Il y a 15 ans, lors de nos premiers travaux sur la mise en place de SOC chez nos clients, la définition d’une feuille de route était simple : mise en place d’un outillage puis collecte et analyse des logs des équipements de sécurité et des actifs critiques/exposés.

Cependant, de nouveaux enjeux liés à la décentralisation du SI, à l’évolution d’une menace toujours plus évoluée et également à la crise que nous traversons (généralisation du télétravail, baisse des budgets de cybersécurité…) doivent nous faire prendre conscience que le SOC doit se réinventer !

Impliquer (vraiment) tout le monde !

En refaisant l’histoire par le début, le SOC est géré par une population SSI qui a donc mis en place des mécanismes de surveillance sur des équipements SSI avec des use-cases SSI. Le résultat est mitigé, cela fonctionne plus ou moins bien et les chiffres de notre benchmark CERT sont là pour en attester : 167 jours en moyenne pour détecter un incident !

Les premières stratégies de détection étaient bien évidemment définies, challengées et validées par la filière SSI. Elles avaient pour objectif d’étendre de plus en plus le périmètre de surveillance via la collecte de toujours plus de logs (pares-feux, WAF…) et la mise en place de nouveaux équipements de surveillance (SIEM, sondes…).

Ce premier constat s’est fatalement retrouvé dans la majorité de nos conclusions d’audits de SOC : les objectifs sont mal définis et non alignés avec les attentes des clients du SOC (RSSI, DSI, métiers), entrainant une perte de confiance et de crédibilité.

Des exemples frappants permettent d’expliquer ce sentiment : manque de SLAs, périmètre mal défini, reporting trop bruts, non contextualisés et contenant des informations erronées…

Si vous ne voulez pas redéfinir une nouvelle fois votre stratégie SOC de manière peut-être partiale, l’organisation d’un séminaire est le bon exercice pour établir un nouveau point de départ. Toutes les parties prenantes doivent être présentes (équipes sécurité, DSI, clients du SOC…) et le but est d’adresser les principales problématiques :

• Redéfinition des objectifs : concentrer la surveillance sur des périmètres beaucoup plus restreints et faisables tant techniquement qu’humainement
• Clarification de la gouvernance : redéfinir le positionnement et le rôle du SOC dans l’organisation
• Refonte du reporting : partager les incompréhensions et les irritants des clients afin de remonter le bon niveau d’information

Nous avons pu constater que cette étape, indispensable au renouveau du SOC, permet de fédérer tout un ecosystème autour d’une cible commune.

Privilégier la qualité à la quantité !

Paradoxalement, bien que la surface d’attaque du SI ait augmenté de manière significative, la priorité est bien de restreindre le périmètre de surveillance pour se concentrer sur ce qui a réellement de la valeur.

Premièrement, dès lors que le périmètre fonctionnel de surveillance a été redéfini et validé par tous, la mission du SOC est de traduire techniquement ces nouveaux objectifs en scénarios de détection dans les outils. Pas besoin de réinventer la roue car de nouveaux Framework tels que MITRE ATT&CK permettent maintenant de recenser et matérialiser de manière claire les différents types d’attaques (techniques utilisées, exemples/références et suggestions pour la détection). L’objectif n’est bien évidemment pas de pouvoir couvrir toutes les techniques utilisables (330 au total) mais de prioriser les efforts sur ce qui permettra d’atteindre les objectifs.

De plus, un constat RH a également été remonté dans la plupart de nos audits : les équipes manquent de motivation, recul et autonomie pour apporter de la plus-value dans les opérations.

Ce constat entraine un fort turn-over car certaines tâches sont jugées peu intéressantes. L’objectif est de concentrer l’effort humain sur ce qui apporte réellement de la valeur ajoutée. Nous avons accompagné de nombreux clients dans l’implémentation d’outils de type SOAR (Security Orchestration, Automation and Response) permettant d’automatiser les tâches répétitives des équipes en charge de l’analyse et de la réaction. Ces outils sont extrêmement efficaces pour automatiser le traitement des attaques courantes, très rébarbatives (ransomware, phishing…) qui représentent une grande part des alertes.

Une fois ces mesures en place, les équipes peuvent alors être mobilisées sur des activités ayant une plus forte valeur ajoutée telles que la mise en place des tâches d’automatisation, les activités de Threat Hunting…

Et maintenant… s’améliorer et se challenger en continu !

Dès lors que toutes les fondations sont mises en place pour donner un nouveau souffle à son SOC, comment fait-on pour rester à la page ?

La réponse à cette question aurait été complexe il y a encore 5 ans mais de nombreux standards reconnus permettent dorénavant de pouvoir évaluer la maturité de son SOC dans une logique d’amélioration continue. SOC CMM est le parfait exemple car ce référentiel permet de pouvoir s’auto-évaluer à partir d’un ensemble de questions précises adressant toutes les problématiques en termes d’outillages et d’organisation. Cette méthodologie nous a permis d’accompagner des clients sur de nombreuses comparaisons avant/après.

Les opérations de Red Team ou Purple Team sont également d’excellents moyens permettant de challenger les dispositifs mis en place par rapport aux objectifs définis. Ces exercices permettent de mettre en avant des exemples concrets de vulnérabilités ainsi que des recommandations précises pour y remédier. De plus, le Framework MITRE ATT&CK peut être utilisé pour consolider les tests effectués par type d’attaque, ainsi que leurs résultats.

Ces différentes initiatives ne permettent pas de traiter l’exhaustivité des problématiques que rencontrent le SOC actuellement mais permettent de souligner nos principaux constats : un SOC isolé, des outils mal configurés et des équipes démobilisées.

L’exercice de redéfinition d’une stratégie SOC est une formidable opportunité permettant de remobiliser tout un ecosystème sous une même bannière. Cette initiative permet de redonner du sens à la fois aux équipes opérationnelles mais également à toutes les parties prenantes de l’activité du SOC… Bref, il n’y a plus qu’à !

Cet article Le SOC est mort d’ennui, de fatigue, de mauvais positionnement ? Découvrez comment le réanimer ! est apparu en premier sur RiskInsight.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Le développement rapide du véhicule autonome et connectée indique qu’il est urgent de mettre en œuvre des mesures pour réduire le risque cyber.

Dans un premier temps, ces mesures consistent à adapter des concepts de cybersécurité connus et maitrisés tout en s’adaptant à un environnement nouveau, dans un contexte marché ultra-concurrentiel et confronté à des usagers de plus en plus exigeants.

Dans un second temps, il s’agit de mettre sous contrôle des systèmes critiques intelligents, interactifs, et ce en temps réel afin de se prémunir d’attaques évolutives, de plus en plus sophistiquées et difficiles à anticiper.

Des concepts de cybersécurité connus… mais qui doivent tenir compte des contraintes propres aux systèmes embarqués

La course à l’innovation autour du véhicule connecté conduit à la mise en œuvre de plus en plus de services, ce qui augmente le niveau d’exposition du véhicule à de nombreuses menaces – adeptes du car tuning, hacktivistes, organisations criminelles, gouvernements etc.

La mise sur le marché de nouveaux modèles de véhicules pourrait être conditionnée par sa capacité à se protéger des cybermenaces. En effet cette protection pourra s’appuyer sur des incontournables de la cybersécurité tels que : la gestion des identités et des accès (authentification forte, infrastructure PKI…), la segmentation des réseaux et le regroupement par actifs critiques (Firewall, Gateway…), le chiffrement des données et des communications (via un réseau Ethernet, des environnements d’exécution protégés), la détection et la supervision des composants critiques (SIEM embarqué, sonde de sécurité IPS/IDS…).

Contrairement à un système d’information d’entreprise, un véhicule connecté est un produit contenant un système pouvant s’apparenter à un système d’information à espace fini, à prix fixe et en mouvement. Autant de contraintes différentes de celles d’un SI classique qui complexifient sa sécurisation. Celle-ci doivent être prises en compte au plus tôt, dès la phase de conception du véhicule :

• Le coût du véhicule – Des solutions cybersécurité connues certes, mais qui doivent néanmoins s’intégrer dans un système initialement mécanique/électronique où le coût de chaque pièce doit être justifié afin de ne pas trop augmenter le Prix de Revient à la Fabrication (PRF). L’important étant de maintenir un équilibre coût/risques acceptable pour garantir la sécurité de l’usager.

• La dimension et le poids du véhicule – L’encombrement et le poids sont les deux principaux ennemis des solutions de transport. L’intégration de composants embarqués et de modules de cybersécurité supplémentaires peut amener à une modification des architectures physiques des véhicules. Mais l’évolution d’un véhicule n’est pas aussi aisée que celle d’un système d’information classique ; au vu du contexte une approche modulaire permettant l’ajout de capacité hardware dès la phase de conception pourrait être envisagée.

• La capacité de calcul en temps réel – Selon la criticité des composants du véhicule, il pourra être décidé d’y sécuriser certaines communications (via chiffrement, signature). Une analyse fine et une priorisation des échanges à protéger sont préconisées, les mécanismes de cryptographie étant très consommateurs en ressources et puissance de calculs.

• L’expérience utilisateur – Les constructeurs automobiles ont toujours cherché à développer le concept de confort et de plaisir de la conduite. L’intégration de la cybersécurité dans le véhicule ne doit pas aller à l’encontre de ce principe et nombre d’utilisateurs ne sont probablement pas prêts à accepter la cybersécurité au détriment de leur expérience de conduite. Ainsi, il paraît difficilement envisageable de demander à un conducteur d’entrer un mot de passe à chaque démarrage du véhicule, encore moins de configurer un nouvel utilisateur pendant plusieurs minutes à chaque fois qu’il prête son véhicule. Les problématiques de cybersécurité permettent d’identifier de nouveaux usages et de se positionner au service de l’expérience utilisateur. Cela peut conduire au développement de solutions innovantes comme l’authentification de l’usager via smartphone ou la délégation de droits d’accès au véhicule via une application.

• La mobilité et la connectivité – La détection d’incidents et la supervision des composants critiques du véhicule nécessitent une disponibilité et une remontée des logs en continue.  Sachant qu’un véhicule en mouvement peut être amené à se retrouver dans une zone à couverture réseau limitée (voir nulle), ces problématiques de connectivité amènent à concevoir des systèmes de supervision et détection directement intégrés au véhicule. De manière générale, face à la perte de connectivité, la résilience doit être généralisée à l’ensemble des fonctions (cyber ou non) du véhicule.

• Le cycle de vie – La durée de vie peut varier d’un véhicule à l’autre, historiquement basée sur l’usure mécanique que subissent les voitures. Désormais le véhicule c’est aussi un ensemble de composants électroniques et de services qui doivent s’adapter à un cycle de vie long. Chaque système et solution informatique incorporés au véhicule doivent être conçus pour fonctionner et être supportés dans la durée. Le défi que devront relever les constructeurs est de contrôler l’obsolescence et maintenir en condition opérationnelle leur parc automobile. Le développement des systèmes de mise à jour Over-The-Air (OTA) deviendra une nécessité pour le déploiement des patchs et correctifs de sécurité.

Les principaux enjeux de cybersécurité

La (cyber)sécurité des véhicules n’est pas qu’une affaire de solutions techniques

Convergence de l’ingénierie automobile et du digital

Le croisement des univers de l’ingénierie et du service devient un sujet prioritaire chez les constructeurs automobiles, provoquant certains changements dans leur cœur de métier. La gouvernance doit évoluer en prenant en compte un certain nombre d’actions indispensables à la sécurisation de leurs véhicules et plateformes de services.

Il est important de s’assurer que la cybersécurité soit pensée et intégrée dans l’ensemble des étapes du projet tout en disposant des ressources et compétences nécessaires.

La mise en circulation d’un véhicule impose aussi de gérer lors de cette phase des problématiques de maintien en condition opérationnelle et de sécurité des systèmes développés, qu’ils soient embarqués ou débarqués (plateforme de services connectés). Ainsi les constructeurs opèrent dans un environnement qui les positionne, à la fois, en fournisseur de produit mais aussi de services automobiles.

On constate que le temps moyen de développement et d’intégration d’un véhicule est d’environ 3 à 5 ans, là où il faut quelques mois pour développer et mettre en production un nouveau service (connecté).

De fait, pour faire face à un marché toujours plus concurrentiel ; les architectures développées du véhicule doivent être en capacité de supporter l’approvisionnement régulier de nouveaux services tout au long du cycle de vie. Il sera nécessaire de garantir un maintien du niveau de sécurité, de sureté et de qualité du véhicule.

Ainsi, on peut logiquement s’attendre à une transformation des scénarios de développement et d’intégration, avec un véhicule qui voit sa plateforme devenir plus modulaire, plus évolutive pour réduire ce fameux « time-to-market ». Les services quant-à-eux se verront soumis à un développement Agile avec un temps de mise en production plus flexible afin que les mondes de l’ingénierie et du service soient de nouveau « synchronisés » et puissent travailler en synergie.

Le ruissellement de la cybersécurité des constructeurs aux fournisseurs

La question de la responsabilité en cas d’accident lié à une cyber attaque ou à un incident système devient également un sujet urgent à adresser. En effet, par défaut la responsabilité de l’accident serait attribuée au système assurant le déplacement sécurisé de la voiture. Le constructeur automobile, créateur du système, devrait en assumer la défectuosité (conformément à la partie responsabilité du fait des produits défectueux issu de la loi n°98-389 du 19 mai 1998). C’est pourquoi les constructeurs (ou OEMs – Original Equipment Manufacturer) auront la responsabilité de s’assurer que les fournisseurs de rang 1 (Tiers-1) et plus, s’engagent eux aussi dans une démarche d’intégration de la cybersécurité dans les produits fournis. La sécurité de bout-en-bout du véhicule ne pourra être assurée que par la déclinaison d’exigences de sécurité sur l’ensemble de la chaine fournisseur., intégrées dans les cahiers des charges, renforcées au sein des contrats et vérifiées à la livraison.

La problématique de la cybersécurité dans l’écosystème automobile est prise très au sérieux par les instances internationales et plus particulièrement par la Commission Economique pour l’Europe des Nations Unies qui entend faire de la nouvelle norme, l’ISO/SAE 21434, une base commune de référence que l’ensemble des acteurs de cet écosystème devront respecter. Cette norme encore en cours d’élaboration fera l’objet d’un prochain article.

Cet article Saga 3/3 : La sécurité des véhicules connectés, les réponses pour une transformation nécessaire ! est apparu en premier sur RiskInsight.

Cette réflexion doit permettre de couvrir les risques principaux que sont la fuite de données et l’accès aux données par des administrateurs, Microsoft et des personnes ou des applications tierces.

Un nouveau modèle de gouvernance imposé par Microsoft

Office 365 est une solution de communication et de collaboration SaaS. En tant que telle, la plateforme est en constante évolution, contrairement aux solutions historiques dites « on-premise » : de nouvelles fonctionnalités ou paramétrages apparaissent, sont modifiés tandis que d’autres disparaissent ; on peut citer la disparition annoncée de Skype en 2021 ou la fin du support de l’authentification legacy pour Exchange Online en 2020. Le rythme de cette livraison continue, « continuous delivery » en anglais, est imposée par Microsoft sans contrôle possible, ce qui nécessite un tout nouveau modèle de gouvernance.

L’intégration des changements ne peut plus se faire en mode projet, mais doit suivre un processus établi. Dans ce modèle, les équipes workplace et sécurité doivent travailler main dans la main et être représentées dans l’ensemble des comités projets et d’architecture, et ce dès la conception des cas d’usages de la plateforme. Ces équipes également auront pour responsabilité commune de veiller à la bonne santé et à la conformité réglementaire de la plateforme.

L’équipe sécurité ainsi voit son périmètre évoluer : elle n’a plus la main sur les outils de sécurité et peut, voire doit, avoir un rôle de business enabler afin d’accompagner la migration vers le Cloud en proposant de nouveaux usages (ex : ouverture d’un service maîtrisé d’échange de fichiers à l’externe). Une organisation adéquate doit être mise en place ; on pourrait même envisager d’avoir un Security officer dédiée à la plateforme au plus près des métiers, ayant pour rôle de conseiller les projets, de suivre la configuration de la plateforme, d’assurer le suivi des alertes de sécurité, etc.

Un autre sujet à traiter concerne la délégation de l’administration. Il n’est pas envisageable d’avoir près de 20 Administrateurs Généraux pour un tenant O365, même si cela n’est pas une situation si rare. La mise en place d’une solution de délégation d’administration des comptes utilisateurs et des objets doit être envisagée, via la mise en place d’une interface ou d’un connecteur basé sur PowerShell ou Graph API. Ce traitement devra permettre de gérer l’ensemble de objets tout en tenant compte des logiques métiers. Autour de cette nouvelle gouvernance, doivent s’articuler les piliers de la sécurité ci-dessous :

• La gestion des identités ;
• La maîtrise des services et des usages ;
• Le contrôle du bon respect des politiques de l’entreprise.

La gestion des identités au cœur du sujet

Dans une solution conçue pour permettre une collaboration interne ou externe, avec une utilisation ATAWAD (Any Time, Any Where, Any Device), la gestion de l’identité et donc des authentifications est le cœur de la gestion plateforme.  Comme pour tout projet, la phase de définition de qui peut accéder à quoi, quand et où est fondamentale.

Sur Office 365, on retrouve trois types d’utilisateurs ayant chacun des niveaux de privilèges différents : les administrateurs, les utilisateurs internes et les invités (externes invités à collaborer sur un fichier ou au sein d’un Groupe O365 ou d’un site SharePoint).

Pour chacun de ces types de comptes, l’implémentation des mesures de sécurité définies va être pleine de défis. Outre l’incontournable authentification multi-facteur, mise en valeur par la fuite de données ayant touché Deloitte en 2017 se posent notamment les problématiques essentielles de la maîtrise des accès des administrateurs (rôles personnalisés ou prédéfinis, accès permanent ou ponctuel etc.) et du cycle de vie des utilisateurs invités (rien n’étant clairement défini par défaut). La question du coût des licences Azure AD Premium ou d’un outil tiers va être élément majeur de la discussion.

À noter également, Office 365 permet à des applications externes, de communiquer avec ses APIs. L’application externe peut alors agir au nom d’un utilisateur avec ses droits propres ou d’un administrateur avec des privilèges plus élevés. Ces applications peuvent provenir de différents magasins d’applications (comme AppSource ou AAD) ou être développées localement. La gestion des permissions accordées à ces applications doit faire preuve d’un point d’attention pour les entreprises. En effet, à travers les APIs, il est très facile d’imaginer une fuite de données massives en cas de dupe d’un utilisateur (ex : cas d’une application requérant des permissions non nécessaires, comme celui de l’accès aux mails).

Une maîtrise des services et des usages indispensable mais délaissée

Une fois les accès à Office 365 sous contrôle, le sujet suivant est de maîtriser l’usage qui en est fait. Il n’est pas rare d’observer que des services, non priorisés lors de la migration vers le Cloud (Power BI, Teams, Flow, accès aux API etc.) sont laissés accessibles avec leur configuration par défaut. Les deux raisons avancées sont généralement de favoriser l’adoption et le manque de temps à consacrer à ces services non prioritaires. En plus du paramétrage du service, il est également indispensable de définir des règles précises autour des usages afin de clarifier qui peut faire quoi et quand (ex : gestion des habilitations SharePoint, création des Groupes). L’idéal étant bien sûr de mettre en place des mesures techniques (paramétrages généraux ou configuration via PowerShell) cohérentes avec la politique définie.

L’absence de sécurisation de ces services laisse toutefois là porte ouverte à de potentielle fuites de données : transfert automatique vers l’extérieur, exposition sur Internet ou encore perte de contrôle la donnée. Comme écrit plus haut, la gouvernance doit prendre en compte la sécurité dès la conception des futurs usages. Les services doivent être analysés et testés sur des populations réduites. En effet, il sera toujours plus facile d’ouvrir une fonctionnalité, que de restreindre un usage déjà bien répandu. Dans le deuxième cas, il sera nécessaire de faire une analyse d’impact, de bricoler une solution de contournement et de sensibiliser largement les utilisateurs. Des actions qui peuvent nécessiter un investissement important et qui pourraient être évitées.

Le suivi des services ne doit pas s’arrêter à la fin de l’adoption des utilisateurs. Les équipes sécurité et workplace auront ainsi la charge de faire un suivi des évolutions d’Office 365 (programme Evergreen, mise en place d’une veille, suivi des blogs Microsoft, …) afin d’évaluer les nouvelles opportunités et menaces.

Le contrôle du bon respect des politiques de l’entreprise

Le dernier pilier, et pas le moindre, consiste en l’implémentation des politiques de sécurité de l’entreprise. Cela passe notamment par la mise en place d’outils de sécurité : protection de l’information, anti-malware, supervision et alerting.

Concernant la sécurité d’Office 365, on peut différencier 3 niveaux de maturité aujourd’hui. Les moyens mis en place vont être conditionnés par les expertises disponibles (les ressources étant limitées sur le marché) et le budget (dépendant notamment de la stratégie de l’entreprise de gestion des licences Microsoft) :

• Niveau 1 – Maîtrise des identités, des services et utilisation du Centre de Sécurité et de Conformité : l’entreprise met en place les solutions de sécurité natives du Security Center et du Compliance Center (incluant notamment Office DLP, Exchange Online Protection, eDiscovery) accessibles avec des licences basiques ;
• Niveau 2 – Développement d’ « outils maisons »: l’entreprise crée un ensemble de scripts simples ou tableaux de bords, en s’appuyant sur Graph API, Security Graph API et PowerShell, pour mettre en place des contrôles et des mesures de sécurité adaptés à son contexte (ex : gestion du cycle de vie des utilisateurs invités) ;
• Niveau 3 –Utilisation d’outils de sécurité avancée : l’entreprise met en place des solutions additionnelles pour renforcer le niveau de sécurité : outils permettant de lutter contre les fuites de données, d’analyser les malwares sur les mails, de revoir les droits, de détecter comportements anormaux ou encore de durcir l’utilisation de la plateforme en fonction du contexte.

La maîtrise des services Office 365, de leurs usages et des fonctionnalités natives de sécurité est indispensable, et doit précéder toute réflexion concernant l’ajout d’un outil de sécurité supplémentaire, qui ne couvrirait pas les failles existantes et ne ferait qu’ajouter de la complexité.

Exemple de contrôles de notre méthodologie d’Audit Office 365

Office 365 est un cas intéressant de l’ouverture des applications métiers sur Internet via le Cloud. Cette évolution requière d’adapter le modèle de sécurité historique de l’entreprise, en tendant vers le modèle de la compagnie aérienne avec l’adoption du Cloud.

La sécurisation d’Office 365 ne doit toutefois pas omettre celle des briques on-premise nécessaires au fonctionnement de la plateforme le cas échéant, comme c’est le cas généralement pour l’authentification qui est portée par l’ADFS.

Cet article Un Office 365 sécurisé, une perle rare ? est apparu en premier sur RiskInsight.

Les grandes agences de notation telles que Moody’s ou Standard&Poor’s sont bien connues du grand public, notamment depuis la crise financière de 2008. Elles structurent désormais les marchés financiers en imposant de facto des grilles de comparaison utilisées à l’échelle mondiale pour caractériser le risque de solvabilité d’une entreprise.

Nous observons aujourd’hui que ce concept de notation d’entreprises par des organismes externes ne se cantonne plus uniquement au domaine financier et s’étend progressivement à la sphère de la cybersécurité.

Ainsi, des agences de cyber-rating attribuent désormais une « cyber-note » aux entreprises dans l’objectif de quantifier le risque cyber auquel elles sont exposées. Parmi elles, on retrouve principalement des acteurs américains (BitSight, Security ScoreCard, Panorays ou UpGuard), mais aussi une start-up européenne (Cyrating), qui collectent et analysent des informations accessibles publiquement :

• Les vulnérabilités présentes sur les sites web publiés par l’entreprise et la robustesse du chiffrement TLS mis en œuvre ;
• La réputation des adresses IP publiques de l’entreprise, calculée elle-même à partir de divers éléments tels que le nombre de plaintes pour spam, apparition dans des listes noires de fournisseurs d’accès à Internet et services de messagerie, le taux de rebond, … ;
• L’activation de la protection des adresses mails de l’entreprises (DMARC, DKIM, SPF) ;
• L’analyse des DNS (whois, serveurs racine et NS, vérification des Start Of Authority, des Mails eXchanger, …) ;
• La présence de données de l’entreprise sur le Dark Web.

En dehors de ces données accessibles par tout à chacun, les plateformes de cyber-rating captent un grand nombre de données échangées, et les analysent pour déterminer par exemple la répartition des OS par entreprise, ou encore la version des navigateurs utilisés.

L’algorithme utilisé pour corréler ces données est propre à chaque plateforme de cyber-rating, qui monétisent ensuite l’accès à leurs résultats via la souscription d’un service.

Ainsi, les entreprises ne peuvent le plus souvent connaître leur notation qu’en souscrivant à l’offre d’une plateforme de cyber-rating !

Cela va même plus loin puisque cette note sera accessible aux entités s’abonnant à cette plateforme. Les concurrents peuvent dès lors se comparer et l’utiliser comme argument commercial. Les cyber-assureurs commencent également à la prendre en compte dans le calcul du prix des contrats cyber proposés. Plus inquiétant, on pourrait imaginer que cela facilite le travail de reconnaissance des attaquants afin de cibler les entreprises les moins bien notées en supposant qu’elles soient plus faiblement défendues…

Au regard de ces enjeux, il semble indispensable que les entreprises intègrent la problématique du cyber-rating à leur gouvernance cybersécurité.

Des limites évidentes au modèle actuel du cyber-rating

Pour le dire franchement, une large part de la communauté cyber se montre réservée vis-à-vis du cyber-rating, cette défiance pouvant se résumer ainsi :

« Quelle confiance accorder à une évaluation du niveau de sécurité réalisée par un algorithme tiers ne disposant que d’un échantillon d’éléments et sans boucle de contrôle quant à la qualité des informations collectées ? » 

En effet, le modèle est encore perfectible et présente plusieurs biais, qu’il convient d’éviter au risque de remettre en cause la pertinence de la notation :

• Se limiter à une vision périmétrique ne permet pas de refléter le niveau global de sécurité d’une entreprise. De nombreux facteurs ne sont pas pris en compte : segmentation du réseau interne, mesure de protection des systèmes et des données, capacité de détection, etc. ;
• La note peut être « polluée » par des faux-positifs : adresses IP ou noms de domaine n’appartenant pas à l’entreprise (erreurs d’enregistrement), trafic provenant d’une sandbox considéré comme malveillant… Cela demande donc un travail de fond avec l’éditeur (tri des IP, exclusion de certaines données) afin d’obtenir un résultat le plus fidèle possible ;
• Le manque de transparence des algorithmes de notation rend difficile l’évaluation des éléments justifiant une note donnée et l’identification des paramètres sur lesquels des corrections sont nécessaires.

Il serait donc illusoire de réduire le niveau de sécurité d’une entreprise à cette seule note. D’ailleurs, il ne serait pas étonnant de voir des acteurs comme Qualys proposer à l’avenir de prendre également en compte le résultat des tests menés à l’intérieur même du SI de l’entreprise pour affiner ce système de notation.

Un large panel de cas d’usage

Cependant, ces limites ne doivent pas faire perdre de vue les opportunités que crée la souscription à une offre de cyber-rating.

Argument principal avancé par les acteurs du cyber-rating, ce score représente un indicateur percutant et compréhensible pour le top management, concept déjà maîtrisé dans le domaine de la finance, mais qui fait encore défaut en cybersécurité. L’évolution de la note permettrait également de justifier et quantifier l’efficacité d’un plan d’actions correctrices menées sur les services périphériques du SI de l’entreprise.

Par ailleurs, les plateformes de cyber-rating offrent la possibilité d’accéder à la note de l’ensemble des entreprises inventoriées, permettant ainsi :

• De s’étalonner vis-à-vis de ses concurrents sur une base commune, et potentiellement de faire de la cybersécurité un atout marketing ;
• D’évaluer le niveau de maturité cybersécurité de ses fournisseurs sur une base plus objective que les questionnaires remplis dans le cadre des Plans d’Assurance Sécurité.

Le cyber-rating, un enjeu incontournable pour les entreprises

Au vu des opportunités offertes et des enjeux, l’essor du cyber-rating semble inéluctable comme le note d’ailleurs l’ANSSI dans sa revue stratégique de cyberdéfense : « Les acteurs majeurs du domaine [du cyber-rating] deviendront donc des références de fait qu’il sera difficile de déloger ».

Malgré ses limites actuelles, il est donc crucial pour les entreprises – certains évoquent même la notation cyber des Etats à l’instar de la notation financière – d’identifier comment le cyber-rating pourrait devenir un atout pour faire progresser la prise de conscience de l’importance de la cybersécurité jusqu’au top management, sans pour autant stigmatiser les « moins bons élèves ».

Cet article Le cyber-rating : plus qu’une note, un enjeu crucial de gouvernance est apparu en premier sur RiskInsight.

L’écosystème dans lequel évolue la donnée est, quant à lui, en constante complexification. En effet, les systèmes d’information, en pleine transformation, s’ouvrent sur l’extérieur et s’interconnectent avec différents services Cloud publics, constituant de nouvelles portes de sortie pour les données de l’entreprise.

Les événements menant à une fuite de données sont nombreux : négligence d’un employé, fraude interne, piratage par un tiers… Les moyens d’exfiltration eux aussi sont multiples : emails, Shadow IT, clés USB, imprimantes… En cas d’incident avéré, les conséquences peuvent être significatives. Les médias n’hésitent pas relayer avec insistance les cas de piratages menant à des fuites de données d’une grande entreprise, ce qui écornera durablement l’image de la marque. Les pertes financières liées sont également importantes, induites par les sanctions prévues des différents régulateurs et faisant suite à la perte de confiance des clients et partenaires.

 Le SI aujourd’hui, un écosystème complexe ouvrant de nombreuses voies à des fuites de données

Le DLP, un chantier rarement considéré mais à la portée de tous

Ce challenge de taille que constitue la lutte contre les fuites de données n’est cependant pas insurmontable. Certaines entreprises, et notamment les banques, ont pris de l’avance sur le sujet vis-à-vis d’autres secteurs d’activité, en déployant des outils prévenant la fuite des données appelés Data Leak Prevention (DLP, ou Data Loss Protection). Ces outils permettent notamment de suivre les données considérées comme sensibles et d’y appliquer des règles visant à contrôler les flux de données conformément aux politiques définies. Ces règles peuvent s’appliquer au niveau du terminal (poste de travail, serveur, etc.), de l’application (Office 365, etc.) ou du réseau (proxy, etc.).

La mise en œuvre de telles solutions nécessite cependant de mener un projet à part entière faisant intervenir à la fois le département de Sécurité de l’Information et les Directions métier. La complexité de cette réalisation sera modulée par trois facteurs principaux :

En effet, les problématiques à traiter et les solutions techniques à implémenter durant le projet dépendront des objectifs fixés par l’entreprise en termes de couverture du risque de fuites de données, ainsi que du niveau actuel des pratiques et méthodes de classification.

Il est par ailleurs impératif, lors de la mise en œuvre des solutions de DLP, de préserver l’expérience des utilisateurs, ces derniers ne devant pas voir leurs activités impactées par les mécanismes de protection. Les objectifs de sécurité devront ainsi nécessairement prendre en compte les besoins métiers, qui peuvent notamment impliquer l’échange d’informations sensibles avec l’extérieur.

Les bons tuyaux pour la réussite d’un projet DLP

Premièrement, la sélection de l’outil de DLP devra se baser sur les objectifs définis au lancement du projet concernant la structure des données à protéger et les canaux d’échange à analyser.

Certaines solutions du marché ont atteint un niveau de maturité avancé permettant de détecter si une donnée est sensible, quels que soient la structure de la donnée et le canal de transmission. La détection de données structurées est plus simple du fait que leur caractérisation est plus simple (par exemple : le nombre de chiffres est défini pour un numéro de sécurité sociale ou de carte de crédit). Concernant les données non structurées (80% des données selon le Gartner), la détection pourra se baser sur l’analyse des métadonnées introduites par la classification.

Par la suite, le cadrage du projet devra définir et formaliser les 4 grands chantiers caractéristiques d’un projet DLP, les clés du succès pour le déploiement de la solution :

La cartographie des données sensibles et la définition des règles de protection associées

Dans le cas où l’entreprise aurait déjà établi une cartographie répertoriant les données et traitements considérés comme sensibles, ainsi que les flux considérés comme légitimes, celle-ci constituera la base sur laquelle le projet DLP s’appuiera pour l’élaboration des politiques de DLP et des règles de protection fines.

Si cette cartographie n’existe pas, le projet DLP ne pourra aboutir sans l’implication forte des métiers sur le sujet. Il s’agira d’identifier avec eux, par Direction et par Activité, les données sensibles et les traitements associés. Cette première réflexion aboutira à la délimitation des traitements et des canaux de stockage et de transmission légitimes, à la fois à l’interne et l’externe de l’entreprise. Ce processus nécessite une collaboration rapprochée avec des contributeurs clés des différentes directions qui pourront lors d’entretiens fournir les informations nécessaires.

L’équipe projet peut alors à ce stade, créer les politiques de DLP associées aux scénarios assimilés à une fuite de données.

Les retours des grands comptes montrent toutefois qu’un facteur clé de la réussite du projet est de savoir choisir ses combats ; il est en effet illusoire de vouloir implémenter – à minima dans un premier temps – l’ensemble des potentielles politiques de DLP. La bonne couverture des données les plus critiques de l’entreprise sera déjà preuve d’un niveau de maturité satisfaisant vis-à-vis de l’état de l’art.

L’identification des contraintes réglementaires et légales s’appliquant aux traitements analysés

Les réglementations concernant les données sensibles, telles que les données à caractère personnel (Loi informatique et liberté, RGPD, etc.) imposent des restrictions particulières sur les traitements autorisés sur ces données. De plus, pour les entreprises évoluant dans un contexte international, des particularités réglementaires locales existent et créent une hétérogénéité quant aux règles à respecter concernant les traitements sur les données.

Pour les aspects de conformité légale, il est important de s’appuyer sur les compétences des départements Légal et Conformité de l’entreprise et des différentes entités internationales, qui pourront valider les analyses et règles de protection appliquées sur les données.

Les principaux points à adresser lors de cette Due diligence réglementaire sont le traitement des données à caractère personnel, la notification des utilisateurs sur les traitements effectués, le lieu de stockage des données analysées et les canaux de transfert utilisés.

La définition du processus de gestion des incidents de fuite de données

La déclinaison opérationnelle des scénarios de DLP précédemment théorisés requiert ensuite de définir les moyens et processus à mettre en œuvre lors de la détection d’une fuite de donnée. Ceux-ci devront bien sûr s’adapter aux processus de gestion des incidents au sein de l’entreprise :

• Qui recevra les alertes liées aux potentielles fuites de données (le SOC dans le cas où il existe, une équipe dédiée liée à une Direction métier, etc.) ?
• Quels moyens mettre en place lors de l’investigation sur le périmètre impacté (ex : dans le cas d’un périmètre sensible, l’enquête doit respecter une certaine confidentialité) ?
• Selon le niveau de criticité, quels niveaux hiérarchique et opérationnel contacter ?

À la différence d’incidents de sécurité techniques, il pourra être pertinent d’intégrer dans le processus des équipes métier ou le responsable sécurité de l’entité concernée afin de définir la criticité d‘une fuite de données et le périmètre impacté. En effet, dans le cas d’une donnée structurée, la criticité peut être évaluée simplement via des grilles de correspondance, mais cette réflexion est d’un tout autre ordre dans le cas de donnée non structurées (ex : email d’un responsable hiérarchique ou document lié à un projet confidentiel).

Un fort sponsorship sera également requis afin que les objectifs et moyens mis en œuvre dans le cadre du DLP soient approuvés par les différentes Directions Métier, le département Ressources Humaines ainsi que les représentants du personnel.

L’implémentation d’un outil adapté aux scénarios définis

En parallèle de la définition de processus de gestion d’incidents, vient la concrétisation du modèle de supervision avec le choix d’un outillage. Outre l’adéquation avec les scénarios de détection définis, l’outil choisi devra respecter un certain nombre de prérequis liés à l’écosystème de l’entreprise et à la Due diligence réglementaire réalisée. Parmi les critères de choix, la solution technique devra notamment :

• S’intégrer avec les outils du SOC (SIEM, etc.) et idéalement avec les autres solutions de sécurité de l’entreprise (proxy, outils de chiffrement / DRM, etc.) ;
• Être adapté à l’environnement métier (plateformes collaboratives, serveurs de fichiers, etc.) ;
• Prendre en compte la diversité du parc informatique et du système d’information dans le cas de déploiement d’agents sur les terminaux.

Par ailleurs, une implémentation efficace d’une stratégie de DLP devra impérativement couvrir l’ensemble des canaux d’échanges et des cas d’usages métiers, afin de ne pas laisser de vannes ouvertes (ex : installer un outil DLP au niveau des serveurs mail et de fichiers tout en laissant les ports USB sans surveillance aucune).

Les 4 piliers du DLP

L’implémentation de la solution ne marque pas la fin du sujet DLP : le processus de Data Leak Prevention devra entrer dans une démarche d’amélioration continue. L’étude des faux positifs et les remontées d’alertes devront aboutir à une revue régulière (à minima tous les 6 mois) afin d’améliorer les scénarios de détection implémentés. Pour cela, il sera intéressant de prévoir dès la genèse du projet cette charge dans les équipes de Run et de commencer avec des scénarios basiques.

Il sera également intéressant d’inscrire les objectifs du projet de Data Leakage Prevention dans un programme plus large traitant de la protection de la donnée, incluant la revue des droits et des habilitations liés aux serveurs de fichiers, l’authentification avec accès conditionnel, l’intégration de la supervision avec le SOC et le chiffrement des fichiers et applicatifs.

Cet article DLP : éviter les fuites, sans colmater les brèches est apparu en premier sur RiskInsight.

Celle-ci peut prendre différentes formes, mais historiquement, sont étudiés essentiellement les aspects suivants :

• Finance et comptabilité : vérification des comptes, recensement du personnel, contrôle du bilan et du compte de résultat, de l’activité prévisionnelle, etc.,
• Juridique : statuts de l’entreprise, procès en cours, détention de brevets et de propriétés intellectuelles, etc.,
• Stratégie de l’entreprise (identification des concurrents, des forces de l’entreprise, de ses canaux de distribution, etc.

Bien que l’actualité soit riche d’exemples d’entreprises touchées par des cyberattaques, la question de la cybersécurité est encore bien trop souvent négligée lorsqu’il s’agit de fusions/acquisitions.

Mais la perception de ces enjeux est en train d’évoluer. Dans un récent sondage mené par le cabinet d’avocat Freshfields Bruckhaus Deringer, spécialisé en droit des affaires, 90% des répondants estiment qu’une cyberattaque avérée pourrait engendrer une réduction du prix d’acquisition de la cible, et 83% d’entre eux pensent qu’une attaque se produisant pendant la phase de due diligence pourrait conduire à un abandon total du deal en cours.

Le risque cyber est bien réel dans la mesure où, dès que deux systèmes d’information sont interconnectés, l’ensemble hérite souvent de facto du niveau de sécurité le plus faible des deux. À cela s’ajoutent les risques d’écarts réglementaires, alors que les régulateurs durcissent leur position partout dans le monde, et qu’une fusion/acquisition met la structure sous les feux des projecteurs.

L’évaluation du risque cyber : un pilier futur des fusions/acquisitions ?

De plus en plus conscientes de ce risque, les entreprises intègrent progressivement la notion de « risque cyber » à leurs stratégies de rapprochement. L’objectif est, en principe, simple : comprendre si le rapprochement des deux entreprises, et donc probablement de leurs systèmes d’information, augmente le risque de fuite d’information, d’attaque ou encore de non-conformité.

Il existe pourtant une différence majeure entre une due diligence classique et son pendant cybersécurité. Si les règles comptables et légales sont claires et partagées au niveau international, il n’existe pas encore d’équivalent dans le monde de la cybersécurité. Les standards se multiplient (par type de système ou de données à protéger, par industrie, par pays…), mais il s’agit de référentiels de bonnes pratiques indiquant comment bien mettre en œuvre sa cybersécurité, et non si elle a bien été mise en œuvre. Notons quelques exceptions notables, tels que les environnements certifiés PCI-DSS (protection des données de cartes bancaires), ou encore des environnements homologués de type Défense. Ces exemples sont cependant toujours des périmètres spécifiques et très limités.

Pour l’acquéreur, le fait d’agir en bonne foi et de ne pas être conscient de manquements en sécurité n’empêchera aucune cyberattaque : en risque cyber, on n’endosse pas seulement la responsabilité, mais bien directement le risque lui-même !

De la même manière, il n’est pas aisé (pour ne pas dire impossible) pour une entreprise de garantir que sa cybersécurité est « bonne ». Le fait d’avoir géré son système d’information « en bon père de famille » ne garantit pas qu’il ne constituera pas une faiblesse demain… où dans l’heure qui suit.

Le cadre des fusion/acquisitions n’est d’ailleurs pas le seul à présenter un intérêt à étudier les aspects sécurité d’un SI au travers d’une cyber due diligence. Depuis plusieurs années, les principaux assureurs internationaux ont lancé leur offre de cyber-assurance. Dans ce cadre, ils cherchent – légitimement – à connaître le niveau de sécurité informatique des entreprises qu’ils vont assurer, ou a minima à savoir quel niveau général de cyber-risque ils auront à couvrir. C’est ainsi qu’en amont de ce type de souscription, les cyberassureurs s’accompagnent aujourd’hui d’experts en sécurité informatique, dont le rôle est d’effectuer une due diligence à haut niveau.

Quelle démarche pour une due diligence cybersécurité ?

En quoi consiste une due diligence sécurité ? Il ne s’agit pas d’une nouvelle technologie ou d’une méthode révolutionnaire, mais de l’utilisation équilibrée et ciblée de différents outils de la cybersécurité.

Plusieurs approches sont possibles :

• Une approche sur la base de questionnaires. Il s’agit alors uniquement de traiter les réponses à une série de questions, généralement avec des réponses à choix multiples. Au-delà du manque de profondeur d’une telle approche, son issue dépend fortement de qui répond au questionnaire et de la manière dont il est utilisé – bien souvent, il est malheureusement à peine lu.

• Une approche par entretiens. Il s’agit d’évaluer la situation par rapport à un référentiel connu et adapté, lors d’échanges avec les responsables de la sécurité de l’entreprise considérée. La limite de cette approche est qu’elle ne se base que sur des déclarations, et n’apporte aucune preuve de ce qui est avancé. Menée par un expert rodé à l’exercice, elle permet tout de même rapidement d’avoir une vision générale sur le type de pratiques sécurité mises en œuvre.

• Une analyse par des outils automatisés, qui vont découvrir les systèmes d’informations et essayer d’identifier des failles préexistantes. Si cette méthode n’est pas infaillible, elle permet d’obtenir rapidement une première évaluation du niveau de maturité de la structure.

• Une approche « complète », constituée à la fois d’une analyse théorique et organisationnelle de la sécurité, mais aussi de tests d’intrusion permettant d’obtenir une vision la plus proche possible de la réalité. Cette approche, idéale dans l’absolu, est souvent utilisée dans le cas de rachats de start-ups, mais presque jamais dans le cadre de deals de plus grande envergure, pour des raisons à la fois de coût et de manque de temps.

Quelle que soit l’approche retenue, elle peut être rythmée en deux temps : une première analyse pour amener une connaissance et une compréhension du risque sécurité, et ainsi alimenter la réflexion sur le go/no go du deal ; une éventuelle seconde analyse, plus poussée, pour évaluer plus finement ce risque et décider de la mise en œuvre d’actions correctives.

La due diligence cyber : un élément de valorisation

Que ce soit pour l’acquisition d’une entreprise ou pour l’évaluation du risque pris par un cyberassureur, la due diligence doit donc être un élément qui favorisera la réflexion autour de la faisabilité.

Elle doit également constituer un élément de valorisation de l’entreprise dans la mesure où la mise en conformité de cette dernière par rapport aux bonnes pratiques du marché peut s’avérer coûteuse.

Elle permet, enfin, de déceler les aspects réglementaires à respecter, comme les lois touchant les entreprises vitales aux Etats (Loi de Programmation Militaire pour les OIV en France, et de nombreuses lois similaires dans le monde), et qui peuvent nécessiter un certain nombre d’adaptations à prévoir sur le système d’information de la cible, et/ou de l’acheteur.

A-t-on déjà vu des due diligences en cybersécurité mener à l’abandon d’un rachat ? Pas publiquement. On assiste plutôt à la correction rapide des manquements les plus graves identifiés, parfois à la décision de ne pas connecter certaines parties des systèmes d’information.

Auront-elles pour autant de réels impacts sur les transactions ? À cette question, Verizon a répondu avec un chiffre : en février 2017, l’opérateur a diminué son offre de rachat de Yahoo de 350 millions de dollars. Sur les 4,8 milliards initialement offerts, cela correspond à un peu plus de 7% de la valeur estimée.

Cet article La due diligence « cyber », nouvel élément de valorisation d’une entreprise est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

Tout nouveau prestataire, même de bonne foi, risque de ne pas tirer tout le potentiel que lui offre une phase de réversibilité. Pire, les équipes entrantes peuvent perdre progressivement la motivation des débuts en essuyant les plâtres d’une situation transitoire pesant généralement sur la qualité de service et la satisfaction client. Comme nous l’avons vu, il est essentiel que DSI et fournisseurs partagent un cap clair et un plan de transformation maîtrisé et suivi.

Voici quelques recommandations pour suivre et piloter avec rigueur les différentes phases de réversibilité et ainsi s’assurer de la bonne exploitation par chacune des parties de cette opportunité.

Considérez la réversibilité comme un projet : gouvernance, indicateurs et objectifs clairs

Les prestataires s’entendent généralement sur un point pour limiter leurs coûts respectifs : la réversibilité doit se jouer rapidement. Aussi les deux entités auront tendance à naturellement minimiser les risques qu’ils perçoivent. Pour le reste il est parfois périlleux de réussir à faire travailler les deux potentiels concurrents ensemble.

Face à ce phénomène, il est indispensable de cadrer une gouvernance précise :

• des comités de suivi et de pilotage tripartites tenus à fréquence régulière ;
• un chef de projet client et des référents de transition pour chaque partie prenante
  ceux-ci-devront être assistés, pour chaque domaine ou service d’un coordinateur expressément nommé et responsable de transmettre les informations et suivre le bon avancement ;
• des indicateurs de mesure de la réversibilité basés sur des éléments concrets – ne vous reposez pas uniquement sur les retours des parties prenantes pour juger du bon déroulement de la transition ;
• une méthodologie et des outils de transition partagés avec les parties prenantes pour régler l’ensemble des cas de figure et assurer les transferts de responsabilité en minimisant l’impact sur les services ;
• ainsi que des objectifs mesurables à atteindre par paliers (critères de bascule).

Il est important ici de noter qu’un chef de projet externe pourra plus facilement endosser un rôle d’arbitre ou de facilitateur entre les parties, piloter la bonne livraison des différents documents et en contrôler la qualité avec un regard extérieur.

Autre clé de réussite : le management devra se montrer assidu dans le suivi de la transition afin de souligner l’importance et le risque d’un tel projet. Un reporting régulier et complet doit être fait par les parties prenantes afin d’assurer l’engagement et la responsabilisation de chacun.

Exigez des garanties et plus de transparence aux prestataires

Les acteurs sont encore peu enclins à accorder un impact financier au respect des objectifs de la réversibilité. La tolérance est généralement de rigueur vis-à-vis du repreneur et appliquer des pénalités dès l’initialisation n’est pas de bon augure pour le maintien de bonnes relations. Il est donc primordial d’obtenir a minima la plus grande transparence sur les coûts de la transition.

Obtenir un niveau de granularité des coûts par livrable ou par activité permet plus facilement de les comprendre et les discuter voire de les revoir à la baisse si les résultats ne sont pas probants. Échelonner le versement d’un pourcentage du montant de la réversibilité dans le temps et ne l’activer que si les objectifs sont atteints peut-être un levier de performance très efficace.

Le prestataire sortant doit également avoir intérêt à rester investi pendant la durée de la réversibilité. En mettant en place un plan B en cas de prolongation de la phase du fait du repreneur, vous laisserez la possibilité au prestataire sortant de jouer les prolongations. Il tirera donc avantage à être franc en cas de risque sur la qualité de service.

Préparez vos équipes et vos donneurs d’ordres

La transparence est l’affaire de tous. Qu’il s’agisse d’un « simple » changement de prestataire ou d’une plus importante transformation, une réversibilité doit être accompagnée d’une communication claire auprès du Métier : quels sont les objectifs de la démarche ? Quels sont les gains de niveaux de services espérés ? Autant de points qui doivent être partagés lors des préparations d’appels d’offres afin de valider avec les clients les potentiels impacts directs ou indirects (plages horaires, langue de travail, méthodologies, etc.).

De la même manière, cette étude d’impact anticipée, doit permettre de préparer les ressources internes au changement : séparation des activités, sensibilisation au pilotage de fournisseurs, apprentissage de méthodologies et référentiels de bonnes pratiques, impacts d’externalisations et de délocalisations hors site, formations interculturelles en cas de délocalisation en offshore.

La préparation de tous les acteurs, la fixation d’objectifs mesurables et leur pilotage à l’aide d’une gouvernance adaptée sont donc essentiels pour ne pas avoir à subir la réversibilité, mais bien tirer profit de ce service souvent coûteux. De surcroît, exigences de transparence et efficacité des indicateurs sont également à anticiper pour un meilleur pilotage des services en mode nominal.

Cet article Tirer profit d’une phase de réversibilité et d’initialisation : une question d’engagement et de transparence est apparu en premier sur RiskInsight.

À quoi servent alors les phases de réversibilité ? Formations du repreneur, vérification de son aptitude à réaliser les services, transferts de connaissances, transformations des pratiques, initialisation des nouveaux services ? Bien souvent elles se résument à un passage de relais ou une simple transmission d’actifs.

Il est aujourd’hui clair que les réversibilités ne sont utiles que lorsque l’on se donne les moyens d’exploiter leur potentiel et donc de bien les préparer. Pour gagner en efficacité il semble judicieux de prévoir d’appliquer certaines bonnes pratiques et de demander de vraies garanties aux fournisseurs de services. Voici en une série de 3 articles quelques conseils pratiques pour mener à bien votre réversibilité.

Définir une stratégie de sortie avant même de s’engager

La réversibilité désigne les engagements pris par un prestataire pour assurer la transmission des informations nécessaires à la reprise des services ou à leur transmission à un tiers ainsi que le transfert des actifs qui ont été confiés au prestataire ou qui ont été produits pour le compte du client.

Préparer une réversibilité c’est aussi assurer le caractère réversible de la position du fournisseur tout au long du contrat. Celui-ci doit garantir la transférabilité des prestations qu’il propose en mettant en place, autant que faire se peut, des solutions aux standards du marché et en garantissant l’interopérabilité des données traités. Ces points doivent donc être discutés et contractualisés avant toute prise d’engagement.

Moins fréquemment abordés en phase de contractualisation, les modalités pratiques de la phase de réversibilité ne sont pas moins importantes : Qui est responsable de la formation du repreneur ? Qui est responsable du bon déroulement du projet ? Quels sont les critères de bascule en phase nominale ? Quels sont les critères justifiant d’une sortie anticipée du contrat ou impliquant le passage à la table des négociations ?

Réversibilité : des  premiers mois décisifs

En conséquence, même si les conditions générales de réversibilité ont été impérativement posées dans l’appel d’offres et le contrat, une première version du plan de réversibilité doit impérativement être entérinée au début de phase nominale.

Ce principe s’explique principalement par la nécessité d’assurer la qualité du plan et les modalités de transfert avant que le prestataire ne soit certain de sa non-reconduction. Bien que d’un point de vue juridique il sera tenu d’assurer le transfert de flambeau, un fournisseur « sortant » sera moins enclin à accepter les désidératas du repreneur ou du client concernant l’organisation détaillée de la phase de réversibilité.

Outre ces considérations commerciales, valider une première version d’un plan de réversibilité dès la transition permet d’initier une dynamique d’amélioration continue du document et un plan d’actions concret à dérouler dans le temps.

Une préparation dans la durée nécessaire pour une transition sans risques

Les efforts fournis par les prestataires entrants en phase d’initialisation et la motivation des premiers travaux sont l’occasion d’établir :

• une liste des sujets à adresser dans le temps pour améliorer les conditions de réversibilité des prestations ;
• un état des lieux précis des inventaires d’actifs matériels et immatériels ;
• une étude sur la complétude et la mise à jour des référentiels documentaires.

Cependant, cette démarche n’est possible que si le prestataire s’engage à mobiliser ses acteurs dans la durée pour réaliser des mises à jour biannuelles du plan d’assurance qualité et plan de réversibilité.

Se fixer pour objectif de sécuriser la réversibilité dès les premiers jours de la prestation ne remet pas en question la relation de partenariat naissante entre deux acteurs économiques. C’est au contraire un moyen de sécuriser la relation dans la durée en adressant certains principes essentiels au quotidien comme la formation continue des équipes et le maintien des compétences.

Pour les mêmes raisons il est conseillé de maintenir la pression sur les activités gestion de configuration tout au long du contrat : maintien d’une documentation et de bases de données à jour, mise au clair de la gestion des licences si nécessaire, élaboration au fil de l’eau de supports de formations et d’un plan d’assurance qualité décrivant les processus applicables, etc. Les efforts fournis par les prestataires entrants et les clients permettent d’améliorer la prestation rendue, sa documentation et, par ricochet, ils facilitent le transfert de responsabilité.

En tout état de cause, les conditions de réversibilité des prestataires sortants doivent être maîtrisées et les contraintes connues avant la décision de lancer un nouvel appel d’offres, le choix de lancer un nouveau prestataire ou de mettre en place une nouvelle technologie. Pour cela il est vivement conseillé de faire jouer les clauses d’audit pour vérifier les bonnes conditions de réversibilité avant de lancer un appel d’offres. La mise en place d’un plan d’actions suite à un audit sera l’occasion pour le prestataire de se mettre à niveau et de prouver sa motivation pour voir son contrat renouvelé de gré à gré.

Cet article Plan de réversibilité : comment se préparer à changer de fournisseur ? est apparu en premier sur RiskInsight.

L’arrêté du 3 novembre 2014 sur le contrôle interne abroge le règlement n°97-02 du CRBF. S’il reprend en grande partie la totalité des dispositions du précédent règlement en matière de contrôle interne, les principales modifications concernent notamment la gouvernance et plus précisément la mise en place de comités spécialisés.

Jusque-là restée à la seule discrétion des établissements, l’ordonnance n° 2014-158 du 20 février 2014 a donné une base légale à la constitution de tels comités par les établissements d’« une importance significative ». Ainsi, une nouvelle sous-section 4 est introduite à la section relative à la gouvernance des établissements de crédit et des sociétés de financement du Code monétaire et financier.

L’ordonnance a laissé le soin à un arrêté de préciser le critère d’établissement d’« importance significative ». C’est chose faite aux articles 104 et 105 de l’arrêté du 3 novembre 2014. Aussi, tout établissement dont le total de bilan social ou consolidé est supérieur à 5 milliards d’euros doit constituer un comité des risques, un comité des nominations et un comité des rémunérations. Le règlement 97-02 faisait déjà référence aux comités de risque et de rémunération.

Le régime juridique de ces comités est posé aux articles L511-89 et suivants du Code monétaire et financier.

La mise en place obligatoire des comités de direction

Dans la pratique française de la gouvernance, l’instauration de tels comités satellites aux organes de direction correspond à une simple modalité de fonctionnement de ces organes. Il s’agit, en effet, de comités de support remplissant essentiellement une fonction de conseil.

Ainsi, le comité des rémunérations a en charge de préparer les décisions concernant les rémunérations, de contrôler directement la rémunération du responsable de la fonction de gestion des risques et, le cas échéant, du responsable de la conformité. Il procède également à un examen annuel des principes de rémunération de l’entreprise, des rémunérations, indemnités et avantages accordés aux mandataires sociaux ainsi que de la politique de rémunération des salariés dont les activités professionnelles ont une incidence significative sur le profil de risque de l’entreprise.

Le comité de nomination, pour sa part, évalue les connaissances et compétences des membres des organes de direction, fixe un objectif de parité entre hommes et femmes à atteindre, examine les politiques relatives à la sélection des directeurs généraux et des personnes responsables de la conformité et de la fonction de gestion des risques. De plus, il s’assure de l’équilibre des pouvoirs entre les différents membres des organes de direction.

Le comité des risques a pour mission de conseiller et d’assister les conseils d’administration, les conseils de surveillance et tous les autres organes exerçant des fonctions semblables dans l’élaboration et la mise en œuvre de la stratégie de l’établissement en matière de risque.

La constitution d’un comité d’audit reste une obligation. Ses missions concernant le dispositif du contrôle interne sont transférées au comité des risques. Le comité d’audit a dès lors pour unique fonction de garantir la fiabilité de l’information financière.

Le caractère consultatif affirmé des comités

Les comités restent dépositaires d’une délégation de pouvoirs par les organes de direction. Ils sont constitués par ces organes qui fixent leur composition à partir des membres des conseils d’administration, des conseils de surveillance ou de tout autre organe exerçant des fonctions de surveillance équivalentes. Néanmoins, les membres des comités spécialisés ne doivent pas exercer de fonction de direction au sein de l’établissement. L’absence d’indépendance qui les caractérise renforce leur nature consultative. Toutefois, ils peuvent recourir à des experts externes pour les conseiller dans leurs missions.

Cet article Les comités spécialisés : articles 104 et 105 de l’arrêté du 3 novembre 2014 est apparu en premier sur RiskInsight.

Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?

Des outils aux fonctionnalités très étendues

Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.

D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :

Une polyvalence capable de répondre aux besoins du RSSI

Chaque module des outils de GRC peut être utilisé dans une logique SSI.

• La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
• Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
• Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.

De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).

Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.

De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.

Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place

Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :

• La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
• Le lotissement doit être progressif  : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
• La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit,  Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.

Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur  un cadre unique.

Cet article Les outils de GRC : une opportunité d’industrialisation de la gouvernance SSI ? est apparu en premier sur RiskInsight.

Mais les résultats de ces démarches sont très hétérogènes. Définir des processus n’est pas une fin en soi et il faut continuellement en vanter les apports. Comment gagner en légitimité auprès des opérationnels et du management ? Quel timing adopter pour réussir les déploiements ?

Avancer pas à pas pour atteindre les objectifs

Une énergie considérable est nécessaire pour définir des pratiques idéales, conformes à l’état de l’art et aux besoins. Cet effort est souvent réalisé au détriment d’une réflexion sur l’applicabilité effective des processus. À l’inverse, chercher à adopter une démarche rapide top-down  de transformation des processus peut avoir pour effet de frustrer les opérationnels en les privant d’un temps de compréhension et d’apprentissage.

Par ailleurs, les « bibles » de référentiels de processus sont rarement consultées et souvent complexes à comprendre. Aussi, s’il faut déterminer une cible idéale, il ne faut pas perdre du temps à l’élaborer dans ses moindres détails. Progresser en « gagnant du terrain » est déjà un bon objectif.

Il est donc conseillé d’appliquer 3 règles d’or :

• Définir un socle d’exigences pour lesquelles le management doit être intransigeant.
• Laisser une marge d’adaptabilité aux besoins spécifiques et promouvoir une démarche collaborative d’amélioration continue du processus.
• S’assurer que les processus sont atteignables c’est-à-dire compris, applicables et mesurables.

Le résultat de déploiements de processus se mesure ainsi par l’atteinte d’améliorations concrètes sur le terrain.

Une gestion de projet par exemple n’est pas conçue de façon identique qu’il s’agisse d’infrastructures ou d’applications. Cependant, le socle de pratiques communes peut se limiter à la définition de l’ossature commune du processus ainsi que l’intégration de normes imposées par le contrôle interne ou encore la sécurité. L’application du processus encourage ainsi les travaux transverses et permet aux acteurs de s’assurer de respecter l’ensemble de la règlementation.

Réussir la conduite du changement, c’est aussi s’assurer que les acteurs savent et peuvent faire ce qui est leur est demandé. Aussi, il est essentiel de mener une réflexion parallèle sur le déploiement des bons outils permettant d’appliquer et de suivre le changement. Un outil de gestion de projet et de portefeuille par exemple doit non seulement offrir des opportunités d’amélioration du processus mais aussi agréger des données pour mesurer l’activité de la DSI. Les indicateurs permettent aussi de s’assurer du soutien managérial nécessaire dans la durée.

Poser la gouvernance après les premières évolutions

Cette approche des « petits pas » se fera au détriment de l’impact que peut avoir un grand projet marquant les esprits. Il faut compenser cela par une communication claire et régulière sur les objectifs et les acteurs. Pour ne pas perdre de crédibilité au gré des déploiements qui se suivent et des processus qui ne sont pas définis dans leurs moindres détails, la démarche d’amélioration continue des processus doit être partagée et admise par tous.

L’équipe processus transverse chargée de faire vivre cette transformation dans la durée doit donc affirmer son identité, animer la communauté d’un tissu de contributeurs et intégrer aux travaux les acteurs les plus influents et ceux ayant développé des « outils maison ». Il est d’ailleurs conseillé de commencer par fédérer autour d’un processus concernant plusieurs acteurs sur plusieurs sujets comme la gestion des demandes clients et d’investir dans des moyens de communication à décliner pour chaque déploiement (newsletters, outils collaboratifs, livrets synthétiques imprimés, etc.)

Avec sa montée en notoriété progressive, « l’équipe processus » devient naturellement un centre de services pour les entités ayant besoin d’un appui sur le sujet. Lorsque les premiers déploiements ont fait leurs preuves, son intervention devient naturellement indispensable pour la légitimation de l’ensemble des initiatives et la garantie de prise en compte des aspects transverses.

La démarche processus s’ancre progressivement dans les pratiques. L’élaboration d’un référentiel de processus, d’une cartographie et de normes de formalisation partagées devient alors nécessaire pour maîtriser les transformations et leurs impacts.

Le déploiement de processus communs n’est effectivement pas une fin en soi mais la mise en commun de moyens, de pratiques et d’outils de mesure permet la production d’indicateurs transverses et un pilotage plus fin de l’activité. À ne pas négliger donc.

Cet article Évolution par les processus : quelles clés pour réussir ? est apparu en premier sur RiskInsight.

Architecture d’entreprise : 4 raisons d’entreprendre la démarche

1. Rationaliser les coûts – C’est là le leitmotiv récurrent, les réponses étant à adapter au niveau de maturité de l’entreprise. Forte de la réponse globale (infrastructures, applications ou processus de gouvernance) qu’elle peut apporter, l’architecture d’entreprise y contribue fortement. Ce sont néanmoins principalement les couches dites « basses » du SI qui bénéficient de cette logique de rationalisation grâce à la définition et à la mise en œuvre de socles techniques. Seules les entreprises les plus matures sauront réussir leurs tentatives de rationalisation des couches dites « hautes » (notamment en termes de services métiers comme le promettaient les démarches SOA).

2. Connaître l’existant – Connaître son SI accélère la phase d’analyse de l’existant préalable à toute étude dans le cadre d’évolutions métiers ou technologiques. L’architecture d’entreprise permet d’accéder à cette vision globale du SI et de l’entreprise et donc de gagner en réactivité. Par exemple, l’évolution majeure du poste de travail ou de l’infrastructure demande une bonne connaissance du parc applicatif pour définir la stratégie de migration.

3. Définir la cible SI – Définir une cible SI pour répondre au mieux aux enjeux stratégiques de l’entreprise est, malgré les apparences (« c’est trop théorique ! »), un exercice de projection essentiel qui permet de poser les 1ers jalons de réalisation du SI qui serviront à valider au fur et à mesure les orientations des différents projets.

4. Être force de proposition vis-à-vis des Métiers – Restreindre la DSI à un ensemble de techniciens est monnaie courante. Pour briser cet a priori, la DSI doit apprendre à se positionner vis-à-vis des Métiers. L’architecture d’entreprise permet à la DSI notamment d’instaurer un dialogue dans la durée (pour mieux comprendre les besoins et contraintes des Métiers). Par ce biais, la DSI peut jouer un rôle de conseil en vulgarisant pour les Métiers les nouvelles technologies et leurs apports. Loin du simple fournisseur de solutions techniques, elle devient incubateur d’innovation pour les Métiers ! 

L’architecture d’entreprise en pratique : étapes de mise en œuvre

Il est bien entendu essentiel de définir les contours d’une 1^ère version de la démarche. Une entreprise et son SI sont souvent représentés en couches (stratégie, métier, fonctionnelle, applicative et technique), l’architecture d’entreprise se concentrant sur les trois dernières. Il est illusoire de vouloir s’attaquer de but en blanc à l’ensemble des couches. Aussi faut-il choisir ses combats en se concentrant sur les faiblesses de l’entreprise et sur certains quick wins.

Par la suite, il faut mettre en place une organisation et des process.

• Définir des rôles clés s’avère incontournable. Créer le rôle d’architecte d’entreprise est indispensable. Il est celui qui saura allier connaissance du SI et du Métier, celui qui saura le mieux dialoguer avec toutes les parties prenantes, au-delà de son expertise technique. Un deuxième rôle qu’un sponsor de haut niveau est indispensable pour légitimer ce rôle dans l’entreprise et l’inscrire dans la durée.
• Construire et mettre à jour le référentiel est aussi rapidement nécessaire. Élément clé de toute démarche d’architecture d’entreprise, il comporte notamment un ensemble de cartographies du SI (fonctions SI, applications, services applicatifs, éléments techniques, objets métiers…) qu’il faudra enrichir, un catalogue des solutions applicatives et techniques référencées (ensemble des composants validés et recommandés par la DSI pour constituer les réponses SI aux besoins métiers ou techniques) ainsi que différents patterns d’architecture. Attention néanmoins : se noyer dans trop de détails est préjudiciable à la pertinence du référentiel d’architecture et augmente les chances de ne pas être à jour. À l’inverse, un manque d’informations peut nuire aux besoins des projets SI.
• Mettre en place un process de veille et d’innovation doit également permettre à la DSI de capter les nouveaux usages et d’en expliquer les enjeux et contraintes aux Métiers pour ne plus les subir.

Seules des instances de gouvernance transverse sauront par ailleurs soutenir ces différents process. Il s’agit d’établir un dialogue récurrent avec les Métiers avec pour ordre du jour partage des contraintes, présentation par la DSI des sujets d’innovation technologique (économies réalisées, diminution du temps de mise en production d’un nouveau produit…), etc.

Pour autant, tous ces process ne sauront être efficaces si la DSI n’arrive pas vendre son projet d’architecture d’entreprise en interne ! Deux types d’acteurs sont à convaincre de l’intérêt de la démarche : les Métiers, à qui il faut très clairement expliquer qu’il ne s’agit pas de « marcher sur leurs plates-bandes » mais de mieux les accompagner, et les acteurs de la DSI elle-même qui, pour certains, pourraient l’interpréter comme une façon d’être contrôlés. Il faut au contraire convaincre ces derniers de l’accès à des activités stratégiques à plus forte valeur ajoutée (et comprenant plus d’interactions avec les Métiers de l’entreprise).

Aussi, inutile de se poser la question ! Vous n’avez aujourd’hui plus le choix et devez vous lancer dans une démarche d’architecture d’entreprise. Les évolutions majeures que vit ou va vivre votre entreprise amènent naturellement à lancer ce type de démarche. Autant éviter la marche forcée et accompagner le changement en douceur ! C’est la garantie d’une amélioration sensible de vos relations avec les Métiers.

Pour lire d’avantage sur l’architecture d’entreprise cliquez ici.

Cet article Et si l’architecture d’entreprise permettait enfin de briser la glace avec les Métiers ? est apparu en premier sur RiskInsight.

Différentes contraintes à prendre en compte pour assurer le succès d’un projet

Tout au long de la vie du projet, la prise en compte des contraintes du run doit tendre à s’affiner au fur et à mesure que se précise la vision de la cible attendue. De cette analyse doit alors découler un plan d’actions permettant d’anticiper la future arrivée en production du projet et d’y préparer les équipes de run.

Cette attention est déterminante dans le succès d’un projet informatique et surtout dans la pérennité de son exploitation car c’est un prérequis indispensable :

• Dans l’identification des sujets centraux du transfert de connaissance vers les équipes de run ;
• A l’acquisition de toutes les compétences requises pour la bonne exploitation du futur système par ces mêmes équipes ;
• A la définition de modalités de « service management » claires et partagées.

Impliquer les équipes de run : clé de réussite du passage du build au run

Bien sûr, le passage du build au run se prépare à travers une bonne documentation du projet – et de préférence une documentation validée par les équipes d’exploitation –, par la définition et/ou la contractualisation de services auprès de l’exploitant, par l’implémentation d’une matrice de rôles et responsabilités claire et complète et enfin par la mise en œuvre progressive de processus de gestion des incidents, des demandes et des changements.

Cependant, le véritable succès de ce transfert des équipes de build vers les équipes de run réside aussi – et surtout – dans l’implication des équipes de run dès la phase de design du projet afin d’influer sur l’architecture du système, d’améliorer le coût de son cycle de vie et de prévenir les risques liés à son exploitation.

Mais comment impliquer les interlocuteurs du run dans le projet ? Sachant que les équipes de build et celles de run sont généralement issues de direction différentes. Qui est supposé diriger qui ? Qui est force de décision sur le projet ? À quel moment se fait la bascule du pouvoir de décision ?

Quelques bonnes pratiques de DSI pour mobiliser les équipes de run

Autrefois, la réponse d’une DSI à l’implication du run dans le projet passait par la désignation d’un ou plusieurs interlocuteurs privilégiés au sein de ces équipes de run. Ces « référents » avaient en charge d’assurer la coordination avec les équipes de build et d’acquérir dans le même temps toute la connaissance projet. Mais très vite, ces collaborateurs devenaient des points de contention, leur implication créant un problème de gouvernance récurrent : qui les pilote ?

Aujourd’hui, d’autres réponses émergent. Parmi les plus judicieuses, résident notamment :

• La création d’équipes projet « mixtes », composées autant de personnes venues du build que de personnes venues du run  et détachées sous une direction unique ;
• La création d’instances de gouvernance autour de l’architecture impliquant à la fois les responsables de run et du build pour assurer la prise en compte des contraintes d’exploitation dès la phase de design du système ;
• La réalisation de Proof of concept (POC) pour éprouver les modalités de service management : l’ensemble de mon processus est-il clairement maîtrisé et connu de tous ? Les différentes parties prenantes sont-elles bien définies et en capacité de réaliser leurs actions ?. Ce POC permet également de faciliter la montée en compétences des interlocuteurs de run sur la prise de décision : quoi faire et dans quel cas ?
• La mise en œuvre de périodes probatoires à l’issue de la mise en production pendant lesquelles les équipes de run prennent progressivement la responsabilité du système tout en conservant un support des équipes de build ;
• La mise à disposition de socles normalisés portés par des offres de services standardisées permettant d’inverser le problème : il n’appartient plus au run de répondre aux exigences du build. Au contraire, il devient de la responsabilité du projet de s’inscrire dans les standards d’exploitation définis.

Quelles que soient les approches adoptées, celles-ci visent toutes le même eldorado : trouver le parfait équilibre entre objectifs du build et contraintes du run… et ainsi assurer la réussite totale du projet !

Cet article Le passage du build au run : un sujet trop souvent négligé ? est apparu en premier sur RiskInsight.

Aujourd’hui, les entreprises sont confrontées à une vague de transformations majeures qui les poussent à centraliser au niveau « groupe » des services IT (services utilisateurs, services applicatifs, services techniques) originellement placés au niveau des entités.

Voici trois bonnes pratiques à étudier avec attention pour réussir la mise en place de vos offres communes de services informatiques.

Bonne pratique 1 : s’appuyer sur un élément déclencheur pour lancer la dynamique

Plusieurs éléments déclencheurs favorisent le lancement de cette initiative :

Une contrainte budgétaire : dans un contexte de ralentissement économique, la DSI doit maîtriser ses coûts et  dégager des marges de manœuvre. Les services « groupe » offrent justement un levier de mutualisation et d’économies d’échelle.

• Une transformation du SI : la mise en place d’un projet de transformation (applicatifs ou infrastructures) doit faciliter les actions de mutualisation des services.
• Des processus métiers communs : il n’est pas rare, au sein des entités d’un même groupe, que les applications et infrastructures utilisées soient différentes, alors que certains besoins sont similaires.
• Une croissance externe, comme une fusion/acquisition, où la question du rapprochement des SI et de leurs modalités d’intégration se pose.

Bonne pratique 2 : impliquer les entités dans la phase de construction pour garantir leur adhésion future

Plutôt qu’une démarche de type top-down, consistant à élaborer en central des services à destination des entités, il est recommandé d’adopter une approche collaborative. La constitution de groupes de travail autour de thèmes (datacenters, environnement de travail…), composés de représentants opérationnels issus des Métiers, garantit une conception de services en adéquation aux besoins tout en veillant à converger vers des services communs. Cela permet également de sécuriser les adoptions futures des services par les entités.

Bonne pratique 3 : mettre en place des dispositifs d’accompagnement pour réussir le déploiement

• Un sponsorship de la Direction générale est indispensable. Cette dernière doit être impliquée dès le début et apporter son soutien dans la durée. Comment ? En communiquant notamment sur les avantages de la mutualisation et en facilitant la diffusion d’une culture groupe !
• Pour anticiper au plus tôt les impacts d’une centralisation des activités réalisées jusqu’alors en local, un accompagnement RH est impératif. Cet accompagnement pourra d’ailleurs être facilité par la mise en place d’une gestion prévisionnelle des emplois et des compétences (GPEC).
• Un dispositif de gouvernance s’impose également comme nécessaire pour gérer de manière homogène les relations entre les entités et la DSI. Celles-ci concernent notamment les modalités de facturation, de fourniture de services et d’exploitation des services groupe.

L’ensemble de ces bonnes pratiques place d’ailleurs la gouvernance comme un levier incontournable de la bonne réussite de cet élan de mutualisation. Elle implique en effet  :

• La création de nouveaux rôles, en particulier ceux de responsable de la relation client et de responsable de l’offre de services ;
• La mise en œuvre de processus communs, tels que la définition et l’évolution des offres, mais également leur facturation et leur suivi ;
• L’élaboration d’outils comme le catalogue de services groupe, les indicateurs de pilotage et le modèle économique pour garantir l’équilibre coûts – recettes.

Nous sommes convaincus que 2013 verra fleurir un nombre important de projets de ce type. Il faut s’y préparer !

Cet article Comment réussir la mise en place de vos services IT mutualisés ? est apparu en premier sur RiskInsight.

Des métiers sur-sollicités

Les Directions métiers sont aujourd’hui sur-sollicitées par une filière risques qui peine souvent à mettre en cohérence les démarches de recensement et de traitement des différentes typologies de risques (RH, juridique, SI, qualité, continuité…). La multiplicité des acteurs, démarches et planning entraîne une perte générale de lisibilité pour les métiers, qui en réaction s’impliquent moins dans le processus de management des risques.

Créer un cadre unifié pour la gestion des risques

Il est nécessaire de repenser les filières risques pour une meilleure intégration des différents canaux de remontée et de traitement des risques. Vis-à-vis des métiers, ces changements doivent se traduire par des sollicitations plus cohérentes, favorisant ainsi leur adhésion.

Deux axes majeurs pour opérer cette transformation : la convergence des pratiques et la rationalisation de la gouvernance des risques  (voir notre article à ce sujet).

Un retour sur investissement difficile à percevoir

Difficile pour le métier d’évaluer à quel point le travail fourni dans le cadre de la gestion des risques a permis d’atteindre le résultat escompté si on ne le lui montre pas clairement ! Le gain associé aux efforts consentis est en effet difficilement perceptible, car le premier résultat d’une gestion de risques efficace, c’est bien l’absence de perturbations majeures sur les activités. La filière risques doit ainsi faire l’effort de mesurer les gains associés à ses actions, afin de mieux valoriser ces dernières auprès des métiers et leur faire comprendre l’intérêt qu’ils ont à s’impliquer.

Développer le « marketing de la filière risques »

Pour favoriser l’adhésion des Métiers, la filière risques doit développer sa capacité à intervenir en mode projet ou en phases d’étude à leur demande, en sortant d’un mode de fonctionnement aujourd’hui trop basé sur le récurrent.

Elle doit pour cela apprendre à se vendre, en assurant la promotion des services qu’elle peut offrir aux Métiers et des résultats qu’elle obtient. Cela doit contribuer, si ce n’est à inverser, au moins à rééquilibrer les flux de sollicitations entre les deux parties. Ces derniers partent en effet aujourd’hui majoritairement de la filière risques et non des Métiers, contrairement à la quasi-totalité des autres directions support ! La filière risque dispose de plusieurs moyens pour ce faire, au travers par exemple :

• de la structuration de « l’offre de la filière risque » : comment et sur quoi cette dernière se propose d’intervenir auprès des métiers, à leur demande ;
• de la valorisation des résultats obtenus, en trouvant des indicateurs pertinents et des exemples concrets pour les différentes typologies de risques ;
• de la détection des nouvelles opportunités qui apparaissent aux Métiers grâce à la bonne gestion des risques (moyens de valorisation en externe par exemple)

Un refus trop fréquent du risque

La filière risques est souvent perçue comme l’entité qui « sur-traite » voire refuse systématiquement le risque, plutôt que celle qui valorise la prise de risque maîtrisée.

Les métiers, au cours du processus de décision, attendent pourtant que les pertes potentielles soient analysées au regard des gains attendus. Réaliser cet exercice difficile et décider « en toute connaissance de cause » est de plus en plus complexe pour eux, et la filière risque peut les aider en cela, que ce soit sur un plan stratégique ou opérationnel.

S’aligner sur les objectifs des Métiers et veiller à ne pas sur-traiter les risques

La filière risques doit passer du refus trop fréquent du risque à l’assistance au métier dans la conduite de ses choix stratégiques et opérationnels, pour lui permettre d’atteindre ses objectifs en prenant des risques maîtrisés. Le gestionnaire de risques doit devenir un des soutiens indispensables dans les équipes chargées de mener des études ou projets stratégiques, via sa capacité à analyser de manière large et détaillée les risques et valider que la prise de risques permettra de générer de la valeur et est conforme à « l’appétence au risque » qu’exprime le métier. Dans un cadre plus opérationnel, il doit s’assurer que les projets intègrent bien la notion de risque tout en conservant ses missions récurrentes de cartographie et traitement.

Mais il doit surtout développer son rôle de conseil « à la demande du métier », en veillant à ne pas imposer des processus et solutions qui viseraient à « sur-traiter » les risques et donc à diminuer la performance de l’entreprise.

Cet article Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques est apparu en premier sur RiskInsight.

La montée en puissance de la relation multicanal amène à réinterroger les dispositifs de pilotage existant. Or, mettre en place une gouvernance multicanale est un exercice complexe.

Par essence transverse, elle concerne à la fois les marchés (vision « client »), les canaux (vision « relation »), la vente et l’après-vente (vision « opération »). Elle est également multidimensionnelle, devant intégrer l’efficience, la qualité (produite par l’entreprise et perçue par le client), la performance commerciale (conquête et fidélisation).
Elle  est enfin mouvante, dans le contexte actuel de foisonnement des canaux, les leviers de performance d’hier n’étant plus forcément ceux de demain.

Piloter la performance des parcours clients : le lien entre le pilotage stratégique et le pilotage par canal

D’une manière générale, l’entreprise a mis en place deux niveaux de pilotage :

• En amont, le pilotage de la stratégie multicanal pour répondre notamment aux besoins d’allocation des ressources et des investissements. Il fixe les objectifs de déport entre canaux, d’efficience (productivité, qualité, …), de performance commerciale (coûts d’acquisition, taux de transformation, …), etc.
• En aval, le pilotage de la performance par canal (agence, centre de relation client, Internet, …), chaque canal ayant son référentiel de pilotage propre et ses objectifs adaptés.

Cependant, le lien entre ces 2 niveaux de pilotage ne se fait pas. Le chaînon manquant ne peut qu’être le pilotage de la performance des parcours client.

Ce niveau « Pilotage de la prise en charge Client » a pour objectif de mesurer la contribution des parcours client à la fois aux objectifs de satisfaction client et aux objectifs de performance économique et de vente.

3 dimensions à prendre en compte : la satisfaction client, l’efficience du processus de prise en charge et la maturité des organisations en contact

Il est à la fois quantitatif et qualitatif, permet de traduire vis-à-vis des canaux le niveau de service attendu du client et d’identifier les leviers qui permettent de répondre aux objectifs de performances pour l’entreprise comme pour le client.

Il définit les normes de prise en charge client (délai, qualité perçue et produite, …), les objectifs d’efficience par opération sur tous les parcours multicanal ouverts (délai, sécurisation de l’opération, réduction des réclamations, …), ainsi que les objectifs commerciaux associés (taux de transformation, taux de rebond, …).

Il mesure l’efficacité des leviers mis en œuvre par canaux et entre canaux (par exemple : un service de web call back en appui des souscriptions sur Internet, des alertes et confirmations par SMS pour sécuriser le client, ….) et d’ajuster ainsi en permanence ces solutions pour optimiser les parcours.

Il procède d’une triple vision :

• la qualité perçue du client qui s’évalue par les études et baromètres ainsi que par les « irritants » (réclamations),

• la performance du processus de prise en charge du client qui agrège des indicateurs d’efficience (productivité / délai selon le parcours), de performance commerciale (taux de transformation), de différenciation selon les segments / valeurs client,

• enfin, la maturité des organisations en contact sur la maîtrise de la relation client (pratiques relationnelles, pratiques managériales, intégration des parcours multicanal, …).

En assurant le lien entre le pilotage de la stratégie et de l’efficience de chaque canal, piloter le parcours client permet au final de valider leur performance au regard d’un paramètre essentiel : le comportement du client.

Cet article Distribution multicanal : du « multi-pilotage » à une gouvernance globale cohérente est apparu en premier sur RiskInsight.

Selon cette enquête, quels objectifs les entreprises poursuivent-elles à travers la transformation de leur système d’information ?

Sans surprise, la réduction des coûts apparaît comme un objectif des transformations dans 62% des cas ! Il est même l’objectif principal dans 35% des cas. Cette réduction des coûts traduit soit une volonté de diminuer les coûts de fonctionnement du SI, soit, comme l’enquête le révèle pour une majorité d’acteurs, l’ambition d’utiliser le SI comme un vecteur pour optimiser les coûts des processus métiers, qu’ils soient transverses (RH, finance, achats…) ou relatifs aux activités opérationnelles.

Pour répondre à ce besoin de réduction des coûts, les grandes entreprises font appel à trois principaux leviers techniques et organisationnels. Premier d’entre eux,  la rationalisation des infrastructures pour 62% des répondants, car elle est source d’économies substantielles grâce au double effet de la centralisation/mutualisation (datacenters, réseaux…) et  de l’usage de technologies de virtualisation désormais disponibles.

Second levier, la transformation du sourcing. Utilisée dans plus d’une transformation sur deux, elle permet de gagner en flexibilité et répond à la nécessité d’organisations plus rationnelles et maîtrisées faisant appel à une sous-traitance plus ciblée. Il est à noter que la majorité des grandes entreprises françaises, à la différence de leurs homologues anglo-saxonnes, donnent la préférence à des choix multiples de grands fournisseurs selon leurs domaines d’excellence.

La convergence des applications qui permet une réduction du poids de la maintenance  et une meilleure adéquation aux processus arrive juste derrière, à hauteur de 46%.

Les entreprises sont donc majoritairement à la recherche de réduction de coûts. N’est-ce pas contradictoire avec la place stratégique que revêt aujourd’hui le SI dans l’entreprise ?

En effet, souvent étroitement lié à la réduction des coûts, l’alignement du SI avec la stratégie business s’impose comme le deuxième objectif majeur des transformations SI, dans 54% des cas recueillis. Les éléments de la transformation sont ici liés à l’agilité du SI et à la richesse fonctionnelle… Dans les faits, une part significative de ces straté­gies d’alignement concerne la filière front office (commercial / relation clients). Elles sont privi­légiées dans les secteurs finance et B2C.

Concrètement, comment se traduit cet alignement ?

Il se traduit par notamment par une optimisation de la gouvernance, qui évolue dans 73% des entreprises interviewées. Il s’agit là d’un rééquilibrage des modes de pilotage entre une DSI qui doit innover et les directions métiers qui doivent dégager des moyens et arbitrer. Cette évolution implique également un management global de la filière SI par la direction générale.  Ensuite, la rénovation (notamment la création de nouveaux services 2.0) et l’urbanisation du SI, principalement  dans le secteur tertiaire et B2C sont les leviers les plus utilisés.

Télécharger l’enquête complète au format PDF.

Pour en savoir plus, participer au webminar organisé le 18 octobre par PAC et Solucom.

Cet article La réduction des coûts, premier objectif des transformations du SI est apparu en premier sur RiskInsight.