Définir les ambitions et cadrer la gouvernance

Le bilan cybersécurité et son benchmark ont permis de positionner le niveau de sécurité actuel de l’organisation, reste maintenant à définir la cible à atteindre et les moyens nécessaires pour le faire. S’engage alors un travail avec les équipes cybersécurité, de la DSI et évidemment du sponsor de niveau comité exécutif ! La cible peut prendre de nombreuses formes mais elle doit dans tous les cas répondre à des enjeux métiers clairs et concrets. « Disposer globalement d’un niveau de sécurité au-dessus de la moyenne pour éviter les attaques les plus fréquentes », « Protéger les données des clients grand-publics », « Assurer la reprise de la production des usines en moins de 4 jours en cas de cyberattaques », pour des structures plus mûres « Rationaliser les investissements cyber en dégageant 20% d’économie à niveau de risque égal » voici quelques exemples d’ambitions rencontrées sur le terrain. C’est au moment de cette définition de la cible que l’on peut adopter une approche basée sur les risques, par exemple avec des cibles différentes entre les métiers ou les entités ; une approche réglementaire en ayant des niveaux différents en fonction des contraintes métiers ou une approche globale.

Chaque cible fera l’objet d’indicateurs de performances ou de risques (KPI/KRI) pour concrétiser la manière dont l’avancement sera mesuré. Ces ambitions sont ensuite traduites en un positionnement concret sur un référentiel de cybersécurité, par thématique et par périmètre. Le plus simple consiste évidemment à reprendre les résultats du benchmark précédent mais l’utilisation d’un autre référentiel est possible. Attention, cependant il va être utilisé pendant toute la durée du programme pour suivre le progrès et piloter les différentes équipes et entités, prévoyez donc une durée de vie d’au moins 2 ans ! La définition du référentiel et des indicateurs est une étape clé pour réussir son programme, prévoyez d’y consacrer du temps, il ne s’agit pas de lancer immédiatement plein de projets techniques sans y mettre la cohérence nécessaire.

Pour le pilotage de ce programme, le RSSI devra savoir s’entourer. Les filières SSI ont rarement l’expérience de porter de telle transformation et des enjeux budgétaires de ce niveau. Une bonne pratique consiste à identifier au sein de l’organisation un directeur de programme expérimenté, habitué aux rouages de l’organisation et à créer un binôme avec le RSSI. Les compétences des deux profils se compléteront naturellement, d’un coté avec l’expertise sécurité, de l’autre avec l’expertise de pilotage d’ampleur. Le choix du binôme est aussi un facteur clé de succès important, n’hésitez pas à y consacrer du temps !

Construire les budgets sur des axes clairs et savoir engager les dépenses

Après avoir reçu l’accord de principe, il faut maintenant structurer clairement l’engagement budgétaire à prévoir. A nouveau, l’enjeu majeur dans la relation avec le comité exécutif sera de faire une proposition claire et précise. Les acronymes, code projets et autres termes abscons sont à bannir. La structure d’une stratégie simple « Protéger l’environnement de travail numérique », « Chiffrer et éviter les fuites des données critiques », « Détecter les attaques sur nos actifs clés » sont quelques exemples de termes utilisés avec succès. La structuration d’un programme autour de 4 ou 5 axes, regroupant une trentaine de projets est un maximum à avoir en tête. Au-delà le reporting et le suivi deviendront trop complexes.

A noter qu’il faudra se rompre à l’exercice budgétaire évidemment sur les actions de construction (« build ») mais aussi sur les coûts additionnels de fonctionnement (« run ») sans cela, la belle remédiation ne tiendra pas longtemps… L’identification également des éléments RH (nombre de recrutements/mobilités, formations à prévoir, évolution salariale, évolution des relations hiérarchiques dans les entités ou les filiales…) sont des éléments clés à cranter dans le programme pour s’assurer de sa pérennité dans le temps. C’est clairement le bon moment pour créer une vrai filière cyber dans l’organisation et la faire piloter par un « Chief operating officer » comme toute filière majeure.

La préparation de ces différents éléments budgétaires devra également prendre en compte la difficulté observées depuis maintenant plusieurs années à pouvoir engager les budgets obtenus. Le marché est en manque criant d’expertise cyber et beaucoup de projets doivent être décalés dans le temps. Il est bon de prendre une marge de manœuvre dans le cadrage des plannings pour intégrer cette situation qui va perdurer. La temporalité d’un programme classique « année 1 cadrage, année 2 réalisation, année 3 contrôle » doit être revue pour plutôt fonctionner par vague de projets de plus petite taille et enclenchée au fil de l’eau. En résumé, il vaut mieux avoir 5 vagues de 5 projets qui aboutissent plutôt que de lancer 25 cadrages simultanément !

A noter également que ces budgets et les priorités vont devoir être revus annuellement, la menace cyber étant très dynamique, il est important de garder des lignes budgétaires souples pour s’adapter à une évolution de la menace inédite comme nous en avons connu ces dernières années.

Montrer le progrès au comité exécutif !

Une fois le programme lancé, l’enjeu sera de montrer au comité exécutif l’avancement et les effets sur les niveaux de risques. Un reporting clair, utilisant des termes simples et lié au référentiel utilisé, ajoutant une vision sur l’avancement des projets et la progression du niveau de risque, doit être prévu de manière trimestrielle voir semestrielle. Pour cranter directement le passage en mode régulier de ce reporting, il pourra être intéressant d’ajouter des indicateurs opérationnels liés au niveau de sécurité. L’enjeu étant à terme de garder un échange au moins semestriel avec le comité exécutif pour maintenir le niveau d’attention sur le sujet cyber. Ces échanges dans la durée peuvent s’articulier avec deux rendez-vous annuels, un autour des risques (évolution de la menace et des risques pesant sur l’organisation), l’autre sur les investissements (effets de projets, enjeux budgétaires et RH de l’année suivante).

Finalement, les structures les plus avancées et celles dont le cœur de métier reposent sur le numérique, peuvent envisager d’utiliser leurs investissements en cybersécurité comme des différenciateurs métiers ! Aujourd’hui les exigences cybersécurité des clients, grand public comme professionnels, augmentent rapidement et il est possible, voire souhaitable, de valoriser les investissements réalisés pour montrer que le sujet de la cybersécurité est une priorité de l’organisation ! Et pour certaines structures, la cybersécurité pourra même devenir un centre de profits, ce qui changera clairement les discussions avec le comité exécutif.

Cet article Créer une relation de confiance avec son comité exécutif : étape 3, concrétiser la transformation ! est apparu en premier sur RiskInsight.

La couverture des risques dans la durée

Le durcissement des équipements

En complément d’une architecture et d’un outillage d’administration sécurisés, il convient d’élever le niveau de sécurité de chaque équipement en appliquant un principe de strict nécessaire. Un guide de durcissement générique peut être créé et adapté à chaque technologie identifiée lors de la cartographie du SI Industriel. Celui-ci permet de remédier à une partie des vulnérabilités présentes au niveau des configurations et des systèmes.

L’utilisation de solutions complémentaires peut également apporter un surplus de sécurité :

• Les antivirus connectés au réseau ou non (impliquant une mise à jour manuelle) vont couvrir les postes industriels contre les virus les plus communs ;
• La mise en place de règles strictes sur les pare feux locaux des machines va empêcher les communications, et donc intrusions, sur les ports inutilisés, et filtrer l’origine des flux en fonction des protocoles utilisés, permettant de mieux détecter des tentatives d’attaques ;
• Des solutions de gestion des comptes administrateurs locaux (par exemple LAPS pour Windows) peuvent enfin permettre de gérer les comptes administrateur natifs des postes de manière centralisée et individualisée.

Il arrive cependant qu’il ne soit plus possible de durcir un équipement du fait de sa vétusté, il faut alors travailler avec le Métier sur la gestion de l’obsolescence des équipements, sur leur éventuel remplacement et en dernier recours sur les capacités à les isoler du reste du SI. Des bloqueurs de configuration pourront également permettre, sur des postes vétustes, de restreindre l’installation et l’utilisation de composants à ceux uniquement nécessaire.

Il est important de rappeler que le SI Industriel souffre de certaines vulnérabilités, mais est avant tout l’outil de production du Métier. Le dialogue avec ces équipes est donc primordial à la compréhension de l’utilisation qu’ils en font afin de résoudre ces vulnérabilités en limitant les conséquences au maximum pour le métier.

Le maintien en conditions de sécurité

Lorsque les équipements atteignent le bon niveau de sécurité, il faut prévoir son maintien dans le temps. Différents scénarios de gestion des correctifs de sécurité ou « patchs » peuvent être définis pour répondre également aux besoins du Métier (disponibilité, intégrité) et synchronisés avec la maintenance industrielle :

1. Intégration dans les processus nominaux d’exploitation (par exemple : les processus de qualification / qualité d’une installation peuvent imposer que les équipements soient à jour). La mise à jour et l’administration des équipements tireront ainsi profit des arrêts industriels d’autant plus si une re-certification est nécessaire.

2. Préparation d’un processus de mise à jour « à chaud » en cas de faille de sécurité critique et d’un processus d’isolation préventive d’une ligne de production le temps que le procédé puisse être interrompu ;
3. Identification des équipements redondants ou périphériques sur lesquels une intervention avec simple information des responsables de sites est possible.

Afin de mettre en place ces process de patch, la cartographie réalisée précédemment doit faire apparaître un inventaire précis des équipements devant inclure :

• L’identification des équipements, leur type, localisation et nombre ;
• Les procédés industriels pour lesquels ils sont utilisés et la criticité associée ;
• Le système d’exploitation/lefirmware, les outils et la configuration ainsi que la mention des versions déployées ;
• Les besoins en termes de cybersécurité au regard des procédés supports ;
• La disponibilité de redondance, de mise en tampon des données et de cold spare ;
• La fréquence de patch requise et l’historique de patch.

Le maintien du niveau de sécurité ne se base pas uniquement sur l’application de correctifs de sécurité sur les équipements. Il convient également de :

• Définir le processus de mise à jour des solutions de sécurité installées sur les équipements coupés du réseau ;
• Installer des solutions de nettoyage de média amovibles qui restent très présents sur les sites industriels – certains produits ont l’avantage d’être portables et donc d’analyser le média pendant le déplacement à l’intérieur du site industriel ;
• Assurer la sauvegarde des configurations des équipements et leurs intégrations au DRP afin de garantir une remise en route post-incident qui réponde aux besoins de disponibilité ;
• Mettre en place un suivi de l’IAM[1] Industriel afin d’avoir un contrôle d’accès physique et logique robuste. Cette action permettra aussi d’automatiser de nombreuses actions fastidieuses de revue de comptes parfois encore faites à la main.

La détection des incidents de cyber sécurité

Les mesures citées précédemment permettent de réduire la probabilité d’occurrence des risques et donc d’augmenter la disponibilité des équipements pour le Métier. Il faut néanmoins se préparer au pire et avoir les outils nécessaires à la détection d’un incident pour le remédier au plus vite et garantir un temps d’interruption réduit au maximum.

La mise en place de la détection

La première étape à réaliser est l’activation des fonctions IDPS[2] sur les équipements réseaux afin d’assurer un premier stade de détection et potentiellement de blocage automatique.

Il s’agit ensuite d’assurer la collecte d’informations en déployant un concentrateur sur site. Les logs des équipement réseaux et serveurs pourront ainsi être envoyés aux SIEM[3] existants ou dédiés dans lesquels se feront corrélation et détection. Les SOC[4] et CERT[5] peuvent alors réaliser les opérations d’analyse, de détection et éventuellement de réaction sur incident en se basant sur des scénarios classiques.

L’anticipation de risques spécifiques

Cependant, la détection basée sur des scénarios classiques n’apportera que peu de valeur aux métiers. La prise en compte de l’ensemble des sources (PC, Linux, UNIX…) et la mise en place de sondes dédiées aux SI Industriels capables de s’interfacer avec des systèmes SCADA peut permettre d’améliorer le système de détection. Toutefois, ces solutions peuvent s’avérer coûteuses.

L’élément clé consistera ici à assurer une montée en maturité et en valeur incrémentale et rapide du SOC.

Se préparer à la remédiation

Pour finir, la détection d’un incident ne pourra aboutir à une remédiation efficace que si le Métier est inclus. Tout comme pour les mises à jour d’équipements, il convient donc de revoir les procédures d’arrêt d’urgence avec les utilisateurs du SI Industriel. La formalisation d’un Plan de Réponse à Incident permet de planifier les actions à mener en cas d’incident cyber-industriel.

Des exercices de gestion de crise dédiés au SI Industriel doivent également être menés pour assurer une préparation optimale des équipes et mettre en lumière les éventuels manques.

Une approche progressive et participative garantira le succès de la démarche

La mise en conditions de sécurité d’un SI Industriel est un chantier complexe qui ne peut être faite qu’avec le Métier. Il convient donc de travailler avec lui de manière progressive et participative sur chacun des chantiers suivants :

• Prendre connaissance de son SI Industriel en réalisant une cartographie en priorisant les éléments les plus critiques ;
• Mitiger les risques sur le SI Industriel en mettant en place l’état de l’art de l’architecture réseau sécurisée et définir les processus d’administration – les SI de Sûreté, par leur criticité, devront faire l’objet d’une attention particulière ;
• Atteindre un niveau de sécurité adéquat par le durcissement et le maintien en conditions de sécurité des équipements dans le temps – des discussions pourront notamment avoir lieu avec les fournisseurs et constructeurs d’équipements ;
• Mettre en place les outils nécessaires à la détection d’incident de sécurité, qui peuvent avoir une influence sur la production, et définir les processus de réaction.

Toutes ces actions ne peuvent pas toujours être menées en parallèle. La définition d’une feuille de route claire va permettre la priorisation des différentes actions pour pouvoir maitriser les coûts et maximiser l’apport pour le Métier.

Si ce vaste chantier est souvent initialisé en central, l’enjeu reste de pouvoir embarquer les sites, parfois répartis dans le monde entier, pour assurer une sécurité pérenne dans le temps. Nous observons, en général, une démarche en deux temps :

1. Un programme cybersécurité pluriannuel (souvent 3 ans) pour un budget de 10 à 15 millions d’euros visant à :

• Réaliser l’inventaire des SI Industriels ;
• Élever le niveau de sécurité du parc existant par la mise en place de protections souvent périmétriques et de filtrage ainsi que la remédiation des vulnérabilités les plus critiques – la définition de procédures est ici nécessaire ;
• Faire émerger un premier réseau de coordinateurs cybersécurité locaux ;

2. La création d’une filière cybersécurité industrielle et de la gouvernance associée réunissant :

• Le cadrage des activités clés à piloter par les acteurs locaux ;
• La construction participative d’outils pour aider ce réseau de responsable locaux à opérer les activités de cybersécurité sur le contenu ;
• La construction des moyens de pilotage de la montée en maturité et de gestion du changement (matrices de maturité, outils de modélisation budgétaire par site, définition d’indicateurs de pilotage, services centraux consommables par les sites…).

La mise en place de la gouvernance peut démarrer après le programme et tirer ainsi profit du premier réseau de correspondants sensibilisés à la cybersécurité bâti par le programme.

Une fois construite, il s’agit ensuite de l’animer et de piloter la progression des sites et des systèmes industriels à la fois en termes de niveau de sécurité et de niveau de maturité.

Cette animation réunit en général :

• Un réseau responsables cybersécurité locaux de 0,5 à 2 ETP[6] par site en charge de réaliser les projets, d’implémenter les activités récurrentes de cybersécurité, d’améliorer continuellement la sécurité et de reporter ;
• Une équipe centrale de 3 à 10 ETP pilotant globalement et appuyant les responsables locaux notamment en termes d’expertise.

[1] IAM i.e. Identity and Access Management.

[2] IDPS i.e. Introduction Detection and Prevention Systems.

[3] SIEM i.e. Security Incident and Event Management.

[4] SOC i.e. Security Operation Center.

[5] CERT i.e. Computer Emergency Response Team.

[6] Ces chiffres peuvent varier significativement en fonction de la taille de l’entreprise et du nombre de sites locaux, il s’agit d’une moyenne observée dans de grandes organisations internationales que Wavestone accompagne.

Cet article Saga (3/3) – Retours d’expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI Industriels est apparu en premier sur RiskInsight.