Par manque de ressources internes ou d’expertise, il est encore fréquent d’observer des erreurs de configuration, comme un Storage Account ou bucket S3 déployé publiquement, permettant aux attaquants d’y accéder et d’exfiltrer les données, ou encore des Network Security Group qui n’ont pas été correctement configurés pour restreindre les flux, permettant alors aux attaquants de compromettre le compte cloud grâce à l’exploitation de flux non contrôlés.

Ces erreurs de configuration créent de nouvelles surfaces d’exposition et offrent aux attaquants de nouveaux moyens de compromettre les SI.

Assurer un usage sécurisé et contrôlé des services cloud est un enjeu majeur, qui nécessite des compétences spécifiques et une gouvernance adaptée.

La gestion de la posture de sécurité cloud : qu’est-ce que c’est ?

La gestion de la posture de sécurité cloud est un ensemble de stratégies et d’outils visant à réduire les risques de sécurité liés à l’usage du cloud. Cet objectif est assuré par la mise en place de contrôles sur la configuration des ressources ainsi que des mécanismes permettant de réagir en cas de détection d’un écart par rapport aux bonnes pratiques.

On distingue 4 piliers principaux dans la gestion de la posture de sécurité cloud :

Une des premières étapes de la gestion de posture de sécurité cloud est la prise de connaissance de l’environnement dans sa globalité ; inventaire et classification des ressources, indicateurs de conformité, dashboards de visualisation des risques… Cette vue d’ensemble permet d’identifier la surface exposée de son environnement et de prioriser les chantiers à mener.

Une gestion de la posture de sécurité cloud efficace repose sur un certain nombre d’outils permettant de détecter automatiquement les configurations de ressources non conformes aux bonnes pratiques de sécurité. La plupart des outils permettent notamment de s’évaluer vis-à-vis de standards et normes (CIS, RGPD, HIPAA, …) et ainsi d’identifier les écarts entre l’environnement actuel et la cible à atteindre. En plus des règles de sécurité génériques proposées par les outils, les entreprises peuvent également intégrer des règles propres à leur contexte afin d’affiner les contrôles effectués et ainsi construire leur propre référentiel de sécurité.

Les environnements Cloud offrent des capacités d’industrialisation et d’automatisation avancées permettant le déploiement rapide de nouvelles solutions afin de réduire le Time to market , le temps nécessaire pour concrétiser une idée et livrer un produit fini aux consommateurs. Dans ce contexte d’évolution rapide il est nécessaire d’assurer une surveillance continue de son environnement afin d’être en mesure de réagir au plus vite lors du déploiement d’une ressource non conforme : mise en quarantaine de la ressource, remédiation automatique, etc.

Un des enjeux de la sécurité est de réussir à l’intégrer au plus tôt dans le cycle projet afin de limiter les impacts de la mauvaise configuration d’une ressource. Dans le cadre de la gestion de la posture de sécurité, il est possible d’intégrer des contrôles de conformité dès la phase de développement, avec l’intégration dans les chaines CI/CD d’analyses de templates Terraform ou Cloudformation par exemple. Notons que cette étape nécessite une maturité avancée et de maitriser les 3 autres piliers cités plus haut.

Focus outils CSPM : quel type d’outil pour quel cas d’usage ?

Les outils CSPM (Cloud Security Posture Management) sont une gamme de logiciels permettant d’assister les entreprises dans la gestion de posture de sécurité cloud. Il en existe de nombreux sur le marché, que nous distinguerons par la suite en 3 grandes catégories : outils d’éditeurs du marché (ex : Prisma Cloud, Cloud Conformity, Cloud Health, CloudGuard, Zscaler, Aquasec…), outils natifs des cloud providers (ex : Microsoft Defender for Cloud & Azure policy, AWS config…) et outils open source (ex : Cloud Custodian, ScoutSuite…).

Bien que ces outils aient un objectif commun, on observe de nombreuses différences dont il convient d’étudier les impacts afin de déterminer la solution la plus adapté au contexte local. Exemple de points d’attention lors de la sélection d’un outil CSPM :

Gouvernance et administration de l’outil :

Quels sont les moyens mis à disposition afin de faciliter la gestion de l’outil (ex : rôles disponibles et modèle RBAC, processus implémentés, interface de gestion, interconnexions possibles, etc.) ?

Couverture de l’outil :

L’outil est-il mono ou multicloud ? Quels sont les services pris en charge ? Quelles sont les règles de sécurité implémentées au sein de l’outil ?

Fonctionnalités de l’outil :

Quelles sont les capacités de tableau de bord ? Est-il possible de mettre en place des alertes ? Certains outils CSPM se spécialisent sur un ou plusieurs des piliers de la gestion de posture de sécurité cités plus haut, ou sont plus matures pour un fournisseur cloud que pour les autres. Il convient d’étudier les fonctionnalités offertes par chaque outil afin de vérifier qu’il couvre bien l’intégralité des cas d’usages souhaités.

Facilité de déploiement :

Comment l’outil est-il déployé ? Combien de temps cela prend-il ? L’outil est-il disponible en mode Saas ou nécessite-il la mise en place d’une architecture spécifique ?

Facilité d’utilisation :

Comment est l’interface utilisateur ? Ce critère est particulièrement important car certains outils, bien que très flexibles, demandent des compétences spécifiques (ex : développement de scripts) et peuvent demander une connaissance fine du sujet.

Support disponible :

Les standards de sécurité sont mis à jour automatiquement ? Les nouveaux services cloud sont implémentés combien de temps après leur mise sur le marché ? Le cloud est un environnement très évolutif, de nouveaux services sont régulièrement mis à disposition, impliquant de nouveaux risques de sécurité. La capacité d’un éditeur CSPM à s’adapter aux évolutions de ses clients en proposant de nouvelles règles et services supportés est donc un atout majeur

Tarification :

Quel est le modèle de tarification ? Doit-on payer par ressource ? Combien de personnes sont nécessaires pour l’administration de l’outil ? En fonction de l’outil choisi les prix peuvent varier largement. Une attention particulière doit être portée au choix d’une solution bien dimensionnée par rapports aux attentes exprimées.

En se basant sur ces critères il est possible d’observer de grandes tendances partagées par les outils de la même catégorie.

Pour résumer : les outils CSPM d’éditeurs du marché proposent de nombreuses fonctionnalités, déployables facilement mais peu personnalisables.

Quant aux outils CSPM natifs des fournisseurs cloud bénéficient d’une intégration aisée au sein de l’écosystème existant et de fonctionnalités propres au fournisseur cloud, ce qui ne permet pas toujours de couvrir l’ensemble des besoins.

Et finalement, les outils open source, ils ont l’avantage d’être très flexibles et de laisser à l’utilisateur une grande marge de manœuvre mais ces outils sont complexes à maintenir dans la durée et nécessitent des compétences spécifiques pour être déployés et utilisés.

Choisir le type d’outil le plus adapté nécessite donc d’identifier les enjeux propres à son contexte et d’étudier comment chaque type de solution y répond selon ses caractéristiques.

Voici quelques exemples de questions qu’une entreprise pourrait se poser dans le cadre de la sélection d’un outil CSPM : la maturité de l’entreprise en matière de gestion de posture de sécurité est-elle adaptée à l’usage actuel qu’elle fait du cloud ? Si non, le retard se situe-t-il dans l’outillage ou la définition des bonnes pratiques sécurité dans un référentiel groupe ? L’entreprise possède-t-elle les compétences internes permettant d’assurer que la gestion de la posture de sécurité évolue à la même vitesse que les besoins métiers d’usage du cloud ?

En effet, le choix d’un outil CSPM doit s’inscrire dans un processus plus global de gestion de la posture de sécurité, c’est-à-dire en s’appuyant sur les capacités de gouvernance et d’expertise locales de l’entreprise.

Industrialisation CSPM : les étapes clés

La mise en place d’une gestion de la posture de sécurité efficace est un long processus de plusieurs étapes. Toute entreprise souhaitant gagner en maturité sur le sujet doit définir une stratégie d’industrialisation permettant d’atteindre progressivement la cible. Le graphique suivant est un exemple de stratégie d’industrialisation :

Cela consiste dans un premier temps par la mise en conformité initiale des environnements cloud pour les sécuriser. Cette phase peut être assurée à l’aide des outils CSPM natifs cloud ou à l’aide d’un outil du marché. En effet, ces outils présentent l’avantage de fournir un cadre et des règles de sécurité génériques sur lesquelles une entreprise avec peu d’expérience en la matière pourra s’appuyer. Afin de capitaliser sur les retours de l’outil, une gouvernance et un plan d’actions devront être mis en place pour :

• Prioriser les chantiers identifiés
• Définir des indicateurs de suivi de mise en conformité (ex : pourcentage de conformité des ressources par service et/ou par criticité)
• Assurer l’accompagnement des projets dans la mise en conformité de leur environnement en leur fournissant les éléments nécessaires pour la remédiation des non-conformités

Une fois le niveau minimal de sécurité souhaité atteint (ou en parallèle de la mise en conformité initiale), un des enjeux suivants est d’assurer que les nouveaux projets cloud ne sont pas vecteurs de nouvelles vulnérabilités. Il convient alors de mettre en place une structure permettant d’accompagner les équipes de développement dans leurs projets cloud. Cette structure devra notamment permettre :

• Le maintien d’un référentiel de sécurité cloud groupe adapté au contexte de l’entreprise et évoluant au rythme des demandes de nouveaux usages métiers
• La mise en place de processus de validation sécurité (automatisés ou non) afin de valider les différentes étapes projets (éligibilité cloud, passage d’environnement de développement en production…)
• La veille sécurité autour des services cloud utilisés au sein de l’entreprise

Les deux premières étapes permettent de sécuriser l’existant et les évolutions futures. Les deux prochaines étapes ont quant à elles pour objectif d’ajouter une couche de validations et de contrôles supplémentaires dans le but de pérenniser l’usage des bonnes pratiques à l’échelle de l’organisation. Afin de mettre en place une surveillance continue généralisée, il est préférable de se concentrer initialement sur un périmètre test ; cette phase de test permet notamment de :

• Tester une nouvelle approche en matière d’infrastructure de contrôle. Sur le plan technique cela se traduit par la mise en place du/des outils CSPM nécessaires pour assurer à la fois des audits ponctuels sur un périmètre précis mais également une surveillance continue sur l’ensemble du périmètre test. Sur le plan organisationnel cela se traduit par la mise en place d’équipes spécialisées et de processus de validations.
• Définir des points de contrôle à l’échelle de l’organisation et les mécanismes permettant d’en assurer la pérennité : gestion du cycle de vie des règles de sécurité, définition des actions de remédiation par règle, etc.
• Préparer la mise à l’échelle de la surveillance continue.

En se basant sur les retours de la phase de test précédente, le périmètre de surveillance continue peut ensuite être élargi afin d’industrialiser la gestion de posture de sécurité cloud au sein de l’organisation.

La dernière étape correspond au dernier pilier de la gestion de posture de sécurité cloud, l’anticipation et donc à la mise en place de fonctionnalités avancées pour améliorer les pratiques existantes. La sécurité est intégrée en amont de la mise en production donc à gauche de ce cycle, ce qu’on appelle le « shift-left ».

Synthèse

Assurer la gestion de la posture de sécurité cloud au sein de son organisation est un enjeu majeur aux impacts forts nécessitant une mise en place progressive et incrémentale.

En s’appuyant sur les 4 piliers de la gestion de la posture de sécurité -Visualiser, Contrôler, Superviser, Anticiper- les entreprises sont en mesure d’assurer la conformité de son environnement cloud tout en suivant les besoins et évolutions du métier. Cet objectif nécessite une gouvernance dédiée et des outils adaptés au contexte local, le tout évoluant avec la maturité de l’entreprise en matière de sécurité du Cloud.

Les solutions CSPM disponibles sont nombreuses et chacune possède ses avantages et inconvénients, une attention particulière devra être portée à l’étude de la solution la plus adaptée aux besoins exprimés et aux futurs évolutions envisagées.

Cet article Gestion de la posture de sécurité cloud : vers une industrialisation de la maîtrise de son environnement cloud est apparu en premier sur RiskInsight.

Cependant, comment modéliser ces différentes données d’entrée de FAIR ? Comment se font les calculs sur les données ? Existe-t-il des outils pour faciliter leur obtention ou évaluer leur qualité, et quels efforts demandent-ils pour être mis en œuvre ?

Ayants vu précédemment dans quelle mesure la méthode de quantification du risque était digne de confiance dans son déroulement, voyons à présent comment la part inévitable de subjectivité peut être confinée, et quels facilitateurs peuvent aider à obtenir des résultats sûrs.

Le carburant de FAIR : les données

L’analyse du risque proposée par FAIR (selon le document de normalisation édité par l’OpenGroup[3]) est réalisée en quatre temps :

• Dans un premier temps, de façon assez classique, il s’agit de préciser le périmètre du risque en question (Scope the analysis) : l’asset (le bien sujet au risque), le contexte de la menace (agent et scénario), et l’évènement de perte (ou évènement redouté considéré sous l’angle des pertes) ;
• La deuxième étape (Evaluate Loss Event Frequency) consiste à collecter l’ensemble des données fréquentielles liées à l’évènement de perte (et donc intimement lié à l’agent de menace). Ceci consiste à collecter les valeurs de la branche de gauche dans l’arborescence ci-dessous.
• La troisième (Evaluate Loss Magnitude), en évaluant les couts, focalise sur l’asset. Il s’agit alors de chiffrer les différentes pertes primaires (c’est-à-dire les pertes inévitables en cas d’occurrence du risque) et secondaires (ou pertes éventuelles, ne se produisant pas systématiquement en cas d’avènement du risque). Ceci consiste à collecter les valeurs de la branche de droite dans l’arborescence ci-dessous.
• Enfin, la dernière étape (Derive and Articulate Risk) est le fusionnement des données obtenues conformément à l’arborescence FAIR par différents calculs, pour obtenir le résultat sous forme d’outputs exploitables.

Lien entre l’analyse et la taxonomie de FAIR

Sans aller plus dans le détail de la taxonomie, déjà abordé dans l’article présenté précédemment2, nous constatons que l’analyse standard d’un seul risque demande déjà sept données (correspondant aux éléments de la base de l’arborescence) :

1. Contact frequency;
2. Possibility of action;
3. Threat capability;
4. Resistance strength;
5. Primary loss magnitude;
6. Secondary loss magnitude;
7. Secondary loss event frequency.

Il faut ajouter à cela que FAIR invite à décliner les pertes (primaires et secondaires) en six catégories (facilitant ainsi l’estimation précise de ces données de pertes) :

• En pertes de production : liées à l’interruption du service produit par l’asset ;
• En cout de réponse : liées à la réponse à incident ;
• En frais de remplacement : liées au remplacement des constituants endommagés de l’asset ;
• En frais de justice : liées aux amendes et poursuites juridiques ;
• En perte d’avantage compétitif : liées à l’impact sur l’organisation dans son secteur d’activité ;
• En pertes de réputation : liées aux retombées sur l’image publique de l’organisation.

Comment modéliser correctement l’incertitude du risque ?

De plus, il est bon de se poser la question de ce qu’est concrètement une donnée FAIR.

En effet, il est trop réducteur de définir une donnée par une unique valeur chiffrée. Par exemple, si nous considérons l’attaque par rançongiciel : il serait incorrect d’affirmer qu’une occurrence de ce risque couterait exactement 475 k€[4] (illustrée par la courbe bleue sur le graphe 1).

Graphe 1 : Une distribution, un modèle plus réaliste qu’une valeur isolée

En revanche, ajouter de l’incertitude à cette donnée en l’accompagnant d’une borne minimale (qui pourrait être de 1 € dans notre exemple) et d’une borne maximale (de 300 M€ dans l’exemple), tout en gardant la valeur la plus probable énoncée précédemment, permettrait de modéliser beaucoup plus fidèlement la réalité (courbe violette du graphe 1).

Une donnée est alors définie par un minimum, un maximum et une valeur la plus probable (correspondant au pic de la distribution). Nous pouvons de plus noter qu’une telle distribution de probabilité est indépendante du type de valeurs considérées : il peut aussi bien s’agir d’une perte dans une devise quelconque (cf. l’exemple précédent), que d’une occurrence (par exemple, entre 1 fois par an et 1 fois tous les 10 ans, et une valeur plus probable autour d’une fois tous les deux ans), ou bien même d’un ratio (entre 30% et 70 %, plus probablement autour de 45%). Nous pouvons ainsi utiliser ces distributions pour modéliser toutes les données de la taxonomie FAIR.

Un autre avantage de la modélisation de l’incertitude par une distribution est de pouvoir régler finement le degré de confiance dans la valeur la plus probable, via le coefficient d’aplatissement de la courbe. Plus ce dernier sera élevé, plus la confiance dans la donnée sera grande (correspondant à un pic très marqué, cf. la courbe verte sur le graphe 2). En revanche, une donnée peu fiable sera modélisée par une distribution beaucoup plus homogène (cf. la courbe rouge sur le graphe 2).

Graphe 2 : Refléter le niveau de confiance à travers les distributions

Cependant, le fait d’utiliser des distributions plutôt que des valeurs fixes pose problème lorsqu’il s’agit de les combiner entre elles, ce qui sera nécessairement le cas lorsque nous effectuerons les calculs de l’arborescence FAIR. Comme nous pouvons en effet le constater sur le graphe 3 (l’addition de la distribution verte et de la rouge donnant la violette), l’addition de deux lois de distribution ne permet pas d’obtenir une distribution aussi ‘simple’ que les précédentes (elle ne suit plus une loi de probabilité dite log-normale). Cela est également le cas dans le cadre d’une multiplication (dont le résultat est également complexe).

Graphe 3 : addition de deux distributions.

Pour obtenir un résultat mathématiquement cohérent, la théorie des jeux nous donne un moyen simple : les simulations de Monte Carlo. Il s’agit en effet de discrétiser les distributions (la verte et la rouge du graphe 3), en un nombre prédéfini de valeurs aléatoires (appelé nombre de simulations), réparties de façon à correspondre à la distribution concernée. Nous pouvons ensuite combiner les distributions ainsi discrétisées en effectuant les calculs sur des paires de valeurs de chaque distribution. La nouvelle répartition pourra ensuite être approximée, et sera d’autant plus précise que le nombre de simulations sera grand.

Les caisses à outils artisanales pour automatiser FAIR…

Pour effectuer ces calculs permettant d’obtenir une valeur chiffrée du risque, des solutions ont émergé (principalement à partir de la méthode FAIR). Nous aborderons donc ici les avantages et inconvénients de ces outils, qui sont également cités dans l’article précédent1.

L’OpenFAIR Analysis Tool

La première que nous pouvons citer est l’OpenFAIR Analysis Tool[5]. Si cet outil a simplement un but pédagogique, il permet néanmoins de comprendre le fonctionnement de FAIR. Il est ainsi possible d’avoir une première application concrète de la méthode, et d’obtenir des résultats simplement (uniquement dans le cadre d’une analyse d’un risque isolé). Mis sur pied par l’université de San José (Californie) en collaboration avec l’OpenGroup, cet outil utilise une feuille Excel pour obtenir une évaluation du risque à partir d’un nombre prédéterminé de simulations, en respectant scrupuleusement la taxonomie FAIR.

OpenFAIR Risk Analysis Tool : un outil avant tout pédagogique

Très utile pour avoir un premier contact avec la quantification, l’outil reste cependant très limité en termes d’utilisation. Enfin, il faut noter qu’il n’est accessible que sous Excel et avec une licence d’évaluation limitée à 90 jours.

Riskquant

Pour une utilisation à plus grande échelle, le département R&D de Netflix a mis sur pied la solution Riskquant[6]. Il s’agit d’une bibliothèque de programmation Python, s’appuyant notamment sur tensorflow (un module python spécialisé pour le calcul statistique massif). La particularité de Riskquant est de proposer une quantification du risque inspirée de la taxonomie FAIR, mais ayant gardé une grande liberté dans son implémentation. Développée pour faciliter l’utilisation sur des conteneurs, elle permet par conception des évaluations très rapides à partir de fichiers csv.

Riskquant : une approche originale mais manquant de maturité

Cependant, le fait de n’avoir gardé de FAIR qu’une valeur unique de perte et une fréquence unique la rend peu exploitable, notamment dans le cadre d’une organisation qui chercherait à cadrer précisément ses risques. De plus, elle ne fournit à ce jour que peu de résultats exploitables et manque clairement de maturité. Enfin, elle semble à ce jour mise en sommeil depuis le 1^er mai 2020 (date du dernier dépôt sur la page GitHub de la solution).

PyFAIR

Pour finir ce paragraphe sur les solutions pouvant servir de base à une implémentation de FAIR, la bibliothèque PyFAIR est disponible sur le dépôt python officiel (téléchargeable via l’outil pip). Désormais mature, l’outil permet une décomposition du risque suivant la taxonomie FAIR. Il permet également d’alimenter l’arborescence à partir de valeurs intermédiaires, ou de regrouper des données pouvant servir à plusieurs risques (permettant par exemple des regroupements par asset ou menaces). Il est capable de calculer des risques globaux, et fournit des distributions facilement exploitables sous python, mais également des graphiques et des rapports HTML préformattés.

PyFAIR, une bibliothèque complète et efficace en Python

Bien qu’elle reste une boite à outil de programmation, demandant de fait une appétence et du temps pour développer et entretenir une solution en Python, PyFAIR est bien conçue. Elle facilite l’implémentation de FAIR en restant très proche de la taxonomie, et fournit des fonctions facilitant la mise en œuvre comme l’exploitation des résultats. Apte à être exploitée à plusieurs niveaux (i.e. en l’utilisant uniquement pour calculer des résultats à partir d’un paramétrage fin de FAIR et de Monte Carlo, ou bien en exploitant des fonctions de génération de rapports de haut niveau), elle permet d’envisager une utilisation de la quantification techniquement facilitée et à grande échelle.

Des plateformes ‘clé en main’ pour faciliter l’acquisition des données :

Néanmoins, la difficulté principale de FAIR reste, comme nous l’avons vu précédemment, l’obtention de données et leur fiabilité. Pour y faire face efficacement, la solution la plus efficace est de s’appuyer sur une plateforme intégrant une base de données de CTI.

Ces plateformes fournissent les valeurs de risque liées aux menaces (donc très peu dépendantes de l’entreprise). Elles accompagnent de plus le déploiement et la mise en œuvre de la méthode de quantification, notamment en la guidant pour l’obtention de données de pertes adaptées.

RiskLens

La première de ces solutions est la plateforme RiskLens[7]. Cette solution, directement issue de la méthodologie FAIR, a été co-fondée par Jack Jones. Elle sert de support technique au développement de la méthode, en lien avec le FAIR Institute. Ayant une approche technique de la méthode, elle porte son effort sur le respect des standards de l’analyse en général et de la définition du périmètre (première étape de FAIR) en particulier.

RiskLens, l’application de FAIR à la lettre

Néanmoins, il faut noter que d’une part, cette solution demande d’avoir des notions avancées dans la méthode FAIR pour être facilement utilisable. En effet, la plateforme n’apporte pas une véritable aide pour l’obtention des données (qui comme nous l’avons vu, reste la clé de voute de la quantification), partant du principe que la définition du périmètre suffit à définir précisément la donnée, et de ce fait de l’obtenir aisément. D’autre part, il s’agit d’une plateforme américaine, ce qui implique que l’interface (assez peu intuitive) est uniquement disponible dans cette langue, et que les données collectées sont alors assujetties à la réglementation américaine.

CITALID

La seconde plateforme dont nous ferons mention ici est la startup française CITALID, qui a adopté une approche fondamentalement différente. En effet, cette dernière, fondée par deux analystes de l’ANSSI, recherche par conception à lier la CTI à la gestion de risque. Ainsi, utilisant FAIR comme l’outil leur permettant de réaliser ce lien, elle fait effort sur la conception et le maintien d’une base de données disposant de chiffres solides et maintenus à jour pour suivre au plus près la situation cyber géopolitique locale et internationale.

CITALID, une base de données à haute valeur ajoutée

Cette dernière plateforme apporte un vrai accompagnement dans la définition et la collecte des données, permettant ainsi d’identifier précisément où subsiste la part de subjectivité indéniablement liée au risque. Disponible en français et en anglais, elle facilite la gestion du risque cyber en prenant en compte tous les paramètres de l’organisation (localisation, taille, secteur d’activité, niveau de maturité, conformité aux référentiels, etc.) pour fournir des données de contextes adaptées. En outre, et en plus d’une explicitation de chacun des champs de la plateforme, la startup accompagne ses clients dans l’obtention des données qui sont de leur ressort.

FAIR le premier pas…

Quoi qu’il en soit, la difficulté demeurera toujours de réussir la transition de l’estimation qualitative à l’estimation quantitative. Bien que des solutions puissent faciliter cette bascule, l’abandon d’une méthode maitrisée pour une nouvelle méthode reste un défi, malgré tous les bienfaits que cette dernière promet.

S’il fallait insister sur 3 points pour envisager ce changement, ceux-ci pourraient être :

• D’une part, de s’assurer d’avoir la maturité requise. La quantification demande d’avoir une bonne maitrise du niveau de sécurité du SI concerné, et de s’adosser à une méthode de gestion du risque préexistante et rodée. Si la quantification apporte des solutions pour chiffrer un risque, le provisionner ou estimer le ROI d’une mesure, il est cependant inutile (voire contre-productif) de s’engager sur cette voie trop tôt (sous peine au mieux de perdre du temps, au pire de dégrader la gestion de risque existante).
• Ensuite, d’avoir une approche progressive dans le déploiement de la quantification. Dans un SI mature disposant d’une gestion de risque stable, il est préférable d’adopter progressivement la méthode quantitative. Cela permet notamment de prendre confiance dans les estimations produites (éventuellement en le faisant coexister avec la méthode d’estimation qualitative) et d’assimiler la méthodologie, tout en assurant son intégration dans le processus existant de gestion du risque.
• Pour terminer, de s’appuyer sur l’expérience existante dans la collecte des données de risque cyber. La difficulté résidant dans l’obtention de données sûres, il est crucial (pour avoir confiance dans la méthode) de disposer de chiffres sûrs. Il semble alors judicieux de s’appuyer sur une plateforme qui peut fournir des données de qualité, et un appui dans la collecte des données internes. Celle-ci disposera de plus de l’expérience acquise par le déploiement de la méthode sur d’autres clients. La qualité des résultats fournis sera alors l’élément clé dans la confiance que l’organisation aura dans la méthode quantitative.

[1] https://www.riskinsight-wavestone.com/2020/11/estimation-quantifiee-du-risque-1-2-lodyssee-de-la-quantification/

[2] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[3] https://publications.opengroup.org/c13g

[4] https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[5] https://blog.opengroup.org/2018/03/29/introducing-the-open-group-open-fair-risk-analysis-tool/

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

[7] https://www.risklens.com/

Cet article Estimation quantifiée du risque (2/2) : Quelles données, quels outils ? est apparu en premier sur RiskInsight.

Il y a 10-15 ans, la vie était simple.

Un schéma directeur pouvait se construire en quelques entretiens avec le RSSI et son équipe, « à dire d’experts ». Pour apporter une logique, on se basait sur un modèle imagé type château fort ou aéroport qui servait de (bon) prétexte à la mise en place des fondamentaux et permettait d’expliquer les choix… Les attaques semblaient encore lointaines, la cyber était moins dispersée qu’aujourd’hui et tous les schémas directeurs se ressemblaient plus ou moins (une manière plus élégante de dire que tout le monde partait à peu près de zéro). Rappelez-vous, c’était la grande époque des PKI, des premiers SOC, du cloisonnement Datacenter, des débats IDS vs IPS, du BYOD… pour ne citer que ces sujets. Bien sûr, les chantiers étaient in fine justifiés par une couverture de risques (fraude, fuite d’information, propagation de malware…), mais soyons honnêtes : cette justification était souvent effectuée a posteriori, pour rassurer. Avec un peu de recul, ces stratégies cyber ont surtout eu un vrai rôle de sensibilisation / formation du top management, progressivement impliqué dans les choix et les discussions.

En 2020, le contexte a beaucoup changé. Le simple « dire d’expert » ne suffit plus : certains grands comptes investissent désormais des centaines de millions d’euros par an pour la cybersécurité, et les comités exécutifs exigent davantage de preuves quant à l’efficacité de la stratégie déployée. D’autant plus que les « fondamentaux » (patching, bastion…) sont désormais complétés par un arsenal de mesures toutes plus spécifiques les unes que les autres qui interrogent sur la pertinence d’une stratégie unique, pour une grande entreprise. Il est clair par exemple qu’entre une banque de détail focalisée sur la fuite de données client, et une banque d’investissement craignant surtout des indisponibilités sur certaines chaines de trading… les priorités sont différentes. La crise actuelle risque très certainement de renforcer cette tendance : les stratégies doivent désormais s’adapter beaucoup plus finement aux métiers.

Une stratégie pragmatique et agile, alignée sur les priorités business

Les premiers mois de travail sont toujours consacrés à la méthode qui amènera rigueur et crédibilité auprès du management et des régulateurs. Très concrètement, il s’agit de définir le Framework cyber de l’entreprise et une méthode permettant à chaque entité de définir son Target Profile (cible à atteindre sur le Framework). Terminée la stratégie trop monolithique, place à une stratégie différenciée par entité !

Les grandes entreprises ne se posent plus trop de questions sur le Framework : NIST et ses 110 contrôles s’impose définitivement comme le leader du marché. Les 5 fonctions (protect, detect…) sont très parlantes auprès du management, le rythme de mise à jour (3 ans) est acceptable… et surtout sa popularité favorise le Benchmark. Mais après tout, peu importe le Framework retenu : ISO ou CIS peuvent très bien faire l’affaire… l’essentiel est de se caler sur une référence du marché. Notons que la plupart des entreprises ne se privent pas de préciser les contrôles pour les rendre plus pragmatiques : EDR, SOAR, sécurité AD, anti-fraude… le Framework agit tout simplement comme une bibliothèque de contrôles potentiels sur laquelle l’entreprise va s’appuyer pour établir sa stratégie.

Il est maintenant temps de définir la cible à atteindre sur le Framework ! Dans les grandes entreprises, le Groupe impose souvent un premier niveau de sécurité pour tous, correspondant à la poursuite des fondamentaux : SOC, bastion, patching… La plupart des attaques systémiques exploitent encore ces faiblesses, et le risque de propagation inter-entités doit être géré de manière transverse. Cette cible commune est assez similaire d’une entreprise à l’autre, et est en général établie à partir de benchmarks fournis par le marché du conseil. Plus challenging, chaque entité est ensuite amenée à définir sa propre cible, selon ses enjeux propres. Attention, la mécanique de mapping et de pondération entre les contrôles du Framework et la cartographie des risques peut s’avérer complexe… ce n’est pas pour rien que certaines start-ups comme Citalid se positionnent sur ce marché. La clé est souvent de sortir de la filière cyber et travailler conjointement avec la Direction des Risques !

Ça y est… le plus dur est fait : le Framework est construit et les entités ont défini leur cible. Il s’agit maintenant de prendre du recul pour identifier les grands projets à lancer et rendre la stratégie compréhensible par tous !

Les incontournables du moment : sécurité de l’AD et IAM

Les chiffres issus des stratégies cyber des grandes entreprises françaises ont de quoi donner le tournis : 10-20M d’investissement en moyenne par an dans le secteur de l’industrie, et jusqu’à 100-150M par an pour les Services Financiers. Chaque stratégie est différente – c’est tout l’objet de l’approche par les risques – mais les retours d’expérience récents montrent que les budgets s’équilibrent plutôt équitablement entre 4 natures de chantiers : 1. Les fondations sécurité (patching, sensibilisation, sécurité des admins…) 2. La protection des environnements sensibles (LPM, sécurité AD, data protection…) 3. La convergence zero-trust (inventaires, IAM, risk-based authentification, conformité…) 4. La cyber-résilience (détection, gestion de crise, reconstruction, continuité métier…). Il y a quelques années, le SOC et la LPM ressortaient définitivement comme les sujets les plus prioritaires. Ils sont aujourd’hui très largement concurrencés par la sécurité de l’Active Directory et l’IAM… Il suffit de se pencher sur les modes opératoires des attaques récentes pour obtenir une explication à cette tendance.

Nous en sommes tous convaincus : une stratégie cyber est un outil essentiel pour donner le cap, fédérer les actions et impliquer le management. Mais pas seulement ! Établir un schéma directeur pluriannuel est une formidable opportunité pour embarquer les équipes autour d’un objectif commun. Certaines filières sécurité sont passées de quelques dizaines de personnes, à plusieurs centaines voire milliers en l’espace de quelques années, et de nombreux employés sont actuellement en quête de sens (cela fera probablement l’objet d’un prochain blogpost). Je ne peux que vous recommander de profiter de ce « moment » qu’est la création de la stratégie pour créer une aspiration, un enthousiasme, un vrai esprit d’équipe dans la filière… c’est le moment idéal : multipliez les groupes de travail, impliquez un maximum de collaborateurs, adoptez une démarche transparente, faites challenger les équipes par le top management… bref, transformez cette construction de stratégie un événement de filière ! Vous verrez, c’est encore plus sympa comme çà

Cet article Définir une stratégie cybersécurité dans une grande entreprise – Retours d’expérience est apparu en premier sur RiskInsight.

Ecouter les forces de vente et expliquer la démarche

Conduire le changement (plus que l’accompagner) nécessite davantage qu’un plan de communication et de formation. Avec la transformation des réseaux de vente, les impacts sur les métiers de la vente sont nombreux : nouveaux espaces bien sûr, mais aussi nouveaux équipements donc nouveaux gestes métiers, nouvelles missions, nouvelles postures…

Dans le cadre de la transformation de la vente Voyages SNCF, on pense d’abord aux impacts métiers des vendeurs et managers de boutiques mais les acteurs de la relation client à distance sont également impactés. Ils passent de deux métiers différents (ligne directe pour le téléphone en front office et service clientèle pour les réclamations par courrier ou email) à un métier unifié de relation client à distance multimédia, front et back.

Cette attention portée aux populations se concrétise dans des dispositifs qui vont au-delà d’une communication classique sur un projet, trop souvent descendante et monocanal :

Des dispositifs d’écoute remontante qui permettent de faire remonter les signaux faibles, les peurs, les freins, les « on-dit » (en prenant bien soin de ne pas les mettre en concurrence vis-à-vis de la relation avec les organisations et les instances représentatives du personnel).

Des dispositifs d’échange et de partage qui favorisent les questions / réponses : c’est par le questionnement que les populations passent de la connaissance du projet à sa compréhension puis à l’adhésion. Il peut s’agir de réunions de présentation en petits comités, de réseaux sociaux d’entreprise, etc.

Des temps de prise de recul et de réflexion : par exemple par la présentation de benchmarks, mais aussi par des témoignages d’autres entreprises confrontées à des enjeux similaires.

Cet investissement en temps et en ressources est nécessaire pour partager la nécessité de changer avec les populations impactées et donner la vision de la cible à atteindre et de la trajectoires employée (c’est ce qui donne du sens au changement).

Définir et annoncer rapidement la tactique de mise en place contribue à donner confiance dans le succès avec des points de repère concrets et visibles.

Ces points de repère peuvent se traduire par une trajectoire des bénéfices, démontrant la symétrie des attentions pour l’externe (les clients) bien sûr, mais également pour l’interne (les agents). Il s’agit de communiquer la vision mais également de véhiculer une logique « gagnant-gagnant » en interne, qui permet de mobiliser toute l’entreprise.

En ce qui concerne la digitalisation du point de vente, on mettra l’accent sur l’optimisation du flux en magasin, l’autonomisation du client, l’enrichissement de l’expérience client et la valorisation du rôle du vendeur.

S’appuyer sur les managers et les accompagner

Pour une performance durable, définir une organisation cible ne suffit pas. Il est également nécessaire d’agir sur les capacités managériales :

• Focaliser le management sur les priorités stratégiques : objectifs, cibles clients, offres clés…
• Définir les points clés du pilotage de la performance à la cible : alignement des objectifs et des indicateurs de performance aux options de stratégie prises ; alignement des dispositifs de pilotage et d’amélioration continue…
• Réinterroger les principes et pratiques de management : les responsabilités majeures, les instances de management, la prise de décision, la coordination transverse.
• In fine, développer l’agilité managériale pour s’ajuster en permanence aux évolutions de l’environnement.

Les équipes managériales sont les premiers ambassadeurs du projet et les relais indispensables auprès des équipes : leurs discours et leurs actes sont déterminants pour engager les équipes à changer. Et la ligne managériale n’est pas toujours la dernière à freiner !

Concrètement, il faut donner aux managers les moyens adéquats, en tenant compte de leur manque de temps global :

• Donner systématiquement une longueur d’avance au management afin qu’il puisse anticiper les étapes clés.
• Outiller les managers pour en faire de véritables chefs de projets sur le terrain.
• Offrir des marges de manoeuvre : donner de la latitude dans l’application, autour d’invariants bien définis. Faire réaliser les actions de communication, de mobilisation et de formation dans le cadre des occasions déjà prévues par le management : réunions d’équipes, séminaires, visites.

Le changement débute… avec le projet !

La composition des groupes de réflexion ou de décision (chef de projet, comité projet, comité de pilotage), les instances de gouvernance du projet sont déjà l’occasion d’impliquer, mobiliser, co-construire la démarche.

Les mots ont un impact direct sur le changement des mentalités : renommer une direction, par exemple, est un signe important.

Le lancement des premières expérimentations est une autre étape clé. Ainsi les sites pilotes doivent-il être pilotes sur l’ensemble des dimensions d’un projet (nouveaux services, nouvelles postures, nouveaux modes de pilotage), pas uniquement sur les nouveaux aménagements de l’espace de vente ! Pour montrer la faisabilité des évolutions et garantir les réussites, ils devront être représentatifs, mais maîtrisables. Ces sites pilotes peuvent également devenir des sites ambassadeurs qui vont démultiplier la formation dans chaque région.

Il faut être en mesure de montrer rapidement des réussites pour alimenter la dynamique de changement. Ainsi, fixer des objectifs et penser aux dispositifs de mesure dès le début du projet est très important (visites mystères, études client qualitatives et quantitatives en sortie de magasin, mesures du temps d’attente). Le groupe La Poste a par exemple mis en place des standards de services sur les principaux points du parcours client (rapidité de service, propreté des espaces, information client, disponibilité des automates). Ceux-ci permettent de piloter la qualité de la relation client et d’homogénéiser les prestations de service.

Le rythme de la transformation compte dans la conduite du changement : aller vite dans la conception, mais soigner les temps de test et d’appropriation.

Retrouvez ici l’intégralité de notre Synthèse dédiée à la transformation des réseaux physiques de vente à l’ère du digital…

Cet article Conduite du changement : comment mener la transformation de la vente est apparu en premier sur RiskInsight.

A la fois « expert » et manager

Manager de proximité, le Directeur d’agence est « le référent » de ses collaborateurs.

Traditionnellement, de par son expérience, il connaît le métier. Il décide ou supervise les décisions de ses collaborateurs. Il est également responsable de la conformité et de la qualité des dossiers.

En même temps que cette position d’expert, le Directeur d’agence est « l’animateur » de l’activité et des résultats. Il met en avant les priorités, oriente la mise en œuvre de ses directives, évalue la performance et la capacité de ses collaborateurs. L’équilibre entre ces deux fonctions, expert et manager, change avec la taille de l’agence.

 Une activité quotidienne morcelée

Plus de vingt changements d’activités au sein d’une même journée, c’est le lot commun des Directeurs d’agence. Lorsque l’on évoque le changement d’activité, il ne s’agit pas du passage d’un dossier à un autre. Ce dont il est question, c’est passer du briefing de lancement de journée, à la revue des paiements en suspens pour ensuite analyser un dossier de financement, puis rencontrer un prescripteur…

L’organisation du temps, la hiérarchisation des activités, la pratique systématique de la délégation sont les solutions pour endiguer la dispersion des activités.

Un flux d’information en continu

Avant même l’internet et les mails, les Directeurs d’agence recevaient quotidiennement des instructions, notes d’information, alertes, qu’ils devaient lire, classer, relayer, appliquer et mettre en œuvre avec intelligence et discernement. Les facilités ouvertes par les nouvelles technologies ont multiplié les occasions de communiquer. La boîte à lettre électronique d’un Directeur d’agence accueille de vingt à quarante messages quotidiens. La moitié d’entre eux sont « pour information » et dix pour cent comporte une pièce jointe. Renoncer à tout savoir, à connaître le détail de toute chose est un choix nécessaire.

 Une promiscuité et un isolement pesants

Souvent le premier arrivé, fréquemment le dernier parti, le Directeur d’agence est «  toujours là ». Tous les jours le « DA » est en contact avec ses collaborateurs, «sa porte est ouverte » sauf lorsqu’il est « en rendez-vous ». Les cloisons vitrées limitent l’intimité. Le DA est sous le regard de ses collaborateurs et fréquemment sous le regard des clients. Le DA a besoin d’échanger sur ses interrogations. La réunion de région ou de secteur peut en être l’occasion. Peut, seulement si la hiérarchie favorise ces échanges informels. Dans le pire des cas, le Directeur d’agence n’osera pas faire part de ses interrogations à ses collègues, de crainte que ce ne soit ébruité.

A suivre…

Cet article Le blues du Directeur d’agence bancaire – épisode 2 : Les difficultés de toujours est apparu en premier sur RiskInsight.

Les raisons ne manqueront pas pour alimenter un climat général de doute, d’incertitude et d’attentisme économique, le manque de visibilité sur la conjoncture générant une plus grande prudence des entreprises. La pression opérationnelle pousse à gérer les actions en urgence, engendrant des décisions relativement court-termistes. Pour les nouveaux projets, un certain attentisme s’instaure et leur lancement est repoussé à des lendemains plus sûrs. Oui, mais si ces lendemains ne reviennent plus, il va donc nous falloir considérer les choses autrement.

Se résigner ? Non. Innover ? Oui ! L’innovation doit être vue comme un moyen de sortie de crise ou, tout du moins, comme un modérateur de celle-ci.

L’innovation comme outil de différentiation

C’est bien sûr un des buts les plus recherchés des démarches d’innovation. Il est faux de croire qu’en temps de crise, les clients ne sont pas sensibles aux produits et services innovants. Quand l’innovation fait sens, elle trouve son marché. Citons deux exemples. 1993/94, crise du Système Monétaire Européen ; 1995, décollage du GSM en Europe. 2008, crise économique majeure ; 2009, explosion des ventes de l’i-Phone. De plus, l’entreprise innovante, en tant que pionnière, se constitue un avantage concurrentiel fort sur le marché, avec une image de marque très valorisable.

L’innovation au service de la compétitivité de l’entreprise

Mais l’innovation peut aussi être utilisée comme outil de rationalisation et d’optimisation des coûts et processus. De nombreuses entreprises ont lancé des programmes spécifiques pour stimuler les réflexions innovantes autour de la baisse des coûts de production des biens ou des services.
Par exemple, dans l’industrie, les démarches d’analyse de la valeur s’appuient sur des groupes d’innovation pluridisciplinaires qui, lors de séances de créativité, travaillent sur un poste de coût en particulier et imaginent toutes les solutions qui permettraient de le réduire.

L’innovation comme pilier de l’animation des équipes

Last but not least, l’innovation constitue un véritable pilier d’une politique de stimulation du travail entre les équipes. L’animation de l’intelligence collective, tous les process et outils collaboratifs sont autant de formidables catalyseurs d’échanges au sein de l’entreprise. De plus, ils renforcent les liens entre des directions pour lesquelles les tensions peuvent être plus vives en temps de crise (ex : la DSI dont les budgets ont été réduits et les métiers qui cherchent à avoir le plus de réactivité possible pour trouver de nouvelles sources de développement)

Pour conclure, n’oublions pas que l’innovation n’est pas une incantation ; elle est avant tout un état d’esprit. Elle est pragmatique et progressive, n’entraînant pas forcément de gros investissements ou de coûts déraisonnables.

L’innovation n’est pas l’invention, l’innovation est un moyen concret qui peut permettre à l’entreprise de sortir du marasme économique, ou tout du moins, de traverser plus aisément cette passe difficile. Mon cadeau pour 2012 est cette belle maxime de Tite-Live « Il faut oser ou se résigner à tout ». Alors en 2012, OSEZ L’INNOVATION !!

Cet article INNOVATION : Adieu 2011, année de crise. Bonjour 2012… année de crise ! est apparu en premier sur RiskInsight.

Et au-delà de la pesanteur qu’elle génère, la complexité est bien sûr aussi synonyme d’inflation des coûts. Les périodes de crise, et donc de « sélectivité budgétaire », sont donc souvent propices pour pousser les entreprises à « faire le ménage » dans leur fonctionnement et faire le choix de la simplicité partout où cela est possible. Dans le monde des systèmes d’information, ce principe peut se décliner à de multiples niveaux :

Simplicité dans les processus de fonctionnement de la DSI

Qu’elles s’appuient sur des méthodes « lean » déroulées en mode « rouleau compresseur » ou bien sur des approches plus progressives et participatives, les démarches de simplification des processus de la DSI sont toujours sources de gains très importants. Je pense tout particulièrement à la conduite des projets, avec l’adaptation progressive du classique modèle en V pour retenir des circuits plus courts entre maîtrise d’ouvrage et maîtrise d’œuvre, quitte même à casser les frontières qui cloisonnent ces acteurs en transformant les organisations.

Simplicité dans les relations entre la DSI et ses donneurs d’ordre métier

C’est le moment de revoir les modes de relations entre DSI et métiers : sortir du pur modèle client / fournisseur pour réellement partager les objectifs de maîtrise des coûts, porter un regard commun sur le portefeuille projet et décider des arbitrages sur la base de critères simples de priorisation, pour définir des règles de gestion des évolutions applicatives et limiter ainsi la charge liée à la réalisation et à la mise en production de ces évolutions, pour construire un plan d’action de simplification du parc en « décomissionnant » les applications inutiles…

Simplicité dans les offres de services de la DSI

Pour traiter chaque demande particulière, tout pousse la DSI à multiplier les variantes et les niveaux de services pour chacune de ses offres. C’est le moment de supprimer les options ou les fonctionnalités inutiles, en partenariat avec les utilisateurs.

Simplicité dans le sourcing des prestations informatiques

Massifier les achats de prestations et demander plus d’engagements à ses fournisseurs permet bien sûr de réduire les coûts. Mais cela apporte aussi une plus grande clarté et simplicité dans la gestion de ces achats et dans le pilotage des prestations. Le sourcing, c’est aussi un moyen de se simplifier la vie pour se consacrer à l’essentiel…

Ce choix de la simplicité n’est paradoxalement pas le plus facile : il implique une transformation profonde des modes de fonctionnement, et une conduite du changement bien pilotée.

C’est un véritable projet pour mobiliser vos équipes en 2012 !

Cet article SIMPLICITE – « La simplicité est la sophistication suprême ». Léonard de Vinci est apparu en premier sur RiskInsight.