer une due diligence à haut niveau.

Quelle démarche pour une due diligence cybersécurité ?

En quoi consiste une due diligence sécurité ? Il ne s’agit pas d’une nouvelle technologie ou d’une méthode révolutionnaire, mais de l’utilisation équilibrée et ciblée de différents outils de la cybersécurité.

Plusieurs approches sont possibles :

• Une approche sur la base de questionnaires. Il s’agit alors uniquement de traiter les réponses à une série de questions, généralement avec des réponses à choix multiples. Au-delà du manque de profondeur d’une telle approche, son issue dépend fortement de qui répond au questionnaire et de la manière dont il est utilisé – bien souvent, il est malheureusement à peine lu.

• Une approche par entretiens. Il s’agit d’évaluer la situation par rapport à un référentiel connu et adapté, lors d’échanges avec les responsables de la sécurité de l’entreprise considérée. La limite de cette approche est qu’elle ne se base que sur des déclarations, et n’apporte aucune preuve de ce qui est avancé. Menée par un expert rodé à l’exercice, elle permet tout de même rapidement d’avoir une vision générale sur le type de pratiques sécurité mises en œuvre.

• Une analyse par des outils automatisés, qui vont découvrir les systèmes d’informations et essayer d’identifier des failles préexistantes. Si cette méthode n’est pas infaillible, elle permet d’obtenir rapidement une première évaluation du niveau de maturité de la structure.

• Une approche « complète », constituée à la fois d’une analyse théorique et organisationnelle de la sécurité, mais aussi de tests d’intrusion permettant d’obtenir une vision la plus proche possible de la réalité. Cette approche, idéale dans l’absolu, est souvent utilisée dans le cas de rachats de start-ups, mais presque jamais dans le cadre de deals de plus grande envergure, pour des raisons à la fois de coût et de manque de temps.

Quelle que soit l’approche retenue, elle peut être rythmée en deux temps : une première analyse pour amener une connaissance et une compréhension du risque sécurité, et ainsi alimenter la réflexion sur le go/no go du deal ; une éventuelle seconde analyse, plus poussée, pour évaluer plus finement ce risque et décider de la mise en œuvre d’actions correctives.

La due diligence cyber : un élément de valorisation

Que ce soit pour l’acquisition d’une entreprise ou pour l’évaluation du risque pris par un cyberassureur, la due diligence doit donc être un élément qui favorisera la réflexion autour de la faisabilité.

Elle doit également constituer un élément de valorisation de l’entreprise dans la mesure où la mise en conformité de cette dernière par rapport aux bonnes pratiques du marché peut s’avérer coûteuse.

Elle permet, enfin, de déceler les aspects réglementaires à respecter, comme les lois touchant les entreprises vitales aux Etats (Loi de Programmation Militaire pour les OIV en France, et de nombreuses lois similaires dans le monde), et qui peuvent nécessiter un certain nombre d’adaptations à prévoir sur le système d’information de la cible, et/ou de l’acheteur.

A-t-on déjà vu des due diligences en cybersécurité mener à l’abandon d’un rachat ? Pas publiquement. On assiste plutôt à la correction rapide des manquements les plus graves identifiés, parfois à la décision de ne pas connecter certaines parties des systèmes d’information.

Auront-elles pour autant de réels impacts sur les transactions ? À cette question, Verizon a répondu avec un chiffre : en février 2017, l’opérateur a diminué son offre de rachat de Yahoo de 350 millions de dollars. Sur les 4,8 milliards initialement offerts, cela correspond à un peu plus de 7% de la valeur estimée.

Cet article La due diligence « cyber », nouvel élément de valorisation d’une entreprise est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

La transformation numérique : entre enjeu stratégique et menaces

La transformation numérique actuelle des entreprises se manifeste par une concentration et une circulation accrue de données. Ces dernières sont de plus en plus manipulées par des systèmes généralement non maîtrisés de bout en bout (big data, cloud, réseau social d’entreprise, etc.). Cette transformation numérique s’inscrit de plus dans un contexte d’allongement de la chaîne de prestataires et de partenaires (entreprise étendue), d’une mobilité et d’usages facilités (BYOD) et d’une attente forte d’immédiateté et de disponibilité de la part des clients et des collaborateurs. Concrètement cela engendre la mise en place d’outils transverses permettant de répondre à des enjeux d’agilité et de collaboration en cassant les silos entre les entités, mais avec des collaborateurs ou des clients peu formés aux nouveaux usages apportés.

Cette évolution rapide à laquelle aucun secteur d’activité n’échappe, entraine des risques qu’ils s’avèrent nécessaire d’identifier et de maitriser. Ces risques, loin d’être limités aux systèmes d’information, sont éminemment transverses et représentatifs de l’interconnexion existante entre les différents métiers.

Dans ce contexte, l’enjeu pour les directions en charge des risques (Juridique, Conformité, Risque, Contrôle Interne, Sécurité IT et Audit, etc.) est d’évaluer les risques liés à la transformation numérique et de garantir la continuité, la disponibilité ainsi que la protection des données et des applications.

La transformation numérique : révélateur et catalyseur des risques

La transformation numérique ne va pas générer de nouveaux risques mais va agir comme un catalyseur des problématiques déjà existantes. En effet, un tel programme va nécessiter de prendre en compte les besoins des métiers et de regarder les impacts potentiels (outils, processus métiers, etc.). Une lecture par les risques va permettre de faire resurgir toutes les problématiques et de réévaluer les risques et les dispositifs de couverture à la lumière du nouveau contexte.

L’identification des risques doit être accompagnée par la réalisation d’une cartographie des risques afin d’y intégrer les différentes problématiques concernées. En d’autres termes cela revient à regarder l’ensemble des risques qui pèsent sur la « donnée » dans ce nouveau contexte : compliance/juridique, sécurité, RH. À cela, peuvent également s’ajouter des risques d’image ou liés à la gouvernance.

Trois typologies de risques doivent être regardées avec une attention toute particulière :

Les risques réglementaires : l’identification des contraintes réglementaires sur la donnée

Depuis plusieurs années, les régulateurs ont commencé à s’intéresser à la manière dont les entreprises manipulent et sécurisent les données, ce qui a eu pour conséquence un renforcement croissant des contraintes réglementaires autour de ce sujet : nouveau règlement européen, durcissement du droit Russe, etc.

Compte tenu de cet environnement, les entreprises doivent identifier les réglementations auxquelles elles sont assujetties, les contraintes potentielles qu’elles peuvent générer et qui éventuellement ne sont pas respectées (partage de données bancaires ou de données industrielles hors du pays propriétaire, partage non encadré de données à caractère personnel hors de l’Union Européenne, etc.).

Une fois les contraintes identifiées, il est nécessaire de mettre en place les dispositifs adéquats pour y répondre : par exemple les Binding Corporate Rules (BCR) qui assurent une protection et une manipulation conforme des données à caractère personnel.

Les risques de sécurité SI : la sécurisation des données et des outils

Dans un monde digitalisé, les données peuvent être volatiles passant d’un outil à un autre facilement (emails, outils collaboratifs, applications mobiles, etc.). Il est donc nécessaire de formaliser un cadre clair (principes, règles, etc.) pour sécuriser l’information de bout en bout.

Au-delà du volet organisationnel et fonctionnel, il est également important de prendre en compte les contraintes d’architecture des systèmes d’information afin d’être en adéquation avec les enjeux de sécurisation (serveurs locaux, synchronisation ou non des données, enregistrement de population, etc.).

Les risques liés à la « conduite du changement » : l’évolution des dispositifs RH

La conduite du changement ne doit pas être limitée à la sensibilisation des collaborateurs sur les nouveaux outils ou les nouvelles modalités de travail. En effet, la transformation numérique peut avoir un impact profond sur le fonctionnement même d’une entreprise (management 2.0, mobilité, télétravail, Flex office, etc.). Il convient donc d’adapter les dispositifs RH existants et d’accompagner le collaborateur.

Par conséquent, un travail de formation et de sensibilisation doit être mené d’une part auprès des collaborateurs et des managers, mais également auprès des instances représentatives du personnel en les impliquant dès le départ dans le projet.

Traitement des risques liés à la transformation numérique : adopter une approche collaborative

Les risques liés à la transformation numérique embarquent une transversalité qui peut entrainer une difficulté lors de l’identification des porteurs et des actions à réaliser pour traiter lesdits risques. Cette difficulté est due à un périmètre des risques très large qui peut s’étendre sur plusieurs métiers ou sur plusieurs fonctions risques. Ainsi, il est nécessaire d’organiser une collaboration entre tous les acteurs pour prendre en compte cette transversalité et pour s’assurer in fine qu’il ne réside pas de zones de vulnérabilités pouvant être exploitées (cyber-attaque, fraude, indisponibilité, non-respect de la réglementation, etc.).

Cette collaboration doit être organisée à l’aide de quatre principes structurants :

• S’appuyer sur les programmes de transformation pour lancer les travaux sur les risques. En effet, les différents acteurs à mobiliser ont souvent peu l’habitude de travailler ensemble. Le « prétexte » d’un programme sur un sujet d’actualité doit permettre de créer une véritable dynamique,

• Réunir une équipe pluridisciplinaire composée de différentes fonctions et domaines d’expertises afin de confronter l’ensemble des points de vue,

• Accepter la remise en cause des dispositifs existants. La transformation numérique peut entrainer de profondes modifications dans l’organisation de l’entreprise, par conséquent, il peut également s’avérer nécessaire de faire évoluer le cadre normatif (dispositif de contrôle interne, nouvelles règles de gestion, etc.),

• Mettre en place une instance transverse afin de partager les avancements sur les travaux et disposer d’un niveau de validation nécessaire pour entériner les productions.

Aujourd’hui les entreprises s’appuient sur de nombreux référentiels pour aider l’identification et le traitement des risques (méthodologies internes, ISO 27005, ISO 31000, etc.).  Toutefois, le nouveau cadre que vient imposer la transformation numérique montre les limites de ces modèles qui ne prennent pas ou peu en compte la transversalité et les nouvelles connexions entre les métiers et les technologies. L’un des objectifs à venir pour les acteurs de la maitrise des risques est de faire évoluer rapidement les dispositifs et méthodologies existants afin de faire face à ces nouveaux enjeux.

Cet article Quels risques pour la transformation numérique ? est apparu en premier sur RiskInsight.

La notion de « crise » est perçue, dans nos sociétés modernes actuelles, de manière assez hétérogène, ce qui induit une certaine difficulté à en définir les contours précis. En effet, le terme de crise (économique, sociale, ou encore de réputation) est abondamment employé et ce, dans tous types de situations ou d’événements qui sont notamment relayés à la une des médias.

Étymologiquement parlant, le mot crise -issu du grec « Κρίσις »- associe les sens de « jugement » et de « décision » mis en œuvre pour dégager une décision entre plusieurs positions ou tendances opposées sinon conflictuelles.

Il s’agit bien ici d’exercer et donc d’entraîner une organisation à faire face à un ou plusieurs événements majeurs (quelles qu’en soient l’origine ou la nature – soudaine ou progressive), ayant des impacts considérables sur son fonctionnement et pouvant potentiellement mettre en péril ses ressources et donc ses actifs.

Pourquoi réaliser des exercices de gestion de crise ?

Avant tout parce qu’il s’agit du seul moyen tangible de s’assurer que les dispositifs mis en place sont opérationnels et en mesure de faire face à tous types de situations de crise. En effet, chaque organisation doit se préparer à gérer des situations complexes et déstabilisantes, y compris celles qu’elle n’a pas prévues voire imaginées.

Les objectifs d’un exercice de gestion de crise sont la validation du caractère opérationnel en termes organisationnel et humain des cellules de crise de l’entité dans le cas d’un événement majeur menaçant la bonne réalisation de tout ou partie de ses activités.

Les exercices permettent, dans un premier temps, de valider les procédures de remontée d’alerte jusqu’à la mobilisation des cellules de crise et, dans un second temps, de valider l’ensemble des procédures de gestion de crise prévues qui sont éprouvées tout au long de la session d’entraînement. Les exercices contribuent, bien évidemment, à faire monter en compétence les participants qui acquièrent, au fur et à mesure des exercices, l’expertise et les réflexes nécessaires à une gestion efficace de la situation.

Parce que la gestion de crise s’appuie sur des capacités humaines (capacité à anticiper, à prendre des décisions) et parce que chacun peut être amené à réagir de manière différente face à l’inconnu et au stress, s’entraîner c’est être prêt !

Enfin, il est à noter que la réalisation d’exercices de gestion de crise est une obligation réglementaire pour les établissements bancaires et financiers. Le régulateur s’assure que l’organisme a réalisé a minima une fois par an une action significative permettant d’attester que le dispositif a été éprouvé et qu’un plan d’actions d’amélioration a été établi. Idéalement, le niveau de difficulté des exercices devra être croissant et couvrir, à terme, les différentes typologies de crise.

Qui doit participer aux exercices de gestion de crise ?

Comme évoqué précédemment, les exercices de gestion de crise ont pour objectif d’éprouver les capacités d’une organisation à prendre des décisions dans un contexte inhabituel. Ils s’adressent donc en particulier aux membres des cellules de crises décisionnelles (CCD) qui sont généralement constituées des représentants du plus haut niveau de management de l’entité (Comité Exécutif ou Comité de Direction).

Lors d’un exercice de gestion de crise, les fonctions mobilisées au sein de la CCD peuvent varier selon le type de scénario joué ; cependant les expertises inhérentes aux ressources humaines, à la communication (interne et externe), au juridique, à la logistique, à l’informatique et au métier impacté sont habituellement sollicitées.

Afin de renforcer la robustesse du dispositif, il convient d’impliquer également les membres suppléants dans les exercices de gestion de crise, ceci permettant de se prémunir de tout défaut d’expertise au sein de la cellule de crise en cas d’indisponibilité du titulaire.

Il est aussi possible d’entraîner les cellules de crise opérationnelles qui ont pour rôle de mettre en œuvre les décisions prises par la cellule de crise décisionnelle.

Des exercices de crise au niveau national et international sont également organisés : le Groupe de Place Robustesse (composé d’établissements de crédit ou assimilés, d’infrastructures de marché, du HFDS du ministère de l’Économie et des Finances, de la Direction générale du Trésor, de la Fédération bancaire française, de la Banque de France, des autorités de supervision et de régulation telles que l’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers) se réunit régulièrement pour améliorer la robustesse de la place financière de Paris et pour échanger sur les expériences menées tant au sein des établissements que sur les autres grandes places financières. Des exercices de grande ampleur sont ainsi réalisés annuellement (panne d’électricité,  pandémie H1N1, crue centennale de la Seine, Cyber-attaque…)

Quelles sont les étapes à réaliser pour la mise en place d’un exercice de gestion de crise ?

La première étape consiste à définir et valider les objectifs de l’exercice qui devront prendre en considération le degré de maturité de l’entité en termes de pilotage de crise (une ou plusieurs cellules de crise impliquées dans l’exercice). En effet, il s’agit de positionner le degré d’exigence attendu au niveau adéquat afin que les objectifs soient à la fois ambitieux mais atteignables (les objectifs doivent tenir compte des axes d’amélioration identifiés lors des précédents exercices afin de valider que les actions correctives ont bien été mises en œuvre).

La seconde étape consiste à retenir un macro scénario adapté à la fois au contexte de l’entreprise et aux objectifs fixés. Les scénarios envisageables sont divers et variés en fonction de l’origine (interne ou externe) et de la dimension (technique, économique ou sociale et organisationnelle) de la typologie de crise retenue. La palette de scénarios est vaste et s’étend du plus commun au plus inattendu :

• Incendie / explosion de gaz avec ou sans victime
• Cyber-attaque avec vols de données ou destruction du SI
• Panne informatique de grande ampleur
• Fraude interne ou externe
• Pandémie
• Mouvements sociaux
• Rumeur
• Catastrophe naturelle
• Attentats
• Enlèvement / séquestration voire disparition de dirigeants…

Le macro scénario est ensuite décliné en chronogramme détaillé qui reprend l’ensemble des stimuli qui seront adressés à la (ou aux) cellule(s) de crise tout au long de l’exercice (la durée de l’exercice peut s’étendre d’une à deux heures jusqu’à plusieurs jours !). Chaque stimulus constituant le chronogramme devra être formulé de manière concise et précise en reprenant les termes propres à l’entité (processus, noms et contacts des personnes simulées…) permettant ainsi de se rapprocher au maximum de l’organisation et de la configuration réelle de l’entité.

La phase d’animation consiste à jouer le scénario tel qu’il est prévu au sein du chronogramme. Une cellule d’animation, qui représente à la fois le monde extérieur et les autres acteurs de l’organisation, adresse aux cellules de crise testées (via mails, appels téléphoniques, captures d’écran d’articles de presse…) les stimuli en fonction du timing prédéfini. Les membres des cellules de crise jouent leur propre rôle et les observateurs présents dans la salle de crise consignent leurs observations en vue du débriefing. L’équipe d’animation veille à ce qu’aucune information ne sorte du cadre de l’exercice ceci permettant d’éviter tout déclenchement de crise « réelle ».

A l’issue de l’exercice, un débriefing à chaud est animé par le directeur de l’exercice au cours duquel chaque participant interagit et alimente les débats. Un rapport d’exercice reprenant les forces et faiblesses du dispositif est par la suite formalisé et adressé aux membres de la cellule de crise.

Les constats réalisés au cours des exercices permettent d’identifier les failles potentielles du dispositif qui font l’objet d’un plan de recommandation priorisé. L’entité devra établir, mettre en œuvre et suivre un plan d’action lui permettant de s’assurer de la résilience du dispositif mis en place. L’efficacité et la robustesse du dispositif de gestion de crise devront ensuite être éprouvées au cours des prochains exercices.

Cet article Les exercices de gestion de crise : pourquoi, pour qui, comment ? est apparu en premier sur RiskInsight.

La directive-cadre Solvabilité 2 date de 2009. Nous sommes presque en 2015. D’après vous, quelles ont été les plus grandes avancées du secteur de la mutualité sur la gestion des risques ?

Alban Jarry : Un meilleur adressage des éléments pouvant générer des risques qui améliore progressivement la transparence dans la remontée d’informations et, par conséquent, un meilleur pilotage de l’entreprise. Aujourd’hui, il est possible d’avoir des tableaux de bords plus précis sur les risques financiers, assurantiels, opérationnels ou environnementaux. Cartographier les risques et les anticiper permet de mieux informer la gouvernance et de l’éclairer dans sa prise de décision.

Serge Marcante : À la Mutuelle Générale, nous avons mis en place fin 2013 une Direction des Risques et de la Qualité (DRIQ) indépendante des directions opérationnelles. Elle regroupe quatre services qui permettent de couvrir les problématiques liées aux risques et à la surveillance des processus : la gestion des risques, la sécurité, la conformité et la qualité. Avant même la mise en application de la Directive, cette direction va permettre au Conseil d’Administration de disposer de toutes les informations sur les risques stratégiques qui peuvent affecter le profil de risque de la mutuelle et ainsi de les anticiper.

Plus particulièrement à la Mutuelle Générale, où en êtes-vous dans la mise en place de la fonction « Risques », l’une des quatre fonctions clés définies par Solvabilité 2 ?

SM : Cette fonction sera localisée (dès l’entrée en vigueur des textes législatifs) au sein de la DRIQ dans la Direction des Risques. Elle assurera le respect de l’article 44 de la Directive. Nos politiques de risques et de gouvernance sont en cours de finalisation et seront applicables pour 2016. Il est important de se préparer, dès à présent, aux échéances réglementaires qui vont arriver dans un peu plus d’un an.

AJ : Nous améliorons continuellement notre dispositif de surveillance des risques et les cartographions. C’est un travail collaboratif et nous nous appuyons, en particulier, sur la Direction de la Qualité et du Développement Durable qui a rédigé la plupart des processus et permis de mieux cartographier les risques opérationnels. Pour les risques assurantiels et financiers, nous nous sommes dotés d’outils de surveillance qui permettent de les suivre et de calculer, en particulier, les éléments quantitatifs du pilier 1.

Avez-vous déjà défini de quelle façon l’AMSB, notion nouvelle en France, va être constituée ?

SM : Nous attendons la transposition en droit français de l’AMSB pour finaliser notre organisation sur ce point et notamment sur le principe des « quatre yeux ». Ce point est toujours en cours de négociation avec les autorités.

Un des objectifs de l’ORSA est de développer la culture du risque à chaque échelon de l’établissement et de mobiliser l’ensemble des acteurs. Aujourd’hui, quels sont selon vous les acteurs les plus sensibilisés ?

SM : L’ensemble de la chaîne de décision et de gouvernance est progressivement sensibilisé : le Conseil d’Administration, la Présidence, la Direction Générale Déléguée, les membres du Directoire et du Comex. Il est primordial que tous soient informés et participent à la surveillance des risques.

AJ : Nous avons une structure de contrôle en trois niveaux assez classique : les directions opérationnelles, la DRIQ puis l’Audit. Au niveau des directions opérationnelles, nous sommes en train de renforcer la surveillance des risques avec la création de « correspondances DRIQ » qui seront les premiers relais de notre direction dans la structure. Il est important que les collaborateurs soient sensibilisés car ce sont les premiers acteurs d’une amélioration continue de la qualité.

La gestion des risques telle que requise par Solvabilité 2 est-elle jugée comme étant une opportunité au sein des établissements ou comme un frein au développement ?

SM : La performance exigée par Solvabilité 2 en matière de gestion du risque est une opportunité pour la structure et doit participer à son développement en l’aidant à mieux appréhender les risques inhérents à chaque décision et à mieux les maîtriser quand ils se présentent. Plus largement, la collecte de données et de simulations, le fait de devoir repenser la culture du risque et d’affiner les outils de gestion internes sont autant d’éléments positifs pour l’entreprise.

Selon vous, quels sont les facteurs clés de succès pour une bonne gestion des risques dans un établissement du secteur de la mutualité ?

AJ : Une bonne gestion des risques nécessite de tenir compte du principe de proportionnalité et de maîtriser les budgets affectés à leur surveillance. Surtout, il faut être pragmatique dans la prise de décision. Les fondations d’une bonne maîtrise des risques reposent avant tout sur notre capacité à faire preuve de bon sens. C’est dans ce but que nous avons réorganisé l’actif et avons retenu un unique dépositaire. Nous travaillons aussi avec nos différents délégataires de gestion pour optimiser nos traitements liés au passif. Dialoguer avec les autres acteurs du secteur en participant à des travaux de Place facilite aussi grandement la mise en place de Solvabilité 2.

A contrario, s’il n’y en avait que deux à citer, quels sont les écueils à éviter ?

SM : Le premier écueil serait de considérer que les nombreuses règles et procédures instaurées par Solvabilité 2 en matière de maîtrise des risques doivent se subsister au bon sens élémentaire, primordial dans ce domaine. La deuxième erreur serait de négliger le principe de proportionnalité, au risque de construire une usine à gaz et de perdre de vue l’objectif essentiel : maîtriser les risques de l’entreprise.

*Alban JARRY, Directeur du Programme Solvabilité 2 et de la Mutuelle Générale, Vice-Président de XBRL France.
**Serge MARCANTE, Directeur des Risques et de la Qualité et membre du Directoire de la Mutuelle Générale

Cet article La gestion des risques sous Solvabilité 2 : quelle intégration dans le secteur de la mutualité ? est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Retour sur l’attaque Target : 40 millions de données bancaires subtilisées

Entre le 27 Novembre 2013 et le 15 Décembre 2013, Target s’est fait subtiliser plus de 40 millions de données bancaires, auxquelles s’ajoutent 70 millions de données personnelles. La méthode d’attaque est classique, mais bien exécutée : les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation. Le système de facturation externe de Target auquel le sous-traitant (et donc les attaquants) avait accès n’étant pas complétement isolé du réseau interne, les cyber-criminels ont réussi à s’y infiltrer, à voler 70 millions de données personnelles, et à installer un logiciel malveillant sur quelques  terminaux de paiements. Après des tests concluants sur les magasins concernés, ils ont décidé, peu avant Noël où l’affluence est la plus forte, de déployer leur malware sur la plupart des terminaux de paiements des magasins du territoire américain.

Les motivations des attaquants sont purement financières. En effet, une donnée personnelle se vend sur le marché noir entre  0,25$ et 2$ environ, tandis qu’une donnée bancaire peut rapporter plusieurs dizaines de dollars. Les gains sont donc potentiellement colossaux pour les attaquants !

Quel coût pour Target ?

Ponemon Institute annonce dans son rapport de 2013 un coût moyen de 130$ par donnée subtilisée, ce qui nous amènerait dans le cas de Target à un montant de plus de 14 milliards de dollars ! Il est cependant très peu probable dans ce cas que de tels montants soient atteints… quoique.

Les conséquences financières de l’attaque pour Target sont multiples. Hormis la perte de clientèle suite à la médiatisation de l’incident, Target a dû faire face à de nombreux coûts : frais d’expertise technique pour colmater la brèche, frais de notification, frais de credit monitoring… et devra faire face à de nombreux autres : amendes règlementaires, procès…

Target a récemment déclaré avoir dépensé 61 millions de dollars pour le moment suite à l’attaque. Ce montant, a priori assez faible au regard de l’importance de la crise (rien que les coûts de credit monitoring devraient dépasser ce chiffre, sans compter les frais de notification), est dans tous les cas assez loin du coût final. En effet, s’il est prouvé que Target n’était pas en conformité avec le standard PCI-DSS au moment de l’attaque, le distributeur peut encourir une amende de 90$ par donnée bancaire, soit 3,6 Md$. De plus, les banques tenteront dans ce cas de se faire rembourser la réémission des dizaines de millions de cartes reconstruites ainsi que les fraudes associées, tandis que les individus touchés intenteront probablement une class-action (procès collectif) à l’encontre de Target…

Et la cyber-assurance dans tout ça ?

C’est là que la cyber-assurance prend tout son sens, en indemnisant une partie non négligeable de ces coûts. La cyber-assurance prend en effet en charge les frais suivants :

Target a déclaré que sur les 61 millions de dollars dépensés, 44 ont été pris en charge par la cyber-assurance, l’ensemble des garanties souscrites par Target s’élevant à 165 M$ environ.

Cependant et il est important de le noter, la cyber-assurance ne couvrira pas la perte de clientèle et la chute du cours de l’action en bourse, qui restent des impacts importants mais difficilement chiffrables.

Il convient également de remarquer que l’attaque en question touche les terminaux de paiements, soit le SI « métier » qui peut parfois faire l’objet d’exclusions dans les contrats de cyber-assurance. Il est donc primordial de tester sa couverture via des scénarios d’attaques concrets.

La difficulté d’estimer le coût d’un scénario catastrophe et des garanties nécessaires

Pour traiter ce type de risque, la cyber-assurance peut donc avoir un rôle à jouer. Cependant, le montant de garantie à souscrire n’est pas simple à déterminer. Il influe directement sur le montant de la prime annuelle à payer par l’assuré, il faut donc trouver le juste milieu entre garantie et coût. Pour ce faire, une analyse détaillée des coûts par scénario peut être menée. Celle-ci permettra d’estimer le montant de garantie complémentaire nécessaire, une fois déduites les garanties des éventuelles autres assurances couvrant une partie du risque : Responsabilité Civile, Tous Risques Informatiques…

Mais ces estimations peuvent amener à des chiffres astronomiques, dépassant allègrement les 500 à 600 millions d’euros pour des acteurs B2C d’ampleur. Le coût de l’assurance en regard est alors élevé, mais judicieux au vu de la multiplication des incidents actuellement. Des grandes entreprises n’hésitent plus à investir 1 million d’euros par an pour ce type de contrat. Les capacités du marché français sont d’ailleurs en constante augmentation, atteignant aujourd’hui jusqu’à 500 millions d’euros de garanties par police d’assurance.

Mais attention à ne pas faire ces dépenses au détriment de l’augmentation du niveau de sécurité de l’entreprise. Car l’assurance n’empêche pas l’incident ! Le cas Target montre bien que des signaux d’alertes ont été ignorés.

Target apparait donc comme une illustration parfaite du rôle de la cyber-assurance dans le cas d’une cyber-attaque majeure. Cependant, un travail non négligeable d’estimation des coûts est nécessaire pour déterminer le montant de garantie à souscrire, afin d’optimiser le montant de la prime annuelle. Et ceci sans oublier de protéger son système d’information des menaces cybercriminelles de plus en plus pointues !

Cet article Target 6 mois plus tard, quel retour sur la cyber-assurance ? est apparu en premier sur RiskInsight.

Comment intégrer une vision plus « positive » du risque au sein de la cartographie ?

Ne pas savoir saisir les opportunités peut être considéré comme un risque vis-à-vis de la stratégie de l’entreprise. Dès lors, on doit attendre de la cartographie qu’elle accompagne cette prise de risques.
Prenons l’exemple d’une entreprise qui souhaite se développer sur un nouveau marché. Cette stratégie pourrait notamment s’appuyer sur l’acquisition d’une société disposant d’expertises sur ce marché. On pourrait raisonnablement considérer cette démarche comme intrinsèquement risquée : la société ciblée apportera-t-elle tout le potentiel attendu ? La valeur d’acquisition sera-t-elle bien évaluée ? Son intégration dans la culture de l’entreprise sera-t-elle facile ?… À ne considérer que les risques, la cartographie pourrait inciter à ne pas se lancer dans une telle démarche d’acquisition qui est pourtant ici nécessaire au développement de l’entreprise.
La bonne réponse passe dès lors par la prise en compte, au sein de la cartographie, non seulement des risques mais également des opportunités. On ne masquera pas les risques car ils nécessitent d’être gérés mais les différents scénarios seront relativisés au regard des bénéfices attendus. La cartographie deviendra alors un vrai outil d’aide à la décision permettant d’équilibrer la prise de risques.

Une vision très dépendante d’un contexte évoluant très rapidement

La perception et la qualification d’un scénario en tant que risque pour l’entreprise dépend des objectifs et du contexte (économique, financier, social,…) de celle-ci. Une bonne conjoncture économique, une trésorerie avantageuse, un contrôle interne efficace,…peuvent être à l’origine de la relativisation de certains risques dans la mesure où leurs impacts sur les objectifs de l’entreprise pourraient être faibles.
Prenons, par exemple, la situation d’une entreprise disposant d’une forte trésorerie, qui l’inciterait peu à chercher des opportunités d’optimisation de celle-ci. Au sein de la cartographie, le risque de manque d’optimisation financière sera très certainement mineur voire inexistant. Dans un contexte business moins favorable, l’argent immobilisé constituera un risque nettement plus conséquent (endettement, pénalités financières, baisse du chiffre d’affaire…) pour l’atteinte des objectifs de l’entreprise.

Adopter une approche globale des risques en intégrant les points de vulnérabilités à traiter mais également les opportunités à saisir passe donc nécessairement par la mise à jour très régulière de la cartographie pour adapter cette dernière aux évolutions rapides du contexte de l’entreprise.

Cet article Gestion des risques : comment équilibrer opportunités de développement et risques ? est apparu en premier sur RiskInsight.

Bien que leur nature ne s’y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.

Mieux appréhender l’incertitude : raisonner à partir des impacts

Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un apparent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).

Si l’histoire récente a parfois obligé les entreprises à s’améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’occurrence catastrophiques), et à en déduire la liste des causes potentielles.

Déjà appliquée dans le domaine financier (« reverse stress-testing »), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion pertinente sur les modalités de traitement de ces risques.

Capitaliser sur le risk management en place, via la notion de « cascade de risques »

Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d’Enterprise Risk Management – ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.

Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l’origine des vraies catastrophes (cf. l’exemple classique de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).

Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.

Bâtir une organisation résiliente

Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.

La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.

A la difficulté près qu’elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).

Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d’investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un back-up sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pour pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.

Même dans ce cas, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles. Dans ce cas d’autres mesures, déjà largement développées sur ce site, sont alors à envisager !

Cet article Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2) est apparu en premier sur RiskInsight.

Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?

Des outils aux fonctionnalités très étendues

Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.

D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :

Une polyvalence capable de répondre aux besoins du RSSI

Chaque module des outils de GRC peut être utilisé dans une logique SSI.

• La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
• Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
• Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.

De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).

Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.

De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.

Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place

Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :

• La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
• Le lotissement doit être progressif  : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
• La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit,  Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.

Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur  un cadre unique.

Cet article Les outils de GRC : une opportunité d’industrialisation de la gouvernance SSI ? est apparu en premier sur RiskInsight.

Cet article Dispositifs de gestion de crise et sécurité des SI : que font les grands comptes français ? est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

Rationalisée et optimisée depuis des années, elle est souvent devenue moins apte à résister aux chocs violents : un cas d’école pour le risk manager qui doit démontrer que la croissance n’a de sens que si elle est durable.

Une recherche de performance centrée sur le gain à court terme

Pour faire face à un environnement concurrentiel exacerbé, la supply chain a été parmi les premières fonctions mises à contribution pour réduire les coûts, via la rationalisation des canaux de distribution, le sourcing et l’off-shoring. Avec des résultats indéniablement à la hauteur des espérances et dont la presse économique se fait régulièrement l’écho¹.

Mais ce faisant, les supply chains ont insensiblement et progressivement été fragilisées. Ainsi, ces cinq dernières années² :

• 74% des entreprises ont allongé géographiquement leur supply chain,
• 70% ont réduit le nombre de fournisseurs sollicités pour une même fourniture,
• 63% ont eu recours à des fournisseurs implantés dans des régions à risque, régulièrement théâtres de perturbations majeures (tsunamis, ouragans, guerres civiles…).

Le résultat est là aussi sans appel : 75 % des entreprises interrogées ont connu au moins un incident majeur lors des deux dernières années, avec des conséquences parfois dévastatrices.

Quel rôle pour le Risk Manager ?

Dans ce contexte, le Risk Manager peut (doit) travailler main dans la main avec le responsable de la supply chain pour sensibiliser le management aux risques encourus (considérés comme « à très faible probabilité », ils sont rarement présents dans le top 10 suivi à haut niveau), et pour apporter aux décideurs les éléments poussant à des arbitrages plus équilibrés entre rentabilité court terme et résilience.

Ces éléments d’arbitrage découlent du plan d’action « classique » de maîtrise des risques :

• Analyse du fonctionnement global de la supply chain pour en identifier les vulnérabilités, et en déduire les scénarios de risque les plus probables et redoutés ;
• Ajout des informations « risque » (sur l’environnement, par exemple) dans le référentiel partenaires, en ouvrant si possible le panel aux acteurs alternatifs potentiels ;
• Vérification de leurs plans de continuité (participation aux tests dans l’idéal, au moins en tant qu’observateur) ;
• Simulation des scénarios de risque, pour évaluer la résistance globale de la supply chain.

Cet article Supply chain : le maillon faible ? est apparu en premier sur RiskInsight.

En effet, le processus de souscription constitue le pilier fondateur d’un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d’une telle opération.

Quels sont les acteurs majeurs de ce processus ?

Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations :

• Le client : il s’agit d’une organisation ou d’une entreprise souhaitant disposer d’une prestation (généralement financière) en cas de survenance d’un incident. C’est lui qui exprime le besoin, que ce soit par ses Risk Manager, ses RSSI, sa Direction Générale ou encore ses acteurs métiers.
• Le courtier : il est l’intermédiaire entre le souscripteur et l’assureur, et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client.
• L’assureur : il crée les polices d’assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client.

Comment se déroule le processus de souscription à une cyber-assurance?

En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une analyse de risques récurrente et un bilan assurantiel (évaluation de la couverture actuelle et des manques) impliquant toutes les parties de l’entreprise sont nécessaires.

Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et des modalités de son accompagnement au cours des différentes étapes, du choix à la vie du contrat.

Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin.

Le client et le courtier présentent ensuite à l’assureur leurs exigences en termes de périmètre de couverture et de plafond de garantie. Dans le cas de montants très élevés, le courtier peut mettre en place des montages d’assurances qui permettent d’atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l’assureur évalue la maturité du client, par l’intermédiaire de questionnaires ou par une analyse de risques. L’assureur propose alors un montant de prime d’assurance en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différents partis.

Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la police d’assurance.

Comment faire vivre le contrat ?

Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l’assureur, notamment sur le devoir d’information en cas de modification significative des risques sur son système d’information. Cette obligation se concrétise généralement par des réunions annuelles entre l’assureur, l’assuré et le courtier dans le but d’établir un bilan de l’évolution de la maturité du client et d’adapter le contrat en conséquence.

La souplesse dans l’évolution du contrat a deux principaux intérêts. Pour le client, il est de faire baisser le montant des primes en améliorant sa sécurité. Pour l’assureur, il est d’adapter le montant des primes en fonction de l’évolution du risque. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI.

Comment déclencher les garanties ?

Les délais de notification en cas d’attaque constituent l’élément central du déclenchement. Le code des assurances rappelle : «L’assuré est obligé de donner avis à l’assureur, dès qu’il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l’assureur. Ce délai ne peut être inférieur à cinq jours ouvrés » (Article L113-2). En cas de faute vis-à-vis de cette règle, le client peut se voir refuser ses garanties. L’enjeu est donc d’alerter au plus tôt l’assureur, même s’il n’y a que suspicion d’intrusion, mais aussi de cadrer les preuves à recueillir pour l’indemnisation – et ce dès l’établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si  l’assureur a été notifié dans les délais, et l’évaluation du sinistre réalisée.

En fonction des assureurs, la mise à disposition d’experts peut relever d’une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d’intervention de ces experts (obligation d’utiliser les prestataires de l’assureur, …).

Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Souscrire une cyber-assurance : mode d’emploi est apparu en premier sur RiskInsight.

• Quels sont mes risques et parmi eux quels sont mes risques les plus critiques ?
• Sont-ils maîtrisés et dans le cas contraire quelle(s) décision(s) prendre ?

Au sein de l’entreprise, les acteurs à même d’apporter des réponses à ces questions sont nombreux (Risk Manager, Responsable des Risques Opérationnels, auditeurs…). S’agissant des risques de sécurité, au cœur de notre sujet, retenons, entre autres, la Direction des risques, le contrôle interne, l’audit interne et bien sûr le RSSI et ses équipes.

Si leur implication dans la gestion des risques SSI est évidente, les liens qui les unissent le sont moins. Apporter des réponses pertinentes aux deux questions ci-dessus passe donc nécessairement par la clarification des relations qui les lient – ou qui devraient les lier.

Quelles relations mettre en œuvre entre les différents acteurs de la gestion des risques SSI ?

À défaut d’organisation commune à toutes les entreprises, nous pouvons schématiser ainsi les principaux rôles de chacun de ces acteurs, ainsi que leurs interactions.

Pour gérer les risques de manière efficace et efficiente, il est nécessaire que les acteurs concernés partagent leurs informations.

Cette exigence de partage de l’information n’est pas toujours effective

Les différentes contributions à la gestion des risques SSI sont malheureusement peu souvent coordonnées voire parfois ignorées. Trois situations, trois questions reviennent en permanence, illustrant ce manque de communication :

• Quels contrôles relatifs à la sécurité des SI sont réalisés par le contrôle interne ? La fonction contrôle interne dispose-t-elle de l’expertise pour mener des contrôles de sécurité ?
• La politique de sécurité fait-elle partie du référentiel de contrôle ? Les contrôles réalisés permettent-ils d’en mesurer la mise en œuvre ?
• Les démarches, méthodes, référentiels, échelles…utilisés pour  gérer les risques sont-ils partagés

Mettre en œuvre des actions concrètes de rapprochement

Quelles solutions permettront un rapprochement ? À cette question il n’y a évidemment pas de réponse toute faite, pas d’organisation unique adaptable partout. Il existe néanmoins quelques bonnes pratiques qui vont faciliter l’atteinte de cet objectif.

1.    Évaluer les risques à couvrir ainsi que les contrôles à réaliser en s’appuyant sur  la même échelle de classification

Facteur de rapprochement essentiel, une échelle commune permet notamment de prioriser les contrôles à réaliser en se focalisant sur ceux liés aux situations les plus à risques.

Sans ce partage, il est très difficile d’obtenir une vision consolidée des risques. Une fois cette échelle commune établie, il est alors possible de mettre en œuvre les points suivants.

 2.    Travailler sur un catalogue de risque partagé

Tous les acteurs doivent pouvoir s’appuyer sur un catalogue commun de risques. Le contrôle interne pourra y ajouter les résultats des contrôles réalisés afin de mettre à jour le niveau de maîtrise des risques correspondants. Le RSSI pourra y contribuer en renseignant les risques dont il est le porteur et en intégrant notamment les vulnérabilités pesant sur les actifs SI.

 3.    Gérer conjointement la relation avec l’ensemble des acteurs métier et SI

Les Directions métiers comme les experts du SI sont aujourd’hui sur-sollicités par l’ensemble des acteurs de la gestion des risques. Aboutir à une gestion des risques plus efficiente passe donc nécessairement par l’harmonisation des différentes démarches. Harmoniser, ce n’est pas fusionner (chacun garde ses spécificités) mais se doter d’un discours, d’un calendrier, d’un outillage le plus homogène possible afin de présenter aux acteurs métier une démarche cohérente et optimisée.

 4.    Clarifier les périmètres de chacun et acter la délégation de responsabilité les cas échéant

Le domaine de la sécurité des SI est un bon exemple de périmètre au sein duquel la clarification des responsabilités de chacun est souvent nécessaire. Prenons l’exemple des contrôles de niveau 2 touchant la SSI. Ceux-ci peuvent être gérés par la fonction contrôle interne si elle dispose de l’expertise ad-hoc mais ils sont régulièrement suivis par le RSSI. Dès lors l’enjeu est de bien définir les actions de contrôle portées par le RSSI en délégation du contrôle interne pour la spécificité du domaine SSI.

 Améliorer l’efficacité de sa gestion des risques est d’abord un enjeu de Gouvernance

Nous l’avons vu, au-delà des questions de méthodologie et d’outillage, faciliter et améliorer sa gestion des risques passe essentiellement par une plus grande communication entre les différents acteurs. Cet objectif ne vise pas à gommer leurs spécificités mais à faire en sorte que les résultats des travaux des uns puissent servir à mieux cibler et prioriser les travaux des autres.

La Direction des risques a dans ce schéma un rôle essentiel dans la mesure où elle est la mieux placée pour orchestrer les actions des uns et des autres. Son positionnement global (vision de l’ensemble des risques de l’entreprise) doit lui permettre d’être le facilitateur

Cet article Les relations risquées entre les acteurs de la gestion de risques est apparu en premier sur RiskInsight.

Étape 1 : utiliser une échelle commune, un pré-requis à la démarche

Disposer d’une échelle commune visant à mesurer les risques semble une évi­dence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartogra­phies des risques élaborées. C’est donc la pre­mière étape pour intégrer les filières ! La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’iden­tifier les points de dépendance clés.

Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. L’atteinte d’un consensus n’est pas toujours aisée, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche.

Étape 2 – Construire un portefeuille de risques : un référentiel de pilotage unique

La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques.

Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de posi­tionner un risque dans une seule et unique filière. Une fois ces recouvrements identifiés, il devient possible de formaliser les responsa­bilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant et dans le pire des cas des démarches contradictoires.

Étape 3 : transformer la relation avec les métiers

Les métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs.

Plusieurs leviers d’optimisation sont à mettre en œuvre :

•  Le travail sur les zones d’adhérence des risques doit être remis à profit pour anticiper les redondances et les contourner au tra­vers d’entretiens ou de questionnaires communs sur ces périmètres.
• L’échange des informations collectées auprès des métiers doit permettre d’enrichir la réflexion de tous et de garantir une sollicitation efficace des métiers.
• La mutualisation de la restitu­tion et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la valida­tion des risques.

Étape 4 : partager les plans d’actions

En intégrant la vision des risques, la définition des plans d’ac­tions est plus simple à optimiser. Les actions identifiées par chaque filière sont partagées, des synergies peu­vent être dégagées et les budgets mieux alloués sur l’ensemble du périmètre :

• Les actions de réduction des risques sur les zones d’adhé­rence peuvent ainsi être défi­nies collégialement, chaque filière traitant d’une compo­sante du risque ;
• Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées.

Chaque filière dispose alors de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régu­lier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’en­semble des composantes des plans de traitement.

La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un accompagnement par une conduite du changement.

Lire les précédents articles une gestion des risques SI au cœur de l’innovation et des métiers et casser les silos en articulant les filières de gestion de risques.

Pour en savoir plus, vous pouvez également consulter notre synthèse :  « Management des risques : plaidoyer pour une vision unifiée »

Cet article Management des risques : comment mettre en place une organisation de gestion des risques ? est apparu en premier sur RiskInsight.

Mais face à cette multiplicité des gestionnaires de risques et des démarches, comment obtenir une vision d’ensemble ? Telle est la question à laquelle nous nous proposons de répondre dans la deuxième partie de notre dossier consacré au Management des risques.

Une vision d’ensemble difficile à obtenir…

Les multiples acteurs qui composent les filières de gestion des risques SI (DSI, RSSI, RPCA…) agissent le plus souvent indépen­damment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel… tout en ayant peu voire même aucun échange avec les autres acteurs.

L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge. Ce fonctionnement en silos n’optimise ni l’identification, ni l’éva­luation et le traitement des risques. Ces silos pénalisent l’entre­prise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose :

• Quelle est globalement mon exposition aux risques ?
• Ai-je bien mis les priorités aux bons endroits ?

Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens.

… et d’inévitables redondances

L’approche en silos a un second inconvénient : elle génère natu­rellement une sur-sollicitation des métiers : on constate souvent autant de sollici­tations que de filières ! Or, s’il est nécessaire que les acteurs de la gestion des risques SI collaborent avec les directions métiers, notam­ment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive.

La solution réside donc dans l’or­chestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise.

 Vers une cible d’organisation intégrée : la « tour de contrôle »

L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rappro­chement favorise ainsi la consolida­tion d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’opti­misation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires.

Mais attention : rapprochement des filières ne veut pas dire fusion des filières.

Chacune a recours à des compétences, des expertises et des normes spécifiques.

Si la « tour de contrôle » est l’orga­nisation optimale cible, il n’est pas évident de l’implémenter immédia­tement. Une mise en place progressive est, de ce fait préférable. Elle doit permettre de poser les  bases d’une approche des risques partagée et introduire un changement de culture.  Ce sont les premières étapes de cette mise en place que nous détaillerons dans la 3ème partie de notre dossier sur le management des risques.

Cet article Management des risques : casser les silos en articulant les filières de gestion de risques est apparu en premier sur RiskInsight.

Découvrez quelques éléments de réponse dans la première partie de notre dossier consacré au Management des risques.

Une prise de risque au service de l’atteinte des objectifs de l’entreprise

Les démarches de gestion des risques peuvent donner l’impression de sur-traiter le risque, voire de le refuser systématiquement. En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient par­fois les gains potentiels d’une prise de risque. Se développer sur un nou­veau marché, adapter son offre com­merciale, acquérir une société… sont autant de démarches « risquées » qui se révèlent aussi sources potentielles de profits pour l’entreprise et bien sou­vent nécessaires à son évolution. Pour chaque risque, c’est ce difficile exercice d’équilibre entre gains et pertes potentielles qui doit permettre de modi­fier la perception que les métiers ont des démarches de gestion des risques.

Une gestion des risques efficace doit apporter une aide à la décision et une réponse assumée et proportionnée aux menaces pesant sur l’entreprise. Cela ne peut être atteint qu’en collaboration avec les directions métiers qui sont les seules à même d’évaluer les impacts sur leurs activités.

Un prérequis : formaliser les objectifs de l’entreprise pour identifier les risques et leurs porteurs

Les risques créent une incertitude sur l’atteinte des objectifs de l’entreprise (voir la norme ISO 31000). Pour identifier, évaluer et gérer les risques, il est donc essentiel pour l’entreprise de bien identifier et formaliser ses objectifs.

Les risques touchent tous les niveaux de l’entreprise et sont portés en consé­quence par des acteurs multiples. Au-delà des risques stratégiques gérés par la Direction générale et des risques métiers, bien souvent sectoriels et portés par les directions en charge de ces fonctions, les risques opérationnels ont fait l’objet d’une attention de plus en plus importante ces dernières années. Le renforcement des réglementations, plus particulièrement dans le secteur financier, a mis en lumière un besoin fort de maîtrise de ces risques. Communs à toutes les entreprises, ils recouvrent les risques relatifs aux processus, aux personnes et aux systèmes de l’entreprise.

 Le SI, colonne vertébrale de l’entreprise, au cœur de la gestion des risques

Parmi les risques opérationnels, les risques liés aux systèmes d’infor­mation ont évolué particulièrement rapidement ces dernières années et doivent faire l’objet d’une gestion de risques à part entière. Autour de l’information s’articulent en effet différents domaines de risques très dépendants les uns des autres.

• Les risques du système d’information sont des risques trans­verses à l’entreprise, qui intègrent l’ensemble des risques métiers et opérationnels ayant une composante SI.
• Les risques sécurité de l’information comportent une large composante SI, mais n’y sont pas limités. Ainsi, la sécurité de l’information couvre également les dimensions orales et papier de l’information. Bien ancrés dans les pratiques de gestion de risques des entreprises, ils font sou­vent l’objet d’une filière dédiée.
• Il en va de même pour les risques de continuité d’activité. Ils regroupent des risques SI sur les aspects conti­nuité informatique, mais débordent largement sur les risques opération­nels en traitant le secours utilisateur et les aspects logistiques, RH, juri­diques, etc.

De nombreux référentiels et des normes existent pour gérer ces risques. S’ils convergent sur un certain nombre de concepts fondamentaux, leurs modalités de mise en œuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc.
La mise en place de filières spécifiques à chaque type de risque les a souvent largement exploités ces dernières années, sans pour autant uniformiser les pratiques.

Dès lors, il peut s’avérer difficile de disposer d’une vision d’ensemble et un nouvel enjeu émerge : comment optimiser globalement la gestion des risques SI ? (Lire notre article « Casser les silos en articulant les filières de gestion de risques« )

Pour en savoir plus sur le management des risques, consultez également la synthèse Solucom « Management des risques, plaidoyer pour une vision unifiée ».

Cet article Management des risques : une gestion des risques SI au cœur de l’innovation et des métiers est apparu en premier sur RiskInsight.

Cet article Gestion des risques : de la perception à la réaction … est apparu en premier sur RiskInsight.

Dans un monde moins dangereux mais plus risqué, quel comportement adopte-t-on face au risque ?

Alors que notre monde est de moins en moins dangereux, nous avons aujourd’hui le sentiment de vivre dans un monde de plus en plus risqué. Risques alimentaires, écologiques, technologiques, financiers, métiers à risques, populations à risques… Le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique.

Pour paraphraser le philosophe François Ewald, rien n’est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d’appréhender le réel, associée à une volonté de maîtriser l’avenir. Cette « mise en risque » progressive du monde est justement ce qui caractérise l’histoire du 20^ème siècle.

Erving Goffman, sociologue américain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d’activité, la veille et l’alarme, passant de l’un à l’autre lorsqu’un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d’autres à ces signaux et plus prompts à réagir. On pourrait dire que l’homme moderne possède les aptitudes perceptives d’une biche, toujours prête à s’effrayer, mais la réactivité d’une vache, lente à se mobiliser. Évidemment, ce décalage est anxiogène !

Pourquoi les hommes ressentent-ils le besoin d’atteindre le risque zéro ?

La « mise en risque » progressive du monde a été au 20^ème siècle corrélative d’une nouvelle utopie : celle du risque zéro. L’expansion continue du risque est portée par un espoir qui peut sembler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale.

Cependant, les experts ont dû admettre que le risque nul n’existe pas, que certains risques sont rémanents, que d’autres sont concurrents, et que la réduction des uns peut renforcer les autres.

Ces dernières décennies ont également été marquées par ce que l’on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l’utopie du risque zéro. Ce principe implique que « l’absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l’environnement à un coût économiquement acceptable ». Aujourd’hui est fait un usage galvaudé de ce principe de précaution, ce dernier se transformant en principe d’abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, fait seulement mention des risques « graves et irréversibles » et n’envisage que des mesures « proportionnées », à un coût « économiquement acceptable ». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un « risque zéro » hors d’atteinte.

Pourquoi le risque zéro est-il utopique et incongru ?

L’intrusion du facteur humain est une des explications de l’échec de l’utopie du risque zéro. Selon la théorie du risque homéostatique, les individus ne recherchent pas forcément le risque zéro, ils sont même prêts à s’exposer à un certain niveau de risque qu’ils jugent « acceptable », pour en retirer un bénéfice.

Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu’ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d’autres contraintes, d’autres risques.

Par ailleurs, ces experts doivent prendre en compte le phénomène de déni du risque qui peut être redoutable. Le déni du risque s’appuie souvent sur une stratégie de « bouc émissaire », qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu’une catégorie d’individus bien particulière, à laquelle on n’appartient pas soi-même.

Aujourd’hui, la gestion d’un risque, dans la société comme au sein d’une entreprise, implique au moins deux dimensions interdépendantes. D’abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d’acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particulier, au sein d’une entreprise, avec les salariés, avec les métiers, pour que leurs points de vue, leurs besoins et leurs objectifs propres soient pris en compte.

Lire l’article : Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques

Cet article Quelle perception du risque dans la société ? La vision de Patrick Peretti-Watel est apparu en premier sur RiskInsight.

Des métiers sur-sollicités

Les Directions métiers sont aujourd’hui sur-sollicitées par une filière risques qui peine souvent à mettre en cohérence les démarches de recensement et de traitement des différentes typologies de risques (RH, juridique, SI, qualité, continuité…). La multiplicité des acteurs, démarches et planning entraîne une perte générale de lisibilité pour les métiers, qui en réaction s’impliquent moins dans le processus de management des risques.

Créer un cadre unifié pour la gestion des risques

Il est nécessaire de repenser les filières risques pour une meilleure intégration des différents canaux de remontée et de traitement des risques. Vis-à-vis des métiers, ces changements doivent se traduire par des sollicitations plus cohérentes, favorisant ainsi leur adhésion.

Deux axes majeurs pour opérer cette transformation : la convergence des pratiques et la rationalisation de la gouvernance des risques  (voir notre article à ce sujet).

Un retour sur investissement difficile à percevoir

Difficile pour le métier d’évaluer à quel point le travail fourni dans le cadre de la gestion des risques a permis d’atteindre le résultat escompté si on ne le lui montre pas clairement ! Le gain associé aux efforts consentis est en effet difficilement perceptible, car le premier résultat d’une gestion de risques efficace, c’est bien l’absence de perturbations majeures sur les activités. La filière risques doit ainsi faire l’effort de mesurer les gains associés à ses actions, afin de mieux valoriser ces dernières auprès des métiers et leur faire comprendre l’intérêt qu’ils ont à s’impliquer.

Développer le « marketing de la filière risques »

Pour favoriser l’adhésion des Métiers, la filière risques doit développer sa capacité à intervenir en mode projet ou en phases d’étude à leur demande, en sortant d’un mode de fonctionnement aujourd’hui trop basé sur le récurrent.

Elle doit pour cela apprendre à se vendre, en assurant la promotion des services qu’elle peut offrir aux Métiers et des résultats qu’elle obtient. Cela doit contribuer, si ce n’est à inverser, au moins à rééquilibrer les flux de sollicitations entre les deux parties. Ces derniers partent en effet aujourd’hui majoritairement de la filière risques et non des Métiers, contrairement à la quasi-totalité des autres directions support ! La filière risque dispose de plusieurs moyens pour ce faire, au travers par exemple :

• de la structuration de « l’offre de la filière risque » : comment et sur quoi cette dernière se propose d’intervenir auprès des métiers, à leur demande ;
• de la valorisation des résultats obtenus, en trouvant des indicateurs pertinents et des exemples concrets pour les différentes typologies de risques ;
• de la détection des nouvelles opportunités qui apparaissent aux Métiers grâce à la bonne gestion des risques (moyens de valorisation en externe par exemple)

Un refus trop fréquent du risque

La filière risques est souvent perçue comme l’entité qui « sur-traite » voire refuse systématiquement le risque, plutôt que celle qui valorise la prise de risque maîtrisée.

Les métiers, au cours du processus de décision, attendent pourtant que les pertes potentielles soient analysées au regard des gains attendus. Réaliser cet exercice difficile et décider « en toute connaissance de cause » est de plus en plus complexe pour eux, et la filière risque peut les aider en cela, que ce soit sur un plan stratégique ou opérationnel.

S’aligner sur les objectifs des Métiers et veiller à ne pas sur-traiter les risques

La filière risques doit passer du refus trop fréquent du risque à l’assistance au métier dans la conduite de ses choix stratégiques et opérationnels, pour lui permettre d’atteindre ses objectifs en prenant des risques maîtrisés. Le gestionnaire de risques doit devenir un des soutiens indispensables dans les équipes chargées de mener des études ou projets stratégiques, via sa capacité à analyser de manière large et détaillée les risques et valider que la prise de risques permettra de générer de la valeur et est conforme à « l’appétence au risque » qu’exprime le métier. Dans un cadre plus opérationnel, il doit s’assurer que les projets intègrent bien la notion de risque tout en conservant ses missions récurrentes de cartographie et traitement.

Mais il doit surtout développer son rôle de conseil « à la demande du métier », en veillant à ne pas imposer des processus et solutions qui viseraient à « sur-traiter » les risques et donc à diminuer la performance de l’entreprise.

Cet article Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques est apparu en premier sur RiskInsight.

Quelques incidents majeurs d’indisponibilité survenus en 2011

Dans le domaine des technologies de l’information, l’année passée a connu une médiatisation forte du cloud, notamment vis-à-vis du grand public. Mais elle a également montré quelques limites du « nuage » en termes de disponibilité avec des incidents touchant les acteurs majeurs du secteur tels qu’Amazon, Microsoft ou Google.

2011 a également connu les désormais habituelles, mais ô combien impactantes ruptures de câbles. Notamment celle de Vélizy, en mai dernier, où des fibres ont été coupées lors de travaux du tramway. Un site d’hébergement informatique a été isolé près d’une journée, perturbant ainsi l’activité de grands comptes de la distribution et celle d’un ministère. Non moins insolite, une Géorgienne de 75 ans a coupé la connexion de 3,2 millions d’Arméniens en cherchant du cuivre près de Tbilissi !

Mais de tous les incidents, les catastrophes naturelles sont indéniablement les plus marquantes, par leur gravité et leur dimension parfois inhabituelle : les inondations en Thaïlande et surtout le désastre de Fukushima. Ces catastrophes ont montré les limites des dispositifs de maîtrise des risques, et poussé ces pays à améliorer leur capacité à gérer des crises exceptionnelles.

Un renforcement de la sensibilité des états et des organisations sur le sujet

Le Japon et la Thaïlande ne sont pas les seuls pays qui se sont intéressés à la question. Le sinistre de Fukushima a réveillé l’opinion publique sur le risque nucléaire et incité la très grande majorité des pays exploitant cette énergie à examiner la sécurité de leurs installations. Dans le même courant, l’augmentation des événements naturels pousse de nombreux gouvernements de par le monde à repenser leur gestion des risques majeurs.

Le 3 janvier, l’Autorité de Sûreté Nucléaire française (ASN) a remis au Premier Ministre son rapport sur les évaluations complémentaires de sûreté (ECS) et révisé ses exigences de sûreté relatives à la prévention des risques naturels (séisme et inondation), à la prévention des risques liés aux autres activités industrielles, à la surveillance des sous-traitants et au traitement des non-conformités.

Plus globalement, l’Union Européenne a, ces dernières décennies, défini des réglementations sur des sujets divers allant de la réglementation sur les substances chimiques (REACH), celle sur l’évaluation des risques d’inondation (2007/60/CE), à celle relative au domaine banque/assurance (Bâle III, Solvency II), etc. Et ces directives sont déclinées en France.

Sur un autre continent, le Maroc conduit un projet de définition d’une stratégie nationale de prévention et de gestion des risques, notamment ceux liés aux catastrophes naturelles. Cette volonté a été confortée par les inondations de mars 2011.

Mais outre ces réglementations, les catastrophes de 2011 poussent à inscrire la gestion des risques dans de nouvelles dimensions.

Des risques à traiter au-delà des frontières habituelles…

Au-delà des frontières géographiques…  Les inondations en Thaïlande en témoignent. Si la ville de Bangkok a été globalement préservée (au travers des actions volontaristes menées par le gouvernement), il n’en reste pas moins que des zones industrielles, dans sa périphérie ou dans le pays, ont été sévèrement touchées.  Les impacts en termes de production se sont répercutés partout dans le monde, en particulier sur le marché de l’électronique, et notamment sur la production des disques durs professionnels comme grand public (augmentation des prix de 30% à 150% selon les distributeurs).

Au-delà des frontières internes des entreprises… La gestion des risques doit bien intégrer la réflexion sur la continuité des processus avec l’ensemble des acteurs, sans omettre les prestataires et fournisseurs essentiels. C’est ainsi que la pénurie de pièces produites en Thaïlande a poussé un constructeur automobile à revoir sa production à la baisse.

Au-delà des frontières des typologies de risques… La cyberattaque en est une illustration. Il ne s’agit pas de traiter la confidentialité des données qui peuvent être accédées uniquement, en oubliant la disponibilité des services offerts par une DSI, ni l’inverse. Les objectifs de ces attaques étant variés, tous les risques doivent être considérés, de la fuite d’informations et à l’interruption d’activité.

L’approche traditionnelle consistant à traiter les risques de façon indépendante, ce qui pousse bien souvent à les penser dans un cadre restreint, a donc vécu : il convient désormais de bâtir un dispositif global de gestion des risques, sur les processus métiers critiques avec tous leurs enjeux, leurs acteurs et leurs moyens, qu’ils soient en France ou non, basés sur les nouvelles technologies ou non, etc.

Cet article 2011 : rétrospective des incidents majeurs et impacts sur la gestion de risques est apparu en premier sur RiskInsight.

Historiquement, la gestion des risques est abordée par silos au sein des entreprises. Chaque filière (SI, qualité, continuité, RH,…) traite son périmètre en toute autonomie et sans réels échanges avec les autres. Cette gestion très cloisonnée rencontre aujourd’hui ses limites car elle n’apporte pas de réponses satisfaisantes aux questions clés qui régissent la gestion des risques pour toute entreprise :

• Quelles actions de réductions des risques dois-je initier en priorité ?
• Comment mutualiser mes efforts pour un maximum d’efficacité et un minimum de coût ?
• Quel niveau de réduction de mes risques ai-je atteint ?

Aligner les démarches pour un partage et une consolidation des risques

La Direction des risques, acteur majeur de la démarche, se retrouve dès lors confrontée à un enjeu de taille : comment traiter globalement les risques de l’entreprise en s’affranchissant de cette structure par filière. Notre conviction est qu’elle doit, pour ce faire, mettre en place un cadre global de gestion en travaillant principalement sur deux axes :

–       Aligner et faire converger les pratiques : si la notion de risque et les concepts associés sont  très proches d’une filière à l’autre, il arrive trop souvent que les méthodes, les langages, les échelles,… divergent rendant ainsi la consolidation des risques remontés par chacune des filières difficile voire impossible.

–       Elaborer ou Rationaliser la gouvernance des risques : la mise en place d’une organisation intégrant les différentes parties et les faisant interagir permettra non seulement de décloisonner la gestion des risques mais aussi d’optimiser les plans de traitement et la maîtrise globale du risque.

Cette rationalisation doit également concerner les canaux de remontées des risques qui sont aujourd’hui extrêmement nombreux (au moins autant que de filières) entraînant une sur-sollicitation des opérationnels.

Au-delà du travail sur la méthode et l’adaptation de l’organisation, cette réponse globale doit s’appuyer sur un portefeuille de risques commun, réceptacle unique pour l’ensemble de l’entreprise. Véritable outil de pilotage, le portefeuille doit permettre, à la cible, un traitement plus adapté des risques par les différentes filières, basé sur des plans d’actions complémentaires et partagés.

S’appuyer sur l’existant pour une mise en place progressive

On ne passe pas d’une réponse éclatée à une approche globale en une seule étape, ou en faisant table rase de l’organisation et de ses contraintes. Face à ce challenge, la stratégie gagnante est, au contraire, celle qui implique l’ensemble des parties prenantes dans la réflexion pour en garantir l’acceptation et construire une véritable « culture du risque » au sein de l’entreprise. C’est également celle qui élargit pas à pas le spectre des risques couverts en commençant par la consolidation de risques de nature similaire, tels que les risques de sécurité et ceux liés au SI, avant d’inclure l’ensemble des risques opérationnels.

C’est en construisant sur l’organisation, en apportant de la cohésion entre les différentes filières et en appliquant une démarche progressive que les entreprises réussiront à transformer leur approche des risques.

Cet article Globaliser la gestion des risques : vers la mise en place d’un cadre unique est apparu en premier sur RiskInsight.