Rappel de ce qu’est une subscription Azure

Une subscription Azure (en français abonnement) est un conteneur de ressources et de services cloud associé à un tenant, qui permet de gérer la facturation, les accès et le déploiement des ressources Azure.

Architecture des ressources sur Azure

Fonctionnement de l’attaque 

Sur Microsoft Azure, on considère la situation de départ suivante : 

• Il y a une organisation légitime (tenant victime), qui contient ou non une subscription. 
• Il y a une organisation malveillante (tenant de l’attaquant) sous le contrôle d’un attaquant. 

L’attaque suit alors les 4 étapes suivantes : 

Etapes de l’attaque Azure

1. L’attaquant doit être présent dans les deux organisations : Il compromet donc un administrateur interne au tenant victime pour faire inviter son compte externe dans le tenant, ou bien il convainc un administrateur non compromis de se faire inviter, sous un prétexte quelconque. Dans les deux cas, l’administrateur l’invite dans le tenant victime. 
2. L’attaquant prend pour cible une subscription existante ou bien en crée une nouvelle lui-même (ce qui nécessite des permissions), associé à un compte de facturation existant. 
3. L’attaquant obtient le rôle Owner sur la subscription visée. S’il l’a créée lui-même, il l’est déjà par défaut, sinon il doit le recevoir d’un administrateur. 
4. L’attaquant effectue le transfert de la subscription de l’organisation de départ à l’organisation d’arrivée. 

La subscription est désormais sous le contrôle complet de l’organisation de l’attaquant et peut facturer l’ancien compte de facturation.  

Pourquoi cette attaque est dangereuse ? 

Cette attaque est potentiellement très dangereuse car elle est instantanée à réaliser si les conditions sont réunies, donne à l’attaquant un contrôle complet sur la ressource et son éventuel contenu, et est irréversible sans intervention du support. 

Une attaque instantanée 

Par défaut, n’importe quel utilisateur Owner sur une subscription Azure, qui est également présent dans un autre tenant, peut effectuer le transfert sans restriction. 

Des conséquences multiples et potentiellement irréversibles 

La subscription passe sous le contrôle du tenant malveillant qui l’a récupérée. Il peut donc : 

• Avoir le contrôle total dessus tandis que l’utilisateur d’origine n’y a plus accès 
• En extraire toutes les ressources ou informations 
• L’utiliser en faisant facturer l’utilisation à l’ancien moyen de facturation appartenant au propriétaire légitime 

Note : Un intérêt du subscription hijacking est d’amener les ressources dans son propre environnement hors de contrôle du propriétaire légitime, pour s’en servir à son propre compte ou pour facturer des nouvelles utilisations à l’ancien propriétaire. Cependant, un simple transfert sans utilisation entraîne déjà des conséquences importantes : l’utilisateur aura perdu sa subscription, et donc aura perdu toutes les ressources, mais également la structure (rôles, assignations, règles), qui peut être très longue à reconstruire. 

Si le propriétaire légitime peut bloquer la facturation une fois qu’il réalise ce qu’il se passe, il n’y a en revanche pas de moyen de récupérer la subscription si l’attaquant a retiré tous les anciens Owner de celle-ci. La seule alternative devient alors de se tourner vers le support de Microsoft. 

L’article suivant de Derk van der Woude décrit un cas de minage de cryptomonnaies effectué avec des subscriptions volées et facturé à l’ancien propriétaire : 

https://derkvanderwoude.medium.com/azure-subscription-hijacking-and-cryptomining-86c2ac018983 

Comment s’en protéger ? 

Pour se protéger d’un transfert illégitime de subscription, il existe des mesures préventives que l’on peut citer pour prévenir chaque étape de l’attaque : 

Mesures préventives 

1. Accès de l’attaquant aux ressources : politiques d’accès conditionnelles

Les politiques d’accès conditionnel basées sur le risque permettent de renforcer automatiquement la sécurité en adaptant les contrôles selon le niveau de risque détecté lors d’une connexion ou associé à un utilisateur. Elles permettent par exemple de bloquer les accès suspects ou d’imposer une authentification multi facteur (MFA). Ainsi, l’accès d’un invité suspect pourrait être bloqué. 

      2. Montée en privilège/obtention du rôle Owner : gestion des identités privilégiées 

La gestion des identités privilégiées (Privileged Identity Management, PIM)​ permet d’accorder des rôles à privilèges élevés seulement quand cela est nécessaire, via une élévation temporaire, approuvée et justifiée. Il réduit ainsi les risques liés aux permissions excessives grâce au contrôle, au suivi et aux notifications d’activation. 

      3. Transfert de la subscription : politique de subscription (subscription policy) 

Une subscription policy permet de bloquer le transfert d’une subscription Azure vers ou hors du tenant afin d’éviter les détournements. Elle s’implémente via Azure Policy en définissant puis assignant une règle qui restreint les actions de transfert, avec des revues régulières pour garantir son efficacité. Elle s’applique à toutes les subscriptions se trouvant dans son scope d’assignation. 

Solutions de détection 

Certaines solutions permettent de détecter cette attaque sur Microsoft Azure : 

• UEBA (Sentinel) : détecte les comportements anormaux (connexions inhabituelles, accès sensibles, modifications inattendues). Cela permet d’identifier rapidement un compte compromis avant qu’il ne puisse détourner une subscription. 
• Privileged Identity Management (PIM)​ : contrôle les élévations de privilèges et peut déclencher des alertes en cas d’activation d’un rôle privilégié. 
• Alerte Sentinel personnalisée : Peut surveiller spécifiquement les événements indiquant un transfert de subscription. La règle analyse régulièrement les logs AzureActivity et déclenche immédiatement une alerte lorsqu’une opération suspecte comme le déplacement d’une subscription est détectée. 

Stratégie de résilience 

La stratégie de résilience à mettre en place est une sauvegarde (backup) des ressources qui permet de les restaurer en cas de détournement effectif de la subscription. 

1. Isoler les sauvegardes Azure Backup dans une subscription dédiée réservé aux backups avec des règles de sécurité strictes 
2. Protéger les sauvegardes : activer le soft delete (pas de suppression définitive immédiate), la suppression réversible, l’immutabilité (empêche la modification ou la suppression pendant une période), des verrous anti-suppression 
3. Multiplier les copies, éventuellement vers un autre tenant 
4. Sauvegarder également la gouvernance (configurations Entra ID via Microsoft 365 DSC, configuration d’infrastructure avec Terraform) 
5. Automatiser la reconstruction avec l’infrastructure-as-code (Blueprints, ARM, Terraform) 
6. Tester régulièrement les backups 

Réaction à l’attaque 

Subir cette attaque revient à perdre sa subscription Azure. Auquel cas, les options sont limitées. Il faut très rapidement : 

• Bloquer les accès de l’attaquant et révoquer les éventuels secrets compromis dans l’attaque 
• Contacter le support Microsoft Billing pour bloquer la facturation 
• Contacter le support Microsoft (technique/Azure) pour tenter de récupérer la subscription 

Et sur les autres providers ? (AWS et GCP) 

Une fois cette attaque identifiée sur Azure, la question de son existence (ou d’un équivalent) sur AWS et GCP se pose alors. Le concept de subscription n’existe pas en tant que tel sur ces deux fournisseurs cloud, cependant, des unités hiérarchiques équivalentes jouent le même rôle. S’il était possible de les migrer vers une autre organisation AWS et GCP de manière illégitime, ce serait un équivalent du subscription hijacking sur ces fournisseurs.  

AWS : un équivalent possible mais avec des conditions distinctes 

Sur AWS, l’équivalent hiérarchique de la subscription est le compte AWS : un compte AWS, présent dans une organisation, contient des utilisateurs IAM, des ressources et c’est à son niveau que la facturation est gérée, si elle n’est pas consolidée par le compte de gestion. 

Le but d’un attaquant serait donc ici de faire migrer ce compte AWS vers une autre organisation. 

Chemin à suivre 

Le chemin à suivre pour effectuer la migration est le suivant : 

Etapes de l’attaques AWS 

Un compte AWS contient : 

• Un utilisateur root, unique, qui dispose de tous les droits sur le compte 
• Des utilisateurs IAM disposant de droits IAM attribués

Dès lors, deux stratégies sont envisageables pour l’attaquant : parvenir à compromettre le root (auquel cas il peut effectuer toute action) ou réussir à monter en privilèges sur un utilisateur IAM classique. Cependant, l’approbation du root reste requise pour l’étape 1 (il peut par exemple avoir été manipulé pour effectuer cette action). De plus, si des guardrails ou des stratégies de contrôle des services (Service Control Policies) sont appliqués, le compte root doit toujours valider l’opération. Par conséquent, un utilisateur IAM, même avec des droits élevés, ne peut pas toujours migrer un compte de manière autonome. 

Des conséquences similaires à l’attaque Azure ? 

Il est établi que sur Azure, le transfert de la subscription entraînait une perte de contrôle totale sur celui-ci. Ici, sur AWS, deux nuances sont à introduire : 

• D’abord, comme le montre le schéma précédent, la facturation doit impérativement être changée (vers un mode de facturation indépendant) pour permettre la migration du compte sur une autre organisation, ce qui élimine le risque de se voir facturer des services par l’attaquant après la migration
• Ensuite, dans le cas théorique où c’est un utilisateur IAM non-root qui a réalisé la migration du compte (en ayant recueilli toutes les permissions nécessaires), alors cet utilisateur n’a pas un contrôle total sur ce compte, même en le laissant indépendant (standalone), ou en le faisant rejoindre une organisation sous son contrôle. Les comptes AWS ont en effet une forte indépendance, et le fait d’avoir un compte AWS dans son organisation ne permet pas d’en faire ce que l’on souhaite (accéder à certaines ressources, le supprimer) si l’on ne dispose pas du root

Conclusion 

Si l’attaque semble théoriquement possible sur AWS, elle nécessite plus de conditions et entraîne moins de conséquences négatives définitives que sur Azure. En définitive, le seul moyen de prendre le contrôle total d’un compte AWS reste de disposer de son root. 

GCP : un équivalent possible mais plus difficile à réaliser 

Sur GCP, l’architecture est plus proche d’Azure. L’équivalent de la subscription Azure est le projet GCP. Ici, le but de l’attaquant serait donc de faire migrer un projet d’une organisation GCP à une autre.  

Chemin à suivre 

Les étapes à suivre pour effectuer la migration sont les suivantes : 

Etapes de l’attaque GCP 

Des conséquences similaires à l’attaque Azure ? 

Les conséquences en cas de migration de projet GCP sont les mêmes que pour une subscription Azure : une perte de contrôle totale sur l’élément, et le risque de se voir facturer une utilisation de l’attaquant si la facturation n’a pas été modifiée. 

Conclusion 

Un détournement de ressources similaire au subscription hijacking visant Microsoft Azure est donc théoriquement possible sur GCP. Les conditions plus strictes qui sont nécessaires rendent cependant ce cas moins probable, mais il doit être considéré. 

Résumé des conséquences 

Résumé des conséquences

Conclusion 

Le subscription hijacking doit donc être considéré comme une attaque d’importance aux conséquences graves et à fort impact pour les organisations ou entreprises touchées. Protéger les unités hiérarchiques gérant la facturation et les ressources contre tout déplacement ou migration illégitime (les mesures vont varier suivant le fournisseur cloud visé), et prévoir des processus de remédiation et de sauvegarde en cas de perte est crucial pour la sécurité d’une organisation. 

Cet article Le subscription hijacking sur Microsoft Azure  est apparu en premier sur RiskInsight.

Les attaques impliquant ces chaînes d’approvisionnement introduisent de nouveaux risques dans les systèmes d’information. Des intrusions peuvent entraîner des fuites de propriété intellectuelle, des altérations de code source, des interruptions de service ainsi que des élévations de privilèges vers des parties plus critiques du SI.  

Quels sont donc ces nouveaux vecteurs d’attaques sur les chaînes CI/CD et comment s’en protéger ? Cet article vise à dresser un panorama de chemins de compromission observés sur le terrain, ainsi que des recommandations pour les contrer. 

Quels risques pour les chaînes CI/CD ? 

L’attaque de SolarWinds en 2020 est un exemple qui ne cesse d’être énoncé, mais qui a mis en lumière l‘ampleur qu’une attaque de ce type peut causer. Après avoir vraisemblablement volé des identifiants FTP laissés en clair dans un ancien dépôt GitHub, l’opération a exploité la chaîne d’approvisionnement de SolarWinds en insérant un beacon C2 (Command & Control) dans leur logiciel de gestion réseau, Orion, en amont du processus de signature. 

Cette backdoor a permis aux attaquants d’accéder aux réseaux internes de plusieurs agences gouvernementales américaines et entreprises privées, et ce, pendant plusieurs mois avant d’être détectée. 

Cet incident, ainsi que des plus récents comme Log4Shell, Codecov et XZ Utils, ont non seulement souligné la nécessité d’une sécurité accrue dans la chaîne CI/CD mais aussi celle d’une réponse à incident beaucoup plus adaptative. L’OWASP présente de façon concrète un panorama des surfaces de risques les plus communes dans leur Top 10 CI/CD Security. 

Fig 1 – Top 10 OWASP CICD-Sec 

Quels retours terrain chez Wavestone ? 

Les audits et tests d’intrusion permettent de détecter des vulnérabilités de façon proactive avant qu’elles ne soient exploitées par des attaquants. En simulant de réelles attaques, ces évaluations offrent une perspective pratique sur la manière dont un système peut être compromis, ce qui permet d’appréhender plus concrètement les potentielles failles dans un système. 

Les différentes interventions menées chez nos clients nous permettent de faire un constat clair : 

• Dans nos audits Cloud et CI/CD, des vulnérabilités sont systématiquement trouvées au niveau des chaînes CI/CD, permettant dans la majorité des cas de prendre le contrôle de la chaîne, des artefacts, voire des infrastructures sous-jacentes.  
• De même, au niveau de nos interventions CERT & RedTeam, nous observons que les chaînes CI/CD sont souvent utilisées comme accélérateur dans les chemins de compromission. 

Regardons ensemble deux exemples d’attaque observés par nos équipes d’audit : 

Ce premier test d’intrusion en boîte grise a permis la compromission totale d’une organisation Cloud AWS (600+ comptes) en partant de comptes standards de DevOps. 

Dans ce scénario d’attaque, 

• Un attaquant pousse du code malveillant vers un repository GitLab, déclenchant une pipeline dans GitLab CI qui déploie ce code dans un pod Kubernetes générique. 
• Ce code ouvre un reverse shell, permettant à l’attaquant de se connecter à distance à l’environnement Kubernetes. 
• Depuis ce pod, l’attaquant exploite le fait que le compte de service associé au nœud dispose de privilèges trop élevés (capacité de patcher des jetons dans le cluster) et patch le jeton du nœud administrateur par un jeton générique. 
• Quand un redéploiement est déclenché, le pod malveillant ne peut qu’être déployer sur l’ancien nœud administrateur bénéficiant toujours des droits admin. 
• Cela permet donc à l’attaquant d’obtenir des privilèges élevés et de se latéraliser dans l’infrastructure AWS, compromettant ainsi le cluster Elastic Kubernetes Service (EKS) et les ressources associées. 

Regardons maintenant un deuxième exemple : 

Fig 3 – Condensé de plusieurs typologies d’attaques observées dans les CI/CD de nos clients 

Ce condensé, présenté à la DefCon & BSides 2022, met en évidence comment différents composants d’une chaîne peuvent être utilisés dans une attaque. Retrouvez cette présentation détaillée sur les nouveaux vecteurs d’attaque liés aux CI/CD en vidéo ! 

Quelles recommandations pour sécuriser sa chaîne CI/CD ? 

La chaîne CI/CD est désormais devenue un composant systémique des systèmes d’information pouvant être utilisée afin de compromettre des ressources critiques d’une entreprise. 

Nos recommandations en matière de sécurité de la chaîne CI/CD peuvent être articulées autour de trois grands axes : la gestion des identités et des accès (IAM), une meilleure conception de la chaîne CI/CD, ainsi que sa surveillance. Ces recommandations suivent notamment le guide DevSecOps de l’ANSSI. 

Fig 4 – Trois grands axes de recommandations pour sécuriser une CI/CD 

Gestion des identités et accès (IAM) 

Fig 5 – Recommandations IAM

Gestion des identités 

Outre les règles traditionnelles de gestion du cycle de vie des identités, il est recommandé d’utiliser systématiquement du Single-Sign On (SSO) avec authentification multifacteur (MFA) afin de réduire significativement le risque d’intrusion en CI/CD. Cela assurerait par exemple que les utilisateurs qui accèdent aux dépôts de code, qui signent un commit ou effectuent tout autre action privilégiée soient légitimés. 

Contrôle des accès 

Il est nécessaire de limiter au maximum les droits des utilisateurs et des comptes de service selon leur fonction dans la chaîne CI/CD, toujours en suivant le principe du moindre privilège. Les comptes sans mot de passe gérés par jetons d’accès doivent également être soumis à une gouvernance claire, avec des règles de cycle de vie, de rotation et de recertification régulière pour réduire les risques liés à leur utilisation. 

Cela peut aussi se faire en passant par du contrôle d’accès basé sur les rôles (RBAC). Par exemple, il ne serait pas utile de manière générale de donner un accès en écriture sur la configuration de la chaîne en elle-même à un développeur travaillant sur un projet spécifique. 

De la même façon, il est pertinent de segmenter ses projets en utilisant différents dépôts de code et de s’assurer que le compte orchestrateur d’un projet n’ait pas des droits excessifs sur le déploiement des projets auxquels il n’est pas rattaché. 

Gestion des secrets 

Les secrets en CI/CD désignent des données sensibles telles que des mots de passe, des clés d’API, des certificats ou des jetons d’accès. Ces secrets permettent notamment d’effectuer des actions privilégiées dans les pipelines et doivent être récupérés de façon automatique. 

Des éditeurs comme HashiCorp proposent des solutions de gestionnaires de secrets pour stocker facilement ses données sensibles et les chiffrer en transit et au repos.  

Conception de la CI/CD 

Fig 6 – Recommandations sur la conception d’une CI/CD 

Segmentation des environnements 

Il est nécessaire de préserver le cloisonnement entre les utilisateurs, les applications et l’infrastructure pour minimiser les impacts en cas de compromission. Reprenant des conseils de l’ANSSI, il faut considérer les actions réalisées par la chaîne CI/CD de production comme des actions d’administration et réduire au maximum le nombre d’utilisateurs pouvant y accéder. De plus, il est nécessaire d’utiliser du chiffrement bout à bout et de s’assurer qu’aucun environnement n’est exposé sur internet. 

Intégration d’outils tiers 

De la même manière que l’attaque SolarWinds, un grand nombre d’attaques de type supply-chain sont à l’origine un composant tiers compromis dans une chaîne CI/CD. Ces outils tiers sont souvent indispensables au bon fonctionnement des chaînes d’approvisionnement, ils peuvent aller d’un simple add-on sur un espace de développement, jusqu’à un outil de contrôle de version ou un orchestrateur. 

Généralement, ces outils se voient accorder des droits leur permettant d’accéder à des ressources sensibles ou d’effectuer des actions spécifiques au sein de la chaîne CI/CD. Si une vulnérabilité sur un outil n’est pas patchée et est exploitée par un attaquant, la capacité d’intervention sera limitée car la résolution de la faille dépendra souvent du fournisseur de l’outil. Il convient donc d’adopter une gouvernance stricte et un processus de Third-Party Cyber Risk Management (TPCRM) pour ces outils tiers. 

Gestion des artefacts 

Pour éviter de stocker des artefacts malveillants, il est recommandé de les signer en amont de la chaîne pour assurer leur intégrité en vérifiant cette signature au moment de leur déploiement. De la même façon, il faut s’assurer de ne pas déployer des librairies malveillantes en réalisant des scans Software Composition Analysis (SCA) régulièrement. 

Surveillance de la chaîne  

Fig 7 – Recommandations de surveillance 

Journalisation et détection 

Garder un haut niveau de visibilité et de contrôle sur tous les composants de la chaîne permet d’assurer une maintenance plus facile et une réponse plus rapide en cas d’attaque.  

Premièrement, il faut mettre en place une stratégie de journalisation adaptée, en maintenant des logs contenant uniquement ce qui est utile à la traçabilité et la responsabilité en cas d’incident. Il faut aussi s’assurer de stocker ces logs de façon sécurisée, ne pas y laisser des secrets en dur, ainsi que les partager efficacement à son Security information and Event management (SIEM). 

Aussi, pour réévaluer sa posture de sécurité et limiter au maximum les possibles chemins de compromission du pipeline CI/CD, des audits et des tests d’intrusion réguliers sont nécessaires.  

Réponse à incident 

Enfin, il faut s’assurer d’inclure sa chaine CI/CD dans ses plans de réponses à incident au même titre que n’importe quel autre périmètre de son système d’information. Il convient par exemple d’avoir des sauvegardes de son code source et ses configurations ainsi que des plans de continuité d’activités en cas de panne d’un outil. 

En conclusion 

Les chaînes CI/CD sont devenues une véritable pierre angulaire dans les systèmes d’information. Ces composants systémiques sont aujourd’hui indispensables pour développer et déployer des applications. Pourtant, leur criticité dans les SI appelle à mettre en place des mesures de sécurité adaptées pour qu’elles ne deviennent pas un vecteur d’attaques.  

Fig 8 – Quelques composants systémiques et critiques en CI/CD 

Outre les recommandations de cet article, d’autres mesures préventives peuvent se traduire plus précisément par des guides de durcissement pour des outils particuliers d’une chaîne. L’adoption d’une stratégie pertinente de formation des utilisateurs ainsi que de conduite du changement est aussi nécessaire pour réussir ces transformations.  

Un grand merci à Jeanne GRENIER pour sa précieuse contribution à la rédaction de cet article.

Cet article CI/CD : la nouvelle pierre angulaire du SI ?  est apparu en premier sur RiskInsight.

Contrairement à l’IA traditionnelle, qui possède une autonomie limitée, les agents IA sont capables de planifier leurs actions de manière autonome, en s’appuyant sur la compréhension de leur environnement pour atteindre des objectifs définis dans leur périmètre d’actions. Cette montée en puissance est directement liée à l’intégration des LLMs (Large Language Models) dans leurs systèmes, leur permettant de traiter des entrées complexes et de lancer des actions en simulant le raisonnement humain.

L’impact attendu est considérable : d’ici 2028, l’IA agentique pourrait automatiser 15% des décisions récurrentes[1] et être intégrée à 33% des applications d’entreprise — contre quasiment aucune aujourd’hui. À l’horizon 2029, l’IA agentique pourrait résoudre de manière autonome jusqu’à 80 % des demandes courantes en service client, réduisant les coûts jusqu’à 30 %.[2]

En parallèle, la perception des risques évolue. Début 2024, Gartner a interrogé 345 responsables du risque, qui ont identifié deux principales menaces émergentes : les activités malveillantes pilotées par l’IA et la désinformation.[3]

Cette tension entre le potentiel immense de l’IA agentique et l’élargissement de la surface de risque qu’elle implique soulève une question essentielle :

« Comment les organisations peuvent-elles déployer l’IA agentique à grande échelle en toute sécurité, en équilibrant l’innovation avec la responsabilité, et l’automatisation avec le contrôle ? »

Cet article explore cette question, en soulignant les risques clés, les principes de sécurité et les conseils pratiques pour aider les RSSI et les leaders technologiques à naviguer dans la prochaine vague d’adoption de l’IA.

Un agent IA, un système d’IA autonome dans la prise de décision

Au sein des systèmes d’IA, les agents sont conçus pour traiter les stimuli externes et y répondre par des actions spécifiques. Les capacités de ces agents peuvent varier de manière significative, en particulier selon qu’ils sont ou non alimentés par des LLM.

Les agents traditionnels suivent généralement un flux de travail basé sur des règles préprogrammées : ils reçoivent des données, les classifient et exécutent une action prédéfinie.

Figure 1 : Un diagramme montrant les différentes parties constitutives d’un agent doté de LLM, montrant 1) les stimuli externes, 2) les processus de base des agents (raisonnement et outils) et 3) les actions de l’agent.

Les agents IA introduisent une nouvelle dimension en incorporant un (ou plusieurs) LLM pour effectuer le raisonnement et la prise de décision entre la perception et l’action. Cela rend les réponses plus flexibles et adaptées au contexte et, dans de nombreux cas, permet aux agents IA de se comporter davantage comme des intermédiaires humains.à

Comme illustré dans la figure 1, un agent IA traite les informations en plusieurs étapes :

1. Perception : L’agent IA reçoit des stimuli externes, tels que du texte, des images ou des sons.
2. Raisonnement : Ces entrées sont traitées par une couche d’orchestration, qui les transforme en formats structurés à l’aide de règles de classification et de techniques d’apprentissage automatique. Le LLM joue ici un rôle central. Il ajoute une couche de réflexion adaptative qui permet à l’agent d’analyser le contexte, de sélectionner des outils, d’interroger des sources de données externes et de planifier des actions en plusieurs étapes.
3. Action : Avec des données affinées et une couche de raisonnement appliquée, l’agent exécute des tâches complexes, souvent avec une plus grande autonomie que les systèmes traditionnels.

Cette architecture donne aux agents IA la capacité d’opérer dans des environnements dynamiques. Ils peuvent ainsi s’adapter en temps réel et collaborer avec d’autres agents ou systèmes, ce qui constitue un élément clé de différenciation par rapport à l’automatisation antérieure, plus statique.

En résumé, les agents IA dotés d’un LLM peuvent réaliser des actions plus complexes en appliquant une forme de raisonnement similaire à de l’intelligence humaine – un « raisonnement d’IA ». Les inputs sont transformés puis affinés, ce qui les rend plus puissants et plus polyvalents que des agents traditionnels qui profitent du RPA (Robotic Process Automation).

Retour d’expérience terrain sur l’usage des agents IA chez nos clients

Les entreprises ont reconnu à juste titre le potentiel de ces agents IA dans une variété de cas d’usage, allant du plus simple au plus complexe. Plongeons-nous dans le détail des cas d’usage les plus courants, en les différenciant par leur niveau d’autonomie.

Cas d’usage standard : Chatbot / agents virtuels

Les agents IA peuvent être configurés pour fournir des réponses instantanées à des questions complexes et ne répondre qu’à partir de certains référentiels d’information. Cela leur permet de guider les utilisateurs de manière fluide et efficace à travers des bibliothèques SharePoint (ou autres référentiels de documents). Agissant à la fois comme une fonction de recherche et comme un assistant, ces agents peuvent améliorer considérablement la productivité des employés en réduisant le temps passé à rechercher des informations et en garantissant aux utilisateurs un accès rapide aux données dont ils ont besoin. Par exemple, un chatbot intégré à SharePoint peut aider les employés à localiser des documents spécifiques, à comprendre les politiques de l’entreprise ou même à contribuer aux processus d’intégration en fournissant des informations et des ressources pertinentes. Ces agents ont peu d’autonomie et ne font que répondre directement aux demandes formulées par les utilisateurs.

Cas d’usage intermédiaires : Automatisation des tâches récurrentes

Les agents peuvent être utilisés pour rationaliser les tâches répétitives telles que la gestion des plannings, le traitement des demandes des clients et des transactions. Ces agents peuvent être conçus pour suivre des processus spécifiques, offrant des avantages significatifs par rapport aux humains en limitant les erreurs et en augmentant la productivité. Par exemple, un agent IA peut :

• Planifier des réunions en comparant les calendriers des participants,
• Envoyer des rappels
• Traiter les demandes courantes de service à la clientèle telles que le suivi des commandes ou la mise à jour des comptes

Cette automatisation permet d’une part de gagner du temps, et d’autre part de garantir la cohérence et la précision des tâches. En outre, en s’occupant des tâches récurrentes, les agents IA permettent aux employés de se concentrer sur des activités plus complexes et stratégiques, contribuant ainsi à accroître l’efficacité et la productivité au sein de l’organisation.

Cas d’usage avancés : Analyse de données complexes et gestion des vulnérabilités

Les agents peuvent également être utilisés pour des cas d’usage plus complexes, notamment pour la cybersécurité. Par exemple, Microsoft a récemment annoncé le lancement d’agents IA avec Security Copilot, un produit portant sur la qualification des incidents de cybersécurité.

Un cas d’usage particulièrement intéressant concerne les agents spécialisés dans la remédiation des vulnérabilités. Ces agents, au sein de Microsoft Intune, viendront :

• Surveiller les vulnérabilités des endpoints,
• Evaluer ces vulnérabilités en termes de risques et d’impacts potentiels,
• Produire une liste de mesures de mitigation classées par ordre de priorité.

Les équipes de sécurité peuvent ainsi se concentrer sur les problèmes les plus critiques, augmentant ainsi leur productivité. En automatisant l’identification et la hiérarchisation des vulnérabilités, ces agents permettent aux équipes de sécurité de s’attaquer rapidement aux menaces les plus pressantes, réduisant ainsi le risque de failles de sécurité et améliorant la posture de sécurité globale.

La promesse de rentabilité et d’automatisation intelligente est convaincante, mais elle introduit également un compromis stratégique. Les RSSI seront confrontés au défi de sécuriser des systèmes de plus en plus autonomes. En effet, en l’absence de garde-fous robustes, les organisations s’exposent à des perturbations opérationnelles, à des difficultés de gouvernance et à des atteintes à leur réputation. Il faudra également porter une vigilance accrue à la traçabilité des actions des agents, à la visibilité des assets et à la sécurité du Cloud.

Les avantages sont évidents, mais les risques aussi. Sans une approche axée sur la sécurité, l’IA agentique pourrait rapidement représenter un casse-tête handicapant plutôt qu’un atout.

Des risques majoritairement connus mais dont la vraisemblance et l’impact augmentent

Pour un système d’IA traditionnel, les surfaces de menace sont généralement limitées aux entrées, au comportement du modèle et aux sorties et à l’infrastructure. L’IA agentique introduit un nouveau niveau de complexité en matière de sécurité : ils interagissent de manière dynamique et autonome avec leur environnement. Cela couvre les échanges d’agent à agent, d’agent à humain et d’humains à agents. Ces flux peuvent être difficiles à tracer, à surveiller ou à contrôler en temps réel. Par conséquent, le périmètre de sécurité s’étend au-delà des modèles statiques pour englober les comportements et les interactions imprévisibles.

Les travaux récents de l’OWASP sur la sécurité des agents [4] mettent en valeur l’ampleur des menaces auxquelles sont confrontés les agents IA aujourd’hui. Ces risques se divisent en 3 catégories :

• Certains sont des risques traditionnels de cybersécurité (par exemple : la fuite de données et les attaques sur la supply chain),
• D’autres sont des risques généraux liés à l’IA Générative (par exemple : hallucinations, empoisonnement du modèle),
• Une troisième catégorie émergente concerne spécifiquement l’autonomie des agents à réaliser des actions dans le monde réel.

Outre les risques traditionnels, les systèmes d’IA agentique présentent de nouvelles menaces pour la sécurité, telles que l’exécution non autorisée ou involontaire de codes, ou encore le « détournement d’agent », où les agents sont manipulés à des fins malveillantes. Ces risques sont amplifiés par la manière dont de nombreux agents IA sont développés aujourd’hui.

Environ 90 % des cas d’usage actuels d’agents IA reposent sur des plateformes low-code, appréciées pour leur rapidité et leur flexibilité. Cependant, ces plateformes dépendent souvent de bibliothèques et de composants tiers, ce qui introduit d’importantes vulnérabilités dans la chaîne d’approvisionnement et élargit encore la surface d’attaque globale.

L’IA agentique marque la transition de la simple prédiction passive vers une intelligence proactive, à travers une automatisation plus sophistiquée. À mesure que les organisations mettent en place des réseaux d’agents interactifs, les systèmes deviennent de plus en plus complexes et vulnérables (multiplication des fenêtres de risques). Avec l’augmentation des interfaces et des échanges autonomes, il est crucial de poser des bases de sécurité solides dès le début. Une première étape essentielle consiste à cartographier les activités des agents pour garantir la transparence, faciliter les audits et permettre des contrôles efficaces.

Se prémunir des risques : les bonnes pratiques de sécurité à adopter dès maintenant

Pour faire face à l’évolution des menaces et des risques posés par l’IA agentique, les entreprises doivent adopter des mesures de sécurité proactives afin de garantir des opérations sécurisées et traçables.

1. Cartographie des activités et audits de sécurité

Avec l’essor des agents IA autonomes et leur interaction croissante avec divers systèmes, il devient impératif de cartographier toutes leurs activités, processus, connexions et flux de données. Cette visibilité est essentielle pour détecter les anomalies et garantir le respect des politiques de sécurité.

Des audits réguliers sont cruciaux pour identifier les vulnérabilités, assurer la conformité et prévenir le phénomène de « shadow AI », où des agents opèrent sans surveillance. Les agents non autorisés peuvent exposer les systèmes à des risques significatifs, et le shadow AI, en particulier les modèles non sanctionnés, représente une menace sérieuse pour la sécurité des données. Auditer les processus décisionnels, l’accès aux données et les interactions des agents, tout en maintenant une piste d’audit immuable, renforce la responsabilité et la traçabilité globales.

Pour atténuer ces risques, les entreprises doivent adopter des politiques de gouvernance claires, sensibiliser & former ses utilisateurs, et mettre en place des stratégies de détection efficaces. Ces pratiques doivent être soutenues par des frameworks de sécurité spécialisés sur l’IA, et par des politiques de gouvernance de la donnée.

Cependant, les audits et la gouvernance ne suffisent pas. Des contrôles d’accès robustes pour les agents IA sont nécessaires pour limiter leurs actions et protéger l’intégrité du système.l’IA

     2. Filtrage de l’IA

Pour éviter que l’agent n’effectue des actions inappropriées, il faut d’abord s’assurer que son système de prise de décision est protégé. L’une des mesures les plus efficaces est de filtrer les inputs et outputs potentiellement malveillants du decision-maker, souvent composé d’un orchestrateur et d’un LLM.

Il existe plusieurs moyens techniques de filtrer les inputs & outputs d’un LLM :

Filtrage par mot-clé – Efficacité faible à moyenne : Empêcher le LLM de prendre en compte toute entrée contenant des mots-clés spécifiés et de générer tout contenu contenant ces mots-clés.

• Avantage : Quick-win, en particulier sur les outputs, par exemple en empêchant un chatbot de générer des mots grossiers.
• Inconvénient : Facilement contournable via des entrées déguisées ou en exigeant des sorties déguisées. Par exemple, « p@ssword » ou « p,a,s,s,w,o,r,d » peuvent être des moyens de contourner le mot-clé « password ».

LLM-as-a-judge – Efficacité haute : Demander au LLM d’analyser les inputs et les outputs et d’identifier s’ils sont malveillants.

• Avantage : Étend l’analyse à l’ensemble de la réponse.
• Inconvénient : Peut être contourné en noyant l’agent d’informations en input, de telle sorte qu’il a du mal à traiter l’ensemble des entrées.

Classification de l’information – Efficacité très élevée : Définir des catégories de sujets auxquels le LLM a le droit de répondre ou non. Cela peut se faire par le biais d’une whitelist (le LLM ne peut répondre qu’à certaines catégories de sujets) et d’une blacklist (le LLM n’est pas autorisé à répondre à certaines catégories précises de sujets). Pour cela, on peut utiliser une IA spécialisée pour analyser chaque entrée et chaque sortie.

• Avantage : Garantit l’alignement de l’agent en ne l’empêchant de recevoir des inputs sur des sujets auxquels il ne devrait pas être en mesure de répondre.
• Inconvénient : coût élevé, car cela nécessite une analyse LLM supplémentaire.

Pour tous les systèmes d’IA générative, ces actions de filtrage doivent être effectuées pour les inputs/output des utilisateurs. Dans le cas spécifique de l’IA agentique, tous les inputs/output doivent être filtrés, y compris les interactions avec les outils que les systèmes d’IA peuvent utilisés, les bases de données qu’ils peuvent interrogées etc. 

• Mesures de sécurité spécifiques à l’IA

Inclure un « Human-in-the-loop » (HITL) est essentiel pour garantir le fonctionnement responsable et sécurisé de l’IA agentique. Bien que les agents IA puissent exécuter des tâches de manière autonome, le contrôle d’un humain dans les situations à haut risque ou sensibles sur le plan éthique fournit une couche supplémentaire bienvenue de jugement et de responsabilité. Cette surveillance permet d’éviter les erreurs, les biais et les conséquences involontaires, tout en permettant aux organisations d’intervenir lorsque les actions de l’IA s’écartent des lignes directrices ou des normes éthiques. Le HITL favorise également la confiance dans les systèmes d’IA et garantit l’alignement sur les objectifs de l’entreprise et les exigences réglementaires. Pour maximiser les avantages de l’automatisation, il est essentiel d’adopter une approche hybride où IA et humains partagent les responsabilités, approche soutenue par une formation continue pour aborder la conformité et les risques inhérents.

Certaines actions peuvent être strictement interdites à l’agent, d’autres devraient nécessiter une validation humaine, et d’autres encore pourraient être effectuées sans supervision humaine. Ces actions doivent être déterminées par une analyse de risque classique, sur la base de l’impact et de l’autonomie de l’agent. En clair, on évalue l’impact de l’agent en fonction de son autonomie (et non de la probabilité du risque)

Des déclencheurs doivent être mis en place pour déterminer si et quand une validation humaine est nécessaire. On le configure directement dans le Master Prompt du LLM, et l’accès peut être restreint en utilisant un modèle IAM approprié.

     3. Contrôles d’accès et IAM

Les agents IA jouent un rôle plus actif dans les workflows des entreprises. Ils doivent donc être gérés comme des identités non humaines (NHI), avec leur propre cycle de vie d’identité, leurs autorisations d’accès et leurs politiques de gouvernance. Il faut donc intégrer les agents dans les frameworks IAM existants, en appliquant la même rigueur que pour les utilisateurs humains.

La gestion des agents IA introduit de nouvelles exigences. Lorsqu’ils agissent au nom des utilisateurs finaux, les agents doivent être strictement limités aux permissions de ces utilisateurs, sans dépasser ou conserver des privilèges élevés. Pour y parvenir, les organisations doivent appliquer des principes clés de gestion des accès et des identités (IAM), à savoir :

• Accès suivant le principe du moindre privilège : Limiter les agents à l’ensemble minimum de permissions nécessaires pour accomplir des tâches spécifiques.
• Accès Just-in-time (JIT) : Fournir un accès temporaire et contextuel afin de réduire les privilèges permanents et l’exposition.
• Séparation des tâches et habilitations limitées : Définir des limites claires entre les rôles et empêcher les escalades de privilèges non autorisées.

Pour renforcer davantage les contrôles, les équipes de sécurité devraient mettre en place une détection des anomalies en temps réel afin de surveiller le comportement des agents, signaler les violations de politiques et remédier ou escalader automatiquement les problèmes lorsque nécessaire. L’accès aux données sensibles doit également être strictement limité. Les violations doivent entraîner une révocation immédiate des privilèges, et des listes de blocage doivent être utilisées pour empêcher les modèles ou points d’accès malveillants connus.

En fin de compte, bien que les contrôles techniques soient essentiels, ils doivent être soutenus par une supervision humaine et des mécanismes de gouvernance, en particulier lorsque les agents opèrent dans des contextes à fort impact ou sensibles. La gestion des identités et des accès pour les agents IA doit évoluer en parallèle avec l’autonomie croissante de ces systèmes et leur intégration dans des fonctions critiques de l’entreprise.

     4. Gestion des crises IA et Redteam

Bien que les contrôles spécifiques à l’IA soient essentiels, les mesures traditionnelles comme la gestion de crise doivent également s’étendre au domaine de l’IA. À mesure que les cyberattaques deviennent plus sophistiquées, les entreprises devraient envisager des stratégies de gestion de crise en cas de défaillance ou de compromission de l’IA. Il est crucial de s’assurer que toutes les équipes, des équipes de recherche IA aux équipes de sécurité, soient prêtes à réagir rapidement et efficacement afin de minimiser les perturbations.

Exemple de plan d’action pour les RSSI

Cette année, les RSSI seront exposés à des menaces accrues introduites par l’IA agentique, ainsi qu’à une pression réglementaire supplémentaire par des réglementations complexes telles que DORA, NIS 2 et l’AI Act. Les RSSI et les directeurs techniques devront collaborer étroitement : les RSSI devront superviser le déploiement sécurisé des systèmes d’IA pour s’assurer que les interactions avec les agents sont soigneusement cartographiées et sécurisées afin de préserver la sécurité de leurs organisations, de leur personnel et de leurs clients.

Premières pistes d’actions sécurité pour les RSSI :

• Limiter l’accès des agents IA en appliquant des contrôles d’accès stricts et en s’alignant sur les politiques IAM existantes.
• Surveiller le comportement des agents en suivant leur activité et en menant des audits réguliers pour identifier les vulnérabilités.
• Filtrer les inputs et les outputs de l’agent pour s’assurer que le decision-maker ne lance pas d’action involontaire.
• S’assurer de la supervision d’un human-in-the-loop cohérente, afin de valider les résultats de l’IA pour les décisions/tâches critiques.
• Fournir une formation de sensibilisation à l’IA agentique pour éduquer les utilisateurs sur les risques, les meilleures pratiques de sécurité et l’identification des attaques potentielles.
• Auditer l’agent, via du redteaming, afin d’identifier les faiblesses potentielles.
• Etablir un RACI en cas de mauvais fonctionnement de l’agent : malgré toutes les mesures de sécurité, l’IA fonctionne selon des principes probabilistes plutôt que déterministes. Cela signifie que l’agent peut occasionnellement se comporter de manière inappropriée.
• Préparez-vous aux crises liées à l’IA en entamant des discussions avec les équipes concernées afin de garantir une réponse coordonnée en cas d’incident.

Au cours des dernières années, chez Wavestone, nous avons observé une augmentation significative de la maturité des clients en matière de sécurité de l’IA. De nombreuses organisations ont déjà mis en place des processus robustes pour évaluer la sensibilité des initiatives d’IA et gérer les risques associés. Ces premiers efforts se sont avérés payants : nous avons observé une réduction de l’exposition aux menaces et un renforcement de la gouvernance des systèmes d’IA.

Bien que l’IA agentique ne réécrive pas fondamentalement le manuel de sécurité de l’IA, elle introduit un changement significatif dans le paysage des risques. Sa nature intrinsèquement autonome et interconnectée augmente à la fois l’impact et la probabilité de certaines menaces. La complexité de ces systèmes peut être difficile à gérer au début, mais elle est maîtrisable. Avec une compréhension claire de ces dynamiques et l’émergence de nouvelles normes de marché et de protocoles de sécurité, l’IA agentique peut s’accomplir pleinement, dans des conditions sécurisées, et assurer un gain de productivité conséquent.

Dans cette mer de menaces en perpétuel changement, notre cap reste clair : accompagner les RSSI et leurs équipiers pour qu’ils avancent avec sérénité.

Références

[1] Orlando, Fla., Gartner Identifies the Top 10 Strategic Technology Trends for 2025, October 21, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-10-21-gartner-identifies-the-top-10-strategic-technology-trends-for-2025

[2] Stamford, Conn., Gartner Predicts Agentic AI Will Autonomously Resolve 80% of Common Customer Service Issues Without Human Intervention by 2029, March 5, 2025. https://www.gartner.com/en/newsroom/press-releases/2025-03-05-gartner-predicts-agentic-ai-will-autonomously-resolve-80-percent-of-common-customer-service-issues-without-human-intervention-by-20290

[3] Stamford, Conn. Gartner Survey Shows AI-Enhanced Malicious Attacks Are a New Top Emerging Risk for Enterprises, May 22, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-05-22-gartner-survey-shows-ai-enhanced-malicious-attacks-are-new0

[4] OWASP, OWASP Top 10 threats and mitigation for AI Agents, 2025. OWASP-Agentic-AI/README.md at main · precize/OWASP-Agentic-AI · GitHub

Merci à Leina HATCH pour son aide précieuse dans la rédaction de cet article.

Cet article IA Agentique : typologie des risques et principales mesures de sécurité est apparu en premier sur RiskInsight.

Dans cet article, nous mettrons en lumière le défi de la cyber-résilience d’Entra ID, expliquerons pourquoi les fonctionnalités natives sont des solutions incomplètes et présenterons le résultat d’un PoC mené sur un outil open-source, Microsoft 365 DSC, pour sauvegarder et récupérer les données d’Entra ID. 

La résilience cyber dans les services Cloud managés 

Avec Entra ID, la stratégie de gestion des répertoires est conforme au paradigme de l’informatique dématérialisée. Cela signifie que les différentes couches de réseau, de stockage, de calcul, de système d’exploitation et d’application sont gérées par Microsoft, ce qui permet au client de se concentrer uniquement sur ses données d’identité. 

Cette différence fondamentale a un impact sur la résilience du service. En effet, la création de snapshots pour sauvegarder l’intégralité du système, qui est une pratique courante sur l’Active Directory (AD), n’est pas native sur un service managé tel qu’Entra ID. Ainsi, pour faire face à un scénario de reprise après sinistre lié à des activités malveillantes, nous ne pouvons compter que sur les fonctionnalités natives de Microsoft : le modèle de cycle de vie de l’identité, le modèle d’administration RBAC et les capacités d’importation/exportation. 

Le modèle incomplet de soft deletion 

Pour garantir la résilience, les services Cloud utilisent largement un mécanisme de soft delete, ou suppression logique. Son objectif principal est de pouvoir récupérer les données en cas de suppression accidentelle. Par exemple, dans le coffre-fort d’Azure Recovery Service, la suppression logique est la dernière mesure de protection en cas de suppression intentionnelle ou non intentionnelle du coffre-fort. Combiné aux paramètres d’immuabilité, le coffre-fort ne peut pas être effacé, quelles que soient les autorisations de l’administrateur. 

Dans Entra ID, le concept de suppression logique existe mais est insuffisant pour assurer la résilience des données pour deux raisons. D’une part, il n’y a pas de distinction de rôle entre la suppression logique et la suppression définitive, ni de rôle de récupération, c’est-à-dire que les autorisations requises pour supprimer un objet sont suffisantes pour permettre une suppression permanente. D’autre part, le cycle de vie des objets dans Entra ID (créer, gérer, supprimer) est régi par le même rôle : 

• Le rôle d’administrateur utilisateurs permet de créer et de supprimer un utilisateur. 
• Le rôle d’administrateur applicatif en nuage permet d’enregistrer une application, de configurer tous les aspects de l’application et de supprimer définitivement l’application. 
• Le rôle d’administrateur Cloud Device permet d’ajouter un appareil, d’en configurer tous les aspects et de le désenregistrer. 

L’impact d’une suppression sur Entra ID 

La conception actuelle d’Entra ID rend les rôles d’administrateur utilisateurs, d’authentification privilégiée, d’application (on-premises ou Cloud), Intune et Windows 365 d’autant plus critiques, car leur compromission peut entraîner la perte permanente des données d’identité. L’impact d’une telle suppression peut être une perte d’accès aux applications et aux données, une perte de permissions et une incapacité à administrer. 

Bien que la suppression des utilisateurs hybrides synchronisés avec un AD on-premises soit réversible, des informations telles que l’attribution de rôles seront perdues, ce qui menace le modèle de droits et d’accès. Ce n’est pas le cas pour les identités dans le Cloud, qui font généralement partie du plan de contrôle. Dans le cadre du modèle d’accès de l’entreprise, le plan de contrôle comprend les accès les plus sensibles, ce qui peut entraîner la compromission globale d’un système d’information. 

Dans un scénario de reprise après sinistre, certains actifs sont plus critiques que d’autres et doivent être sauvegardés en priorité. Il s’agit notamment des éléments suivants : 

• Utilisateurs du Plan de contrôle, groupes and roles assignés 
• Applications d’entreprise (service principal) avec des autorisations critiques sur Azure ou Microsoft 365 
• Postes de travail 

Comparaison des méthodes de sauvegarde open-source 

Afin de réduire la probabilité d’un risque de perte de données Entra ID à des fins malveillantes, la mise en place d’une solution de sauvegarde semble indispensable, au moins pour le plan de contrôle afin de garder le contrôle sur le système d’Information et le reconstruire. Nous avons donc analysé 3 méthodes open-source permettant d’assurer la sauvegarde des données : 

• Microsoft Graph PowerShell : une bibliothèque PowerShell pour les API Microsoft Graph. Vous pouvez créer vos propres scripts pour exporter et importer les attributs des objets Entra ID qui correspondent aux besoins de votre organisation. 
• Microsoft Entra Exporter : un module PowerShell qui exporte une copie locale de certains attributs Entra ID (utilisateurs, applications, applications d’entreprise, rôles, etc.) dans un fichier JSON. 
• Microsoft 365 Desired State Configuration (DSC) : un module PowerShell pour la configuration déclarative, le déploiement et la gestion des services Microsoft 365. 

Sauvegarde des objets Entra ID avec Microsoft 365 DSC 

Dans cette partie, nous allons expliquer comment nous avons testé la solution open source Microsoft 365 DSC et partager les résultats et conclusions obtenus. 

Notre PoC 

Microsoft 365 DSC permet de gérer la configuration et l’état des services Microsoft 365 selon une approche déclarative. En définissant l’état souhaité plutôt que les étapes spécifiques, il simplifie la gestion de configurations cloud complexes et assure la cohérence de l’environnement. 

Dans le cadre d’un PoC, la population test déployée dans notre tenant est la suivante : 

• 30 utilisateurs Cloud Only (générés aléatoirement par Microsoft lors de la création du tenant de test) 
• 10 groupes de sécurité (attribués aléatoirement aux utilisateurs) 

L’objectif de ce PoC est d’identifier les avantages et les limites de la solution à travers une série de cas d’usage testés et documentés : 

Le processus a nécessité la configuration d’un compte de service avec les autorisations appropriées (User.ReadWrite.All, Group.ReadWrite.All) sur Entra ID afin d’interagir avec l’API Microsoft Graph pour l’export et l’import des données. 

Ces autorisations ont permis au compte de service de récupérer les configurations et données nécessaires depuis Entra ID et de les réimporter. 

RÉSULTATS DU POC MICROSOFT 365 DSC 

À l’issue des tests, nous avons pu rassembler des informations sur les atouts et les limites de la solution. 

Points positifs : 

• Sélection granulaire des configurations : La solution permet de cibler précisément les configurations à sauvegarder. 
• Restauration sans suppression : Les utilisateurs et groupes actuels sont conservés lors de la restauration, évitant les suppressions accidentelles. 
• Écrasement des attributs obsolètes : Les attributs sauvegardés remplacent les anciens. 
• Format de stockage des données : Les données sont enregistrées en JSON, ce qui facilite leur manipulation. 
• Automatisation possible : Une fois les outils installés, la solution est facilement automatisable. 
• Supervision et alertes : Microsoft 365 DSC permet de surveiller la cohérence des données et de déclencher des alertes en cas de changements suspects. 
• Gestion des versions de snapshots : Il est possible de gérer plusieurs versions de snapshots de manière simple. 
• Journalisation détaillée : La solution permet de générer des journaux très détaillés, facilitant l’audit et le suivi. 

Limites identifiées : 

• Données incomplètes dans la sauvegarde : Tous les attributs ne sont pas capturés, entraînant une possible perte d’informations. 
• Limite de taille de sauvegarde : La taille est limitée à 11 Mo, ce qui peut être insuffisant pour des environnements plus vastes. 
• État de désactivation non enregistré : Les statuts de désactivation ne sont pas sauvegardés, pouvant entraîner la réactivation d’utilisateurs désactivés. 
• Données et identifiants non chiffrés : Les fichiers de sauvegarde contiennent des données sensibles non chiffrées. 
• Perte des IDs objets : Lors de l’import, les IDs sont perdus, ce qui peut générer des doublons lors d’imports ultérieurs. 
• Service Principal privilégié : Le service principal utilisé possède des droits étendus, ce qui peut poser des risques de sécurité si mal géré 

Il est important de noter que cet outil ne permet pas véritablement une “restauration” : il est possible de recréer les objets, mais pas de restaurer les services associés. En effet, les liens entre les nouveaux objets ID et les applications ne sont pas restaurables, ce qui constitue une limitation propre à Entra ID.  

NOTRE AVIS SUR MICROSOFT 365 DSC  

Microsoft 365 DSC est un excellent outil pour des usages de base et pour la documentation, grâce à sa simplicité de prise en main et de déploiement dans des environnements de test. Il est également efficace comme outil de supervision grâce à sa gestion de version et ses journaux détaillés. 

Cependant, il n’est pas adapté aux environnements de grande taille, en raison de ses limitations en termes de scalabilité, d’expérience utilisateur et de sécurité (notamment pour les configurations et les identifiants). Il peut également générer des incohérences ou des duplications, car les IDs objets, qui peuvent être référencés ailleurs, sont irrécupérables. 

Des solutions complémentaires peuvent s’avérer nécessaires, comme des scripts pour le traitement des fichiers de configuration et pour garantir la cohérence des modifications, ainsi que des processus clairs de chiffrement et de sauvegarde. 

Nous recommandons donc de toujours évaluer précisément les besoins, de planifier les développements complémentaires nécessaires, et d’utiliser principalement la solution à des fins de supervision et de tests. 

Compte tenu des limites des outils open source de Microsoft, il peut être pertinent d’examiner les offres de fournisseurs tiers, tels que Semperis ou Quest, spécialistes du domaine. Ces alternatives pourraient répondre aux défis de scalabilité, de fiabilité et de sécurité, et offrir des options mieux adaptées à des environnements complexes. Il est important de rester ouvert à ces solutions et de les évaluer selon les besoins spécifiques de votre organisation. 

Cet article Résilience Entra ID est apparu en premier sur RiskInsight.

La fraude s’est développée en même temps, devenant plus impactante et plus complexe. Selon la Banque de France, la fraude au paiement représente une perte de 1.2 milliards d’euros en 2022, une somme non-négligeable et qui n’est pas près de diminuer puisque les transactions frauduleuses ne cessent d’augmenter. Environ 70% de ces transactions frauduleuses proviennent de la banque en ligne.

La lutte contre la fraude est donc l’une des préoccupations les plus importantes pour la banque en ligne, mais d’autres secteurs commencent aussi à se pencher sur la question.

Fraude à l’identité, fraude métier

Le terme de fraude fait partie du langage courant et peut avoir des définitions très variées. Il est possible de « frauder » un ticket métro, une assurance, ou un compte fidélité chez un acteur de la grande distribution.

Quand il est question de fraude informatique, notamment bancaire, on distingue la fraude à l’identité et la fraude métier.

La première induit une manipulation des données d’identité de l’émetteur, de son contexte d’accès au service ou des informations en lien avec son authentification et autorisation. Il est possible de la détecter en analysant le comportement de l’utilisateur quand il s’authentifie, la machine qu’il utilise, l’IP depuis laquelle il se connecte, etc.

La seconde demande de manipuler des données en lien avec la transaction elle-même, le profil bancaire de l’émetteur et du récepteur, et le contexte de réalisation de la transaction. Des indicateurs de fraude métier pourraient être par exemple un IBAN récepteur venant d’un pays inhabituel, un montant de transaction important, etc.

Les deux types de fraudes et leur détection reposent sur des signaux différents mais ces deux mécanismes de protection peuvent et doivent échanger, s’alimenter l’une l’autre afin d’apporter une part de contexte supplémentaire et permettre une analyse plus holistique du risque.

Cette nécessité de synchronisation s’est traduite concrètement par un récent rapprochement organisationnel entre les équipes de lutte contre la fraude métier et les équipes IAM.

Quels risques sont couverts par la détection de la fraude à l’identité ?

Derrière la fraude à l’identité se cachent de nombreux cas d’usage différents. La détecter permet donc de couvrir des risques variés qui aujourd’hui sont difficiles à appréhender. Voilà une liste non exhaustive de techniques utilisées par les attaquants qui pourraient être détectées par un outil anti-fraude :

• SIM swapping : le SIM swapping demande de convaincre le fournisseur téléphonique de la victime d’envoyer une nouvelle carte SIM à l’attaquant, qui pourra ensuite valider des demandes de double authentification via OTP en se faisant passer pour la victime.
• MFA fatigue : la MFA fatigue consiste à envoyer un grand nombre de notifications de validation MFA, au point que la victime finisse par accepter la demande et autoriser l’accès à l’un de ses comptes par inadvertance.
• Social engineering : le social engineering est utilisé lors d’attaques ciblées sur un individu, l’attaquant recueille des informations sur lui et sur son compte bancaire, puis les exploite pour lui soutirer de l’argent. Un exemple de plus en plus fréquent est celui des fraudes au conseiller bancaire, un attaquant se faisant passer pour le conseiller de la victime et la poussant à effectuer un virement, souvent en prétextant un risque de… fraude.
• Bots : l’automatisation des attaques ouvre de nouvelles possibilités pour les attaquants, ces derniers pouvant cibler un grand nombre de comptes au cours d’une seule campagne. En émulant des appareils ou en lançant des campagnes de phishing massives, il devient de plus en plus simple de récupérer des informations personnelles et des mots de passe.

Les banques en tête de proue, mais rejointes par de nouveaux acteurs

Sans surprise, le secteur bancaire a une longueur d’avance sur ces questions. Premièrement parce que l’impact de la fraude est très concret et la banque est une cible privilégiée. Ensuite parce que les utilisateurs sont habitués, voire rassurés, de constater des processus de sécurité important au détriment de leur expérience utilisateur. Enfin parce que le passage massif à la banque en ligne a soulevé des questions que d’autres secteurs n’ont pas eu à se poser immédiatement.

Aujourd’hui, la détection de la fraude pour une banque en ligne se concentre sur trois étapes clés du parcours utilisateur :

• L’enrôlement d’un nouvel appareil
• La validation d’un paiement
• La réalisation d’actions sensibles sur le compte, comme l’ajout d’un bénéficiaire pour les virements

Si le secteur bancaire est indubitablement le plus touché et le plus protégé, d’autres secteurs commencent à se pencher sur la question de la détection de la fraude. C’est le cas de la grande distribution et de l’e-commerce par exemple, ainsi que du luxe qui se trouvent dans la ligne de mire des attaquants. Cela les force à imaginer de nouveaux processus et à investir dans la lutte contre la fraude, faisant à leur tour évoluer les solutions et pratiques pour limiter les impacts sur le business.

De nouvelles avancées technologiques : protocoles et algorithmes

La pression des attaques explique en grande partie l’intérêt dans les solutions de détection de la fraude. Ces dernières se sont développées rapidement, embarquant de plus en plus de fonctionnalités et démontrant une capacité grandissante de lutte contre les attaques complexes qui se développent.

Les récentes avancées technologiques liées à la détection de la fraude sont multiples, mais deux principaux mécanismes ont rendu ces solutions plus puissantes : la capacité à échanger des informations entre les briques de détection, et la précision des algorithmes d’estimation du risque.

Le premier mécanisme est un produit de la tendance actuelle à la standardisation des protocoles et des signaux de détection, permettant aux différentes briques du SI de mettre en commun les informations récoltées et les réactions appropriées. Le groupe de travail Shared Signals (Okta, Cisco, Disney, fondation OpenID, etc.) a par exemple produit un framework utilisé dans deux protocoles : Continuous Access Evaluation Protocol (CAEP) et Risk Incident Sharing and Coordination protocol (RISC).

Le deuxième mécanisme ; la précision des algorithmes ; repose sur le nombre grandissant de critères pouvant être exploités. Il y a quelques années, un moteur de détection se reposait sur l’analyse de l’IP, la géolocalisation et quelques attributs de l’identité. Aujourd’hui, les critères sont démultipliés, incluant le comportement propre à l’utilisateur (les mouvements de souris, la vitesse de frappe), l’analyse des appareils utilisés (modèle, OS, navigateur), l’historique du compte, les parcours utilisateurs usuels, ainsi qu’une panoplie de signaux faibles provenant d’autres applications ou de briques du SI. Cette multiplication des signaux entrants dans les algorithmes permet une analyse bien plus fine de chaque transaction et une estimation du risque toujours plus pertinente.

IA et orchestration au service de la lutte contre la fraude

Augmenter le nombre de critères permet d’améliorer les algorithmes, mais pour tirer le meilleur de ces informations il est essentiel de tirer profit des capacités du Machine Learning et de l’intelligence artificielle. Chaque critère devient une dimension permettant à l’intelligence artificielle d’apprendre de manière dynamique les comportements des utilisateurs (comme les parcours usuels, les emplacements des clics de souris ou la vitesse de frappe) et ce qui constitue un contexte d’accès normal et non risqué afin de mieux détecter tout ce qui en dévie.

Malgré la capacité de l’IA à produire une décision à partir d’un nombre très important de paramètres, elle demeure victime des déboires de tous les algorithmes de décision : les faux positifs. Et avec l’intérêt de nouveaux secteurs, qui se doivent d’équilibrer sécurité et expérience utilisateur pour limiter les impacts négatifs sur le business, la gestion des faux positifs est une question à part entière pour les éditeurs. Aujourd’hui, les modèles de détection peuvent être ajustés de plusieurs manières : en les entraînants de manière récurrente, pour les adapter aux nouveaux cas d’usages ; en jouant avec les poids des critères, selon le contexte du client ; et en revenant sur les décisions prises par l’algorithme afin de signaler les faux positifs.

Au-delà de ces ajustements, les solutions de détection de la fraude offrent une grande flexibilité au niveau de l’orchestration, c’est-à-dire au niveau de la réaction à mettre en œuvre vis-à-vis des recommandations de l’algorithme. Il est ainsi possible de limiter l’impact pour les utilisateurs, en utilisant des challenges invisibles pour les risques faibles et en limitant les demandes contraignantes comme la MFA ou le traitement manuel différé aux transactions très risquées. L’orchestration permet aussi d’effectuer une mise en place progressive de l’outil : les réactions peuvent se limiter à une levée d’alerte transmises à un outil SIEM par exemple afin d’affiner l’algorithme, puis un passage à du blocage effectif et en temps réel.

Conclusion

La lutte contre la fraude, est un sujet qui concerne de nombreux secteurs. Si le secteur bancaire est en avance et que ceux du e-commerce et du luxe suivent, toute organisation peut être ciblée par la fraude. Cela implique une pluralité des cas d’usage et des problématiques auxquels les solutions de détection de la fraude peuvent souvent mais pas toujours répondre.

Le secteur d’activité, le contexte, la récurrence et le type d’attaques, l’impact et le risque associé, ainsi que les moyens pouvant être débloqués, toutes ces dimensions doivent être prises en compte pour contextualiser les solutions de lutte. Ces solutions peuvent être chères ou inadaptées malgré les mécanismes innovants mis en place et d’autres mécanismes de remédiation peuvent être envisagés selon les contextes.

C’est le cas des solutions anti-bots par exemple, ou des mécanismes de risk based authentication, ou encore tout simplement la refonte de certains processus métier pour les rendre intrinsèquement plus résilients à la fraude. Ces remédiations peuvent accompagner une solution de détection de la fraude, ou suffire à contrer les cas de fraude observés dans le contexte étudié.

Cet article La lutte contre la fraude : un nouvel enjeu pour l’identité numérique ? est apparu en premier sur RiskInsight.

Avec la diffusion de plus en plus importante des malwares, et depuis les révélations d’Edward Snowden en 2013, la sécurité et la confidentialité des échanges sont devenues des critères pesant lourd dans le choix d’une solution de messagerie instantanée. La multiplication des applications est rythmée par les incidents de sécurité, allant des soupçons de censure de WeChat par le gouvernement Chinois à l’installation de malwares à travers Telegram, ou plus récemment la vulnérabilité critique qui a touché WhatsApp. Ainsi, les applications de messagerie protègent-elles suffisamment les échanges des utilisateurs ? Quelles sont les réponses des éditeurs face aux menaces, criminelles comme étatiques, qui pèsent sur les messages qu’ils transportent ?

Le chiffrement de bout en bout : solution miracle ou simple outil marketing ?

Le chiffrement de bout en bout est souvent la solution mise en avant par les éditeurs pour montrer qu’ils prennent soin de la confidentialité des échanges, notamment en cas de demande d’un gouvernement ou d’un système judiciaire. Sa sécurité repose en effet sur le transport de messages inintelligibles pour l’éditeur, qui ne peut donc pas en révéler le contenu à quiconque, et déchiffrables uniquement par les destinataires.

A l’heure où nous écrivons ces lignes, plusieurs approches ont été adoptées par les éditeurs :

• La majorité applique un chiffrement de bout en bout par défaut, pour les discussions à deux ou en groupe – c’est le cas par exemple de WhatsApp, Viber, Signal, iMessage, Threema, Wire, etc.
• D’autres ne l’appliquent pas par défaut, mais permettent aux utilisateurs de l’activer en accédant à une « conversation secrète» – c’est le cas notamment de Telegram et Facebook Messenger. Il faut noter que dans ce cas, seuls les échanges entre deux personnes peuvent être « secrets », et pas les conversations en groupe.
• Les applications restantes ne proposent simplement pas de chiffrement de bout en bout – comme par exemple WeChat ou Discord. Les messages sont du moins transmis à travers un tunnel chiffré HTTPS, mais leur contenu est traité en clair et est lisible par les serveurs de l’éditeur.

Pour assurer le chiffrement de bout en bout, différents mécanismes sont utilisés par les applications. Aujourd’hui, la plupart des applications s’appuient sur des mécanismes robustes, reposant sur des algorithmes de chiffrement à l’état de l’art (Curve25519, AES256…). Parmi ces mécanismes, on peut noter le protocole open-source Signal, développé par Open Whisper Systems pour son application éponyme, et depuis utilisé par d’autres applications comme WhatsApp ou dans les « conversations secrètes » de Facebook Messenger.

On peut donc considérer que les applications proposant un chiffrement de bout en bout ont une plus-value certaine, tout du moins pour les utilisateurs soucieux de la confidentialité ou du caractère privé de leurs conversations. Face à cela, le bon vieux SMS – qui, rappelons-le, reste vulnérable à une attaque de type man-in-the-middle – fait pâle figure !

Néanmoins, comme nous allons le voir, il ne faut pas s’arrêter au chiffrement de bout en bout qui, seul, pourrait donner un faux sentiment de sécurité aux utilisateurs.

Au-delà du chiffrement de bout en bout : d’autres facteurs pour mieux apprécier la sécurité de ces applications

Mis à part le contenu des discussions, vraisemblablement protégé lorsqu’il est chiffré de bout en bout, les messageries instantanées manipulent un certain nombre de métadonnées : contacts, numéros de téléphone, date et heure d’envoi des messages… Autant de données qui représentent déjà une source importante d’informations sur l’utilisateur, et qui sont souvent collectées par l’éditeur et stockées sur ses serveurs – c’est le cas notamment des applications WhatsApp et iMessage. Certaines applications proposent un niveau de confidentialité supérieur en assurant que seul un minimum d’informations sera collecté – ainsi l’application Signal par exemple collecte uniquement les dates et heures d’inscription et la date de dernière connexion.

Par ailleurs, des fonctionnalités de sécurité supplémentaires permettent d’atteindre un meilleur niveau de confidentialité. Par exemple, certaines applications comme WhatsApp ou Signal permettent de confirmer le chiffrement de bout en bout en scannant un QR-code sur le smartphone du destinataire. D’autres comme Telegram ou Signal offrent la possibilité d’envoyer des messages éphémères, qui s’auto-détruisent au bout de quelques secondes ou minutes, ce qui peut être intéressant pour certains usages mais reste limité (possibilité de capture d’écran voire photo de l’écran).

Pour les communications de groupes, les applications se basent souvent sur un serveur central pour authentifier les utilisateurs et déterminer qui reçoit les messages, comme c’est le cas par exemple pour WhatsApp ou Signal. La compromission de ce serveur peut ainsi permettre à un attaquant d’ajouter un faux membre à un groupe pour accéder aux échanges. Pour contrer cette attaque, la notification lors de l’ajout d’une personne à la discussion est souvent la fonctionnalité choisie, mais des solutions comme celle de la startup française Olvid vont plus loin en faisant le pari d’une authentification sans tiers de confiance basée sur la cryptographie.

Dans un contexte professionnel, mis à part le risque de perte de confidentialité des échanges, il faut également considérer le risque d’indisponibilité de l’application. On peut estimer au premier abord qu’une application grand public telle que WhatsApp, qui possède plus d’1 milliard d’utilisateurs, a un risque d’indisponibilité assez faible. Mais dans le cas d’un besoin fort en disponibilité, l’absence de garantie de services de la part de ces applications pourrait rendre ce risque inacceptable. Il conviendrait alors de se tourner vers une solution professionnelle, plus à même de proposer des garanties de services (SLA) – telle que Threema ou Wire par exemple.

La sécurité de l’application ne suffit pas : d’autres vecteurs d’attaque sont à neutraliser

Nous avons jusqu’ici principalement considéré la sécurité de la communication portée par l’application. Il y a cependant d’autres sources de menace à ne pas oublier, en considérant l’ensemble de la chaîne :

Illustration du fonctionnement d’une application de messagerie instantanée

Il faut notamment garder à l’esprit que les données des conversations sont stockées en local sur les appareils utilisés, qu’il s’agisse de smartphones ou d‘ordinateurs. Un appareil mal protégé permettra donc à un attaquant d’avoir accès à toutes les conversations stockées par l’application sur l’appareil. Pour arriver à ses fins, l’attaquant pourra agir à distance à travers un malware installé sur l’appareil, ou plus directement en le volant.

Par ailleurs, les applications proposent souvent de sauvegarder les données des conversations dans un Cloud (par exemple iCloud ou Google Drive). L’activation de cette sauvegarde implique donc qu’une copie des données est stockée auprès du fournisseur Cloud, ce qui représente un vecteur d’attaque supplémentaire.

Choisir son application de messagerie sécurisée, tout en restant vigilant

Pour choisir parmi les nombreuses applications de messagerie instantanée, il faut donc prendre en compte ses besoins et cas d’usages en même temps que les fonctionnalités proposées. Le chiffrement de bout en bout semble à présent être une garantie incontournable pour une confidentialité correcte. Certaines applications présentent par ailleurs d’autres fonctionnalités permettant d’atteindre un niveau de sécurité supérieur : collecte minimaliste d’informations, confirmation supplémentaire du chiffrement de bout en bout, messages éphémères, etc.

Face au défi d’allier sécurité et simplicité d’utilisation, de nombreuses startups ont vu le jour, avec de nouvelles offres tournées vers les entreprises et organisations. Ainsi, certaines comme Citadel mettent en avant leur ancrage français pour éviter l’ingérence de gouvernements étrangers, tandis que d’autres comme Shadline proposent de répondre à des besoins plus spécifiques tels que la résilience face aux attaques.

Néanmoins, malgré toutes les fonctionnalités de sécurité que peuvent proposer les applications, il suffit d’une seule faille dans le code source pour remettre en question la sécurité de l’appareil : nous l’avons récemment constaté avec la vulnérabilité qui a touché WhatsApp. Il ne faut donc pas baisser sa garde, et veiller à respecter les mesures de sécurité les plus basiques – installer les mises à jour des systèmes et applications lorsqu’elles sont disponibles, sécuriser son appareil (chiffrement du disque, authentification), utiliser un mot de passe robuste, changer de mot de passe régulièrement, etc. – afin de protéger a minima l’appareil utilisé pour communiquer !

Cet article Des applications de messagerie instantanée vraiment sécurisées ? est apparu en premier sur RiskInsight.

Les grandes agences de notation telles que Moody’s ou Standard&Poor’s sont bien connues du grand public, notamment depuis la crise financière de 2008. Elles structurent désormais les marchés financiers en imposant de facto des grilles de comparaison utilisées à l’échelle mondiale pour caractériser le risque de solvabilité d’une entreprise.

Nous observons aujourd’hui que ce concept de notation d’entreprises par des organismes externes ne se cantonne plus uniquement au domaine financier et s’étend progressivement à la sphère de la cybersécurité.

Ainsi, des agences de cyber-rating attribuent désormais une « cyber-note » aux entreprises dans l’objectif de quantifier le risque cyber auquel elles sont exposées. Parmi elles, on retrouve principalement des acteurs américains (BitSight, Security ScoreCard, Panorays ou UpGuard), mais aussi une start-up européenne (Cyrating), qui collectent et analysent des informations accessibles publiquement :

• Les vulnérabilités présentes sur les sites web publiés par l’entreprise et la robustesse du chiffrement TLS mis en œuvre ;
• La réputation des adresses IP publiques de l’entreprise, calculée elle-même à partir de divers éléments tels que le nombre de plaintes pour spam, apparition dans des listes noires de fournisseurs d’accès à Internet et services de messagerie, le taux de rebond, … ;
• L’activation de la protection des adresses mails de l’entreprises (DMARC, DKIM, SPF) ;
• L’analyse des DNS (whois, serveurs racine et NS, vérification des Start Of Authority, des Mails eXchanger, …) ;
• La présence de données de l’entreprise sur le Dark Web.

En dehors de ces données accessibles par tout à chacun, les plateformes de cyber-rating captent un grand nombre de données échangées, et les analysent pour déterminer par exemple la répartition des OS par entreprise, ou encore la version des navigateurs utilisés.

L’algorithme utilisé pour corréler ces données est propre à chaque plateforme de cyber-rating, qui monétisent ensuite l’accès à leurs résultats via la souscription d’un service.

Ainsi, les entreprises ne peuvent le plus souvent connaître leur notation qu’en souscrivant à l’offre d’une plateforme de cyber-rating !

Cela va même plus loin puisque cette note sera accessible aux entités s’abonnant à cette plateforme. Les concurrents peuvent dès lors se comparer et l’utiliser comme argument commercial. Les cyber-assureurs commencent également à la prendre en compte dans le calcul du prix des contrats cyber proposés. Plus inquiétant, on pourrait imaginer que cela facilite le travail de reconnaissance des attaquants afin de cibler les entreprises les moins bien notées en supposant qu’elles soient plus faiblement défendues…

Au regard de ces enjeux, il semble indispensable que les entreprises intègrent la problématique du cyber-rating à leur gouvernance cybersécurité.

Des limites évidentes au modèle actuel du cyber-rating

Pour le dire franchement, une large part de la communauté cyber se montre réservée vis-à-vis du cyber-rating, cette défiance pouvant se résumer ainsi :

« Quelle confiance accorder à une évaluation du niveau de sécurité réalisée par un algorithme tiers ne disposant que d’un échantillon d’éléments et sans boucle de contrôle quant à la qualité des informations collectées ? » 

En effet, le modèle est encore perfectible et présente plusieurs biais, qu’il convient d’éviter au risque de remettre en cause la pertinence de la notation :

• Se limiter à une vision périmétrique ne permet pas de refléter le niveau global de sécurité d’une entreprise. De nombreux facteurs ne sont pas pris en compte : segmentation du réseau interne, mesure de protection des systèmes et des données, capacité de détection, etc. ;
• La note peut être « polluée » par des faux-positifs : adresses IP ou noms de domaine n’appartenant pas à l’entreprise (erreurs d’enregistrement), trafic provenant d’une sandbox considéré comme malveillant… Cela demande donc un travail de fond avec l’éditeur (tri des IP, exclusion de certaines données) afin d’obtenir un résultat le plus fidèle possible ;
• Le manque de transparence des algorithmes de notation rend difficile l’évaluation des éléments justifiant une note donnée et l’identification des paramètres sur lesquels des corrections sont nécessaires.

Il serait donc illusoire de réduire le niveau de sécurité d’une entreprise à cette seule note. D’ailleurs, il ne serait pas étonnant de voir des acteurs comme Qualys proposer à l’avenir de prendre également en compte le résultat des tests menés à l’intérieur même du SI de l’entreprise pour affiner ce système de notation.

Un large panel de cas d’usage

Cependant, ces limites ne doivent pas faire perdre de vue les opportunités que crée la souscription à une offre de cyber-rating.

Argument principal avancé par les acteurs du cyber-rating, ce score représente un indicateur percutant et compréhensible pour le top management, concept déjà maîtrisé dans le domaine de la finance, mais qui fait encore défaut en cybersécurité. L’évolution de la note permettrait également de justifier et quantifier l’efficacité d’un plan d’actions correctrices menées sur les services périphériques du SI de l’entreprise.

Par ailleurs, les plateformes de cyber-rating offrent la possibilité d’accéder à la note de l’ensemble des entreprises inventoriées, permettant ainsi :

• De s’étalonner vis-à-vis de ses concurrents sur une base commune, et potentiellement de faire de la cybersécurité un atout marketing ;
• D’évaluer le niveau de maturité cybersécurité de ses fournisseurs sur une base plus objective que les questionnaires remplis dans le cadre des Plans d’Assurance Sécurité.

Le cyber-rating, un enjeu incontournable pour les entreprises

Au vu des opportunités offertes et des enjeux, l’essor du cyber-rating semble inéluctable comme le note d’ailleurs l’ANSSI dans sa revue stratégique de cyberdéfense : « Les acteurs majeurs du domaine [du cyber-rating] deviendront donc des références de fait qu’il sera difficile de déloger ».

Malgré ses limites actuelles, il est donc crucial pour les entreprises – certains évoquent même la notation cyber des Etats à l’instar de la notation financière – d’identifier comment le cyber-rating pourrait devenir un atout pour faire progresser la prise de conscience de l’importance de la cybersécurité jusqu’au top management, sans pour autant stigmatiser les « moins bons élèves ».

Cet article Le cyber-rating : plus qu’une note, un enjeu crucial de gouvernance est apparu en premier sur RiskInsight.

L’IMPORTANCE DU FACTEUR HUMAIN

Selon la légende, un homme déguisé en moine pénétra sans attirer la méfiance dans une forteresse du sud-est de la France (actuel Monaco), une nuit de janvier 1297. Il put ainsi ouvrir à des soldats qui s’en emparèrent facilement. Il en va de même pour des attaques perpétrées à l’aide de dispositifs USB familiers, que l’utilisateur branche en tout confiance sur le port d’une machine.

Une étude publiée au Blackhat USA en 2016 a montré que 45% des 297 clefs USB disséminées sur un campus universitaire ont été connectées à des ordinateurs et leurs fichiers ouverts. Cette étude illustre bien la capacité à mener des attaques efficaces via des clefs USB et pour un coût minime.

Par ailleurs qui n’a jamais laissé un téléphone portable se recharger sur l’un des ports USB de son PC ?

Si la connexion au réseau fait le plus souvent l’objet de nombreuses mesures de sécurité, les autres portes que constituent les ports USB font, généralement, l’objet d’une attention moindre, sur les serveurs, les postes de travail et désormais les tablettes et smartphones qui intègrent la technologie USB On-The-Go.

Les dispositifs USB sont présents partout, tirant partie de l’interopérabilité de l’Universal Serial Bus.

Le revers de la médaille de ce développement historique et de sa compatibilité descendante, est qu’il n’a pas été techniquement conçu « security by design » et que ces dispositifs offrent une large surface d’attaque.

Figure -Vidéo illustrative de sensibilisation sur la sécurité des clefs USB

UN LARGE PANEL D’ATTAQUES RENDUES POSSIBLES PAR L’USAGE (PRESQUE) INCONTOURNABLE DES DISPOSITIFS USB ET AU MANQUE INTRINSÈQUE DE SÉCURITÉ DES STANDARDS HISTORIQUES

Les périphériques de stockage amovibles, clefs ou disques USB, peuvent servir de vecteur à la propagation d’un code malicieux. D’autres types de périphériques USB (ex : webcam, clef 4G) peuvent également intégrer une fonction de stockage amovible, par exemple pour faciliter l’installation du pilote logiciel du périphérique.

La provenance légitime d’une clef USB ne peut garantir entièrement son innocuité, si celle-ci a été compromise en usine ou avant l’envoi aux clients, comme cela a pu arriver récemment à un fournisseur de systèmes de stockage.

Par ailleurs, un périphérique USB d’apparence banale, peut avoir été reprogrammé ou modifié physiquement pour compromettre ou endommager le système sur lequel il est branché, par exemple :

• En se faisant passer pour un clavier et envoyer des commandes au système hôte, lesquelles vont par exemple permettre sa prise de contrôle à distance. Il est à cet effet possible de reprogrammer une clef USB du commerce (voir cas d’usage illustratif dans la vidéo ci-dessus) ou d’utiliser un dispositif ayant l’apparence d’une clef USB classique ;
• En se faisant passer pour une interface réseau et un serveur DHCP/DNS, afin notamment d’intercepter le trafic de l’utilisateur, d’introduire des portes dérobées sur le poste de l’utilisateur, de faire exécuter par son navigateur des codes malveillants sur des sites sur lesquels il est autorisé à se connecter, voire d’exposer un  routeur interne ;
• Pour détruire le système hôte en délivrant au connecteur des tensions élevées.

Une clef USB peut également être utilisée pour attaquer des équipements sensibles déconnectés du réseau de l’entreprise, par exemple des équipements industriels, lorsque celle-ci est utilisée en « navette » avec des postes connectés internet, donc à un attaquant externe potentiel.

Il est également possible de tirer parti du rayonnement électromagnétique qui peut se produire au travers d’un périphérique/câble USB, d’un poste isolé de tout réseau, pour permettre à un code malicieux, introduit via le dispositif USB, d’exfiltrer des informations à quelques mètres.

Les attaques consécutives à la modification de périphériques USB restent encore limitées, assez ciblées et potentiellement très efficaces (ex : Stuxnet en milieu industriel). La mise au point de certaines de ces attaques est facilitée par les sources d’informations, les tutoriels et les outils librement accessibles sur Internet.

L’arrivée de l’USB-C, également utilisé comme alimentation électrique des nouveaux ordinateurs portables, peut contribuer à augmenter un peu plus la surface d’attaque (chargeurs, packs de batterie), tant que la compatibilité avec des standards non sécurisés devra être maintenue pour des raisons de compatibilité descendante avec les autres versions d’USB et dans l’attente de la généralisation de futurs chargeurs sécurisés.

LES CONTRE-MESURES DOIVENT ÊTRE CIBLÉES SUR LES RISQUES LES PLUS ÉLEVÉS (ET DONC ÉGALEMENT SUR L’HUMAIN)

L’évaluation des risques liés aux dispositifs USB doit permettre d’identifier les périmètres du SI et les populations vers lesquels cibler en priorité les contre-mesures :

• Sensibilité des populations (VIP, mainteneurs, administrateurs systèmes …) ;
• Sensibilité de l’équipement sur lequel il est possible de connecter un dispositif USB (poste utilisateur, poste sensible déconnecté du réseau, station d’administration, serveur, équipement industriel …).

La connexion d’un périphérique USB à un équipement passe par un choix humain. Il est donc essentiel de sensibiliser les acteurs, y compris leur management opérationnel, par des actions classiques (supports de communication des risques et des bonnes pratiques, …) voire plus innovantes (ex : disperser des clefs USB témoins remontant une alerte une fois connectées à un poste de travail, effectuer des démonstrations, organiser des jeux de plateau pour entraîner des populations plus ciblées à évaluer certaines prises de risque, …).

Les contre-mesures techniques sont un complément. Leur efficacité demeure toutefois variable.

• Un antivirus pourra le plus souvent détecter un fichier infecté sur un périphérique de stockage USB avec la même efficacité que si ce fichier se trouvait sur un autre espace de stockage. Certains produits pourront n’autoriser la lecture du contenu d’un stockage amovible, que si celui-ci a préalablement été chiffré avec une clef permettant d’y accéder seulement depuis des postes de l’entreprise ;
• Des équipements de ‘sas’ de décontamination peuvent également être utilisés pour sécuriser les échanges de fichiers entre une clef USB et le SI de l’entreprise ;
• Des solutions logicielles permettent de contrôler la connexion d’un dispositif USB à des groupes de postes ou serveurs, en fonction de caractéristiques annoncées lors de son branchement. Il s’agit du moyen le plus répandu pour maîtriser la connexion des dispositifs USB. Cependant, un dispositif USB modifié peut dans certains cas arriver à tromper cette protection logicielle ;
• Le marché propose également des clefs USB avec un micrologiciel sécurisé, qui permettent de s’assurer que celui-ci n’a pas été reprogrammé. Néanmoins, il reste toutefois possible d’introduire dans l’entreprise des dispositifs piégés reprenant ou imitant le packaging extérieur de clefs USB sécurisées ;
• La neutralisation ou le blocage physique des ports USB, en particulier sur les postes les plus sensibles, tels que des stations d’administration ou des stations de conduite dans le milieu industriel, reste toutefois une solution assez efficace pour des périmètres spécifiques.

Nous devrons attendre encore un peu avant de pouvoir pleinement bénéficier d’une sécurité efficace portée par de nouveaux standards USB. En attendant, le parc non sécurisé et le risque s’accroissent. Pour y faire face, ne comptons pas uniquement sur des réponses techniques et ne négligeons pas le facteur humain.

Cet article L’habit ne fait pas le moine – Ou l’importance du facteur humain dans la maîtrise du risque USB est apparu en premier sur RiskInsight.

Celle-ci peut prendre différentes formes, mais historiquement, sont étudiés essentiellement les aspects suivants :

• Finance et comptabilité : vérification des comptes, recensement du personnel, contrôle du bilan et du compte de résultat, de l’activité prévisionnelle, etc.,
• Juridique : statuts de l’entreprise, procès en cours, détention de brevets et de propriétés intellectuelles, etc.,
• Stratégie de l’entreprise (identification des concurrents, des forces de l’entreprise, de ses canaux de distribution, etc.

Bien que l’actualité soit riche d’exemples d’entreprises touchées par des cyberattaques, la question de la cybersécurité est encore bien trop souvent négligée lorsqu’il s’agit de fusions/acquisitions.

Mais la perception de ces enjeux est en train d’évoluer. Dans un récent sondage mené par le cabinet d’avocat Freshfields Bruckhaus Deringer, spécialisé en droit des affaires, 90% des répondants estiment qu’une cyberattaque avérée pourrait engendrer une réduction du prix d’acquisition de la cible, et 83% d’entre eux pensent qu’une attaque se produisant pendant la phase de due diligence pourrait conduire à un abandon total du deal en cours.

Le risque cyber est bien réel dans la mesure où, dès que deux systèmes d’information sont interconnectés, l’ensemble hérite souvent de facto du niveau de sécurité le plus faible des deux. À cela s’ajoutent les risques d’écarts réglementaires, alors que les régulateurs durcissent leur position partout dans le monde, et qu’une fusion/acquisition met la structure sous les feux des projecteurs.

L’évaluation du risque cyber : un pilier futur des fusions/acquisitions ?

De plus en plus conscientes de ce risque, les entreprises intègrent progressivement la notion de « risque cyber » à leurs stratégies de rapprochement. L’objectif est, en principe, simple : comprendre si le rapprochement des deux entreprises, et donc probablement de leurs systèmes d’information, augmente le risque de fuite d’information, d’attaque ou encore de non-conformité.

Il existe pourtant une différence majeure entre une due diligence classique et son pendant cybersécurité. Si les règles comptables et légales sont claires et partagées au niveau international, il n’existe pas encore d’équivalent dans le monde de la cybersécurité. Les standards se multiplient (par type de système ou de données à protéger, par industrie, par pays…), mais il s’agit de référentiels de bonnes pratiques indiquant comment bien mettre en œuvre sa cybersécurité, et non si elle a bien été mise en œuvre. Notons quelques exceptions notables, tels que les environnements certifiés PCI-DSS (protection des données de cartes bancaires), ou encore des environnements homologués de type Défense. Ces exemples sont cependant toujours des périmètres spécifiques et très limités.

Pour l’acquéreur, le fait d’agir en bonne foi et de ne pas être conscient de manquements en sécurité n’empêchera aucune cyberattaque : en risque cyber, on n’endosse pas seulement la responsabilité, mais bien directement le risque lui-même !

De la même manière, il n’est pas aisé (pour ne pas dire impossible) pour une entreprise de garantir que sa cybersécurité est « bonne ». Le fait d’avoir géré son système d’information « en bon père de famille » ne garantit pas qu’il ne constituera pas une faiblesse demain… où dans l’heure qui suit.

Le cadre des fusion/acquisitions n’est d’ailleurs pas le seul à présenter un intérêt à étudier les aspects sécurité d’un SI au travers d’une cyber due diligence. Depuis plusieurs années, les principaux assureurs internationaux ont lancé leur offre de cyber-assurance. Dans ce cadre, ils cherchent – légitimement – à connaître le niveau de sécurité informatique des entreprises qu’ils vont assurer, ou a minima à savoir quel niveau général de cyber-risque ils auront à couvrir. C’est ainsi qu’en amont de ce type de souscription, les cyberassureurs s’accompagnent aujourd’hui d’experts en sécurité informatique, dont le rôle est d’effectuer une due diligence à haut niveau.

Quelle démarche pour une due diligence cybersécurité ?

En quoi consiste une due diligence sécurité ? Il ne s’agit pas d’une nouvelle technologie ou d’une méthode révolutionnaire, mais de l’utilisation équilibrée et ciblée de différents outils de la cybersécurité.

Plusieurs approches sont possibles :

• Une approche sur la base de questionnaires. Il s’agit alors uniquement de traiter les réponses à une série de questions, généralement avec des réponses à choix multiples. Au-delà du manque de profondeur d’une telle approche, son issue dépend fortement de qui répond au questionnaire et de la manière dont il est utilisé – bien souvent, il est malheureusement à peine lu.

• Une approche par entretiens. Il s’agit d’évaluer la situation par rapport à un référentiel connu et adapté, lors d’échanges avec les responsables de la sécurité de l’entreprise considérée. La limite de cette approche est qu’elle ne se base que sur des déclarations, et n’apporte aucune preuve de ce qui est avancé. Menée par un expert rodé à l’exercice, elle permet tout de même rapidement d’avoir une vision générale sur le type de pratiques sécurité mises en œuvre.

• Une analyse par des outils automatisés, qui vont découvrir les systèmes d’informations et essayer d’identifier des failles préexistantes. Si cette méthode n’est pas infaillible, elle permet d’obtenir rapidement une première évaluation du niveau de maturité de la structure.

• Une approche « complète », constituée à la fois d’une analyse théorique et organisationnelle de la sécurité, mais aussi de tests d’intrusion permettant d’obtenir une vision la plus proche possible de la réalité. Cette approche, idéale dans l’absolu, est souvent utilisée dans le cas de rachats de start-ups, mais presque jamais dans le cadre de deals de plus grande envergure, pour des raisons à la fois de coût et de manque de temps.

Quelle que soit l’approche retenue, elle peut être rythmée en deux temps : une première analyse pour amener une connaissance et une compréhension du risque sécurité, et ainsi alimenter la réflexion sur le go/no go du deal ; une éventuelle seconde analyse, plus poussée, pour évaluer plus finement ce risque et décider de la mise en œuvre d’actions correctives.

La due diligence cyber : un élément de valorisation

Que ce soit pour l’acquisition d’une entreprise ou pour l’évaluation du risque pris par un cyberassureur, la due diligence doit donc être un élément qui favorisera la réflexion autour de la faisabilité.

Elle doit également constituer un élément de valorisation de l’entreprise dans la mesure où la mise en conformité de cette dernière par rapport aux bonnes pratiques du marché peut s’avérer coûteuse.

Elle permet, enfin, de déceler les aspects réglementaires à respecter, comme les lois touchant les entreprises vitales aux Etats (Loi de Programmation Militaire pour les OIV en France, et de nombreuses lois similaires dans le monde), et qui peuvent nécessiter un certain nombre d’adaptations à prévoir sur le système d’information de la cible, et/ou de l’acheteur.

A-t-on déjà vu des due diligences en cybersécurité mener à l’abandon d’un rachat ? Pas publiquement. On assiste plutôt à la correction rapide des manquements les plus graves identifiés, parfois à la décision de ne pas connecter certaines parties des systèmes d’information.

Auront-elles pour autant de réels impacts sur les transactions ? À cette question, Verizon a répondu avec un chiffre : en février 2017, l’opérateur a diminué son offre de rachat de Yahoo de 350 millions de dollars. Sur les 4,8 milliards initialement offerts, cela correspond à un peu plus de 7% de la valeur estimée.

Cet article La due diligence « cyber », nouvel élément de valorisation d’une entreprise est apparu en premier sur RiskInsight.

La transformation numérique : entre enjeu stratégique et menaces

La transformation numérique actuelle des entreprises se manifeste par une concentration et une circulation accrue de données. Ces dernières sont de plus en plus manipulées par des systèmes généralement non maîtrisés de bout en bout (big data, cloud, réseau social d’entreprise, etc.). Cette transformation numérique s’inscrit de plus dans un contexte d’allongement de la chaîne de prestataires et de partenaires (entreprise étendue), d’une mobilité et d’usages facilités (BYOD) et d’une attente forte d’immédiateté et de disponibilité de la part des clients et des collaborateurs. Concrètement cela engendre la mise en place d’outils transverses permettant de répondre à des enjeux d’agilité et de collaboration en cassant les silos entre les entités, mais avec des collaborateurs ou des clients peu formés aux nouveaux usages apportés.

Cette évolution rapide à laquelle aucun secteur d’activité n’échappe, entraine des risques qu’ils s’avèrent nécessaire d’identifier et de maitriser. Ces risques, loin d’être limités aux systèmes d’information, sont éminemment transverses et représentatifs de l’interconnexion existante entre les différents métiers.

Dans ce contexte, l’enjeu pour les directions en charge des risques (Juridique, Conformité, Risque, Contrôle Interne, Sécurité IT et Audit, etc.) est d’évaluer les risques liés à la transformation numérique et de garantir la continuité, la disponibilité ainsi que la protection des données et des applications.

La transformation numérique : révélateur et catalyseur des risques

La transformation numérique ne va pas générer de nouveaux risques mais va agir comme un catalyseur des problématiques déjà existantes. En effet, un tel programme va nécessiter de prendre en compte les besoins des métiers et de regarder les impacts potentiels (outils, processus métiers, etc.). Une lecture par les risques va permettre de faire resurgir toutes les problématiques et de réévaluer les risques et les dispositifs de couverture à la lumière du nouveau contexte.

L’identification des risques doit être accompagnée par la réalisation d’une cartographie des risques afin d’y intégrer les différentes problématiques concernées. En d’autres termes cela revient à regarder l’ensemble des risques qui pèsent sur la « donnée » dans ce nouveau contexte : compliance/juridique, sécurité, RH. À cela, peuvent également s’ajouter des risques d’image ou liés à la gouvernance.

Trois typologies de risques doivent être regardées avec une attention toute particulière :

Les risques réglementaires : l’identification des contraintes réglementaires sur la donnée

Depuis plusieurs années, les régulateurs ont commencé à s’intéresser à la manière dont les entreprises manipulent et sécurisent les données, ce qui a eu pour conséquence un renforcement croissant des contraintes réglementaires autour de ce sujet : nouveau règlement européen, durcissement du droit Russe, etc.

Compte tenu de cet environnement, les entreprises doivent identifier les réglementations auxquelles elles sont assujetties, les contraintes potentielles qu’elles peuvent générer et qui éventuellement ne sont pas respectées (partage de données bancaires ou de données industrielles hors du pays propriétaire, partage non encadré de données à caractère personnel hors de l’Union Européenne, etc.).

Une fois les contraintes identifiées, il est nécessaire de mettre en place les dispositifs adéquats pour y répondre : par exemple les Binding Corporate Rules (BCR) qui assurent une protection et une manipulation conforme des données à caractère personnel.

Les risques de sécurité SI : la sécurisation des données et des outils

Dans un monde digitalisé, les données peuvent être volatiles passant d’un outil à un autre facilement (emails, outils collaboratifs, applications mobiles, etc.). Il est donc nécessaire de formaliser un cadre clair (principes, règles, etc.) pour sécuriser l’information de bout en bout.

Au-delà du volet organisationnel et fonctionnel, il est également important de prendre en compte les contraintes d’architecture des systèmes d’information afin d’être en adéquation avec les enjeux de sécurisation (serveurs locaux, synchronisation ou non des données, enregistrement de population, etc.).

Les risques liés à la « conduite du changement » : l’évolution des dispositifs RH

La conduite du changement ne doit pas être limitée à la sensibilisation des collaborateurs sur les nouveaux outils ou les nouvelles modalités de travail. En effet, la transformation numérique peut avoir un impact profond sur le fonctionnement même d’une entreprise (management 2.0, mobilité, télétravail, Flex office, etc.). Il convient donc d’adapter les dispositifs RH existants et d’accompagner le collaborateur.

Par conséquent, un travail de formation et de sensibilisation doit être mené d’une part auprès des collaborateurs et des managers, mais également auprès des instances représentatives du personnel en les impliquant dès le départ dans le projet.

Traitement des risques liés à la transformation numérique : adopter une approche collaborative

Les risques liés à la transformation numérique embarquent une transversalité qui peut entrainer une difficulté lors de l’identification des porteurs et des actions à réaliser pour traiter lesdits risques. Cette difficulté est due à un périmètre des risques très large qui peut s’étendre sur plusieurs métiers ou sur plusieurs fonctions risques. Ainsi, il est nécessaire d’organiser une collaboration entre tous les acteurs pour prendre en compte cette transversalité et pour s’assurer in fine qu’il ne réside pas de zones de vulnérabilités pouvant être exploitées (cyber-attaque, fraude, indisponibilité, non-respect de la réglementation, etc.).

Cette collaboration doit être organisée à l’aide de quatre principes structurants :

• S’appuyer sur les programmes de transformation pour lancer les travaux sur les risques. En effet, les différents acteurs à mobiliser ont souvent peu l’habitude de travailler ensemble. Le « prétexte » d’un programme sur un sujet d’actualité doit permettre de créer une véritable dynamique,

• Réunir une équipe pluridisciplinaire composée de différentes fonctions et domaines d’expertises afin de confronter l’ensemble des points de vue,

• Accepter la remise en cause des dispositifs existants. La transformation numérique peut entrainer de profondes modifications dans l’organisation de l’entreprise, par conséquent, il peut également s’avérer nécessaire de faire évoluer le cadre normatif (dispositif de contrôle interne, nouvelles règles de gestion, etc.),

• Mettre en place une instance transverse afin de partager les avancements sur les travaux et disposer d’un niveau de validation nécessaire pour entériner les productions.

Aujourd’hui les entreprises s’appuient sur de nombreux référentiels pour aider l’identification et le traitement des risques (méthodologies internes, ISO 27005, ISO 31000, etc.).  Toutefois, le nouveau cadre que vient imposer la transformation numérique montre les limites de ces modèles qui ne prennent pas ou peu en compte la transversalité et les nouvelles connexions entre les métiers et les technologies. L’un des objectifs à venir pour les acteurs de la maitrise des risques est de faire évoluer rapidement les dispositifs et méthodologies existants afin de faire face à ces nouveaux enjeux.

Cet article Quels risques pour la transformation numérique ? est apparu en premier sur RiskInsight.

L’enjeu de la connectivité avant celui de la cybersécurité

Avant d’évoquer pleinement la question de la cybersécurité en Afrique, il convient au préalable de poser une série de constats sur le niveau de connectivité du continent africain. Rappelons tout d’abord que le taux d’accès de la population du continent à Internet a atteint 20% en 2015, contre 77% en Europe. En cause, la faiblesse importante des infrastructures nationales rendant, dans certains pays, une connexion à Internet très onéreuse ; en République centrafricaine ou en Guinée une connexion haut débit peut coûter jusqu’à 500 dollars par mois. Par ailleurs, le développement rapide de l’Internet mobile en Afrique et l’essor des cybercafés dans certains pays ne participent que modestement à désenclaver numériquement la population. Et si certains observateurs saluent les nombreux projets en cours visant à relier l’Afrique aux autres continents par des câbles sous-marins, il est utile de rappeler que les gains de connectivité ne bénéficieront pleinement qu’aux populations dont les États auront préalablement résolu les problèmes d’approvisionnement et de délestage électriques, puis investi dans une infrastructure nationale des Technologies de l’Information et de la Communication (TIC).

Au regard de ces constats, il existe donc de profondes inégalités dans l’accès à Internet sur le continent, rendant ainsi certaines régions et une grande partie de la population totalement absente du cyberespace et de ses enjeux. Cette réalité, mise en parallèle avec les besoins d’une partie de la population africaine, éloigne évidemment bon nombre d’États africains de la problématique de la cybersécurité.

Une cybersécurité encore timide face aux menaces

Pour autant, au-delà de ces insuffisances, il existe bel et bien un développement du numérique en Afrique, caractérisé par bon nombre d’études comme porteur de croissance économique. De nombreux projets fondés sur l’utilisation du numérique vont en effet dans ce sens, facilitant une sortie de la pauvreté et un développement économique local. Pour accompagner ce mouvement, certains pays comme le Sénégal ou le Kenya se sont dotés d’autorités chargées de piloter et promouvoir le développement des TIC au niveau national. Mais en Afrique comme ailleurs, le développement du numérique est synonyme de développement des menaces. À ce titre la Côte d’Ivoire et le Nigeria sont régulièrement cités comme principaux foyers de la cybercriminalité sur le continent, encore principalement portée par les escroqueries de tout type (scam 419). Un rapport de Trend Micro note par ailleurs un développement du défacement (cyberhacktivisme) et de formes plus lucratives de cybercriminalité (botnets, malwares, RATs). Jusqu’à présent, bien que le niveau de sophistication de la cybercriminalité en Afrique soit resté globalement limité, les insuffisances des États dans la lutte contre la cybercriminalité font craindre à terme une multiplication des actes cybercriminels, au détriment du développement de l’économie numérique.

Face à ces cybermenaces, force est de constater que l’action des États africains en matière de cybersécurité est globalement encore timide. À ce jour, seulement 40% des pays africains disposeraient d’un cadre législatif sanctionnant les actes liés à la cybercriminalité. Certains de ces pays disposent par ailleurs d’une autorité dédiée à la cybersécurité, voire d’un CERT dont le rôle est de répondre aux incidents. Mais bon nombre de pays africains peinent à lutter efficacement contre la cybercriminalité, en raison notamment d’un déficit important de ressources. Ce manque touche autant la main d’œuvre qualifiée en cybersécurité, tant dans le secteur public que privé, que les formations dédiées et les ressources matérielles et technologiques adéquates. En outre, le faible nombre de mécanismes de coopération entre pays africains et avec le reste du monde complique considérablement l’identification, l’interpellation et le jugement des cybercriminels par les forces de l’ordre. Enfin, même si ce n’est pas l’apanage des pays africains, il existe un risque dans certains États que la cybersécurité soit dévoyée afin de limiter la liberté d’expression, comme cela a été le cas en Angola.

Quelques États africains sont toutefois remarquables par les efforts qu’ils déploient pour devenir des acteurs de la cybersécurité crédibles sur le continent, comme le Maroc qui multiplie les initiatives ces dernières années : plan d’action de lutte contre la cybercriminalité, présentation de sa stratégie de cybersécurité devant la 4^ème conférence mondiale sur le cyberespace, coopération avec l’Espagne… Le Sénégal n’est pas non plus en reste avec dernièrement la création d’un centre national de cybersécurité, d’un laboratoire dédiée à la lutte contre la cybercriminalité, une coopération renforcée avec les Pays-Bas et la France ou encore l’accueil d’une rencontre régionale sur la cybersécurité. Nous aurions pu également citer le Kenya ou l’Afrique du Sud.

Quelles perspectives pour la cybersécurité en Afrique ?

Pour renforcer la lutte contre la cybercriminalité, l’Union Africaine (UA) a adopté en 2014 – après quatre années de négociation – une convention sur la cybersécurité et la protection des données personnelles fournissant aux États signataires un cadre légal commun régulant les activités des internautes. Bien que l’initiative aille dans un sens propice à la lutte contre la cybercriminalité, là aussi, certaines mesures du texte peuvent être utilisées pour limiter la liberté d’expression des citoyens des pays concernés. Le texte a donc été vivement contesté et, à ce jour, aucun pays de l’UA ne l’a ratifié, faisant de cette initiative un échec. Une poignée de pays africains ont néanmoins adhéré ou sont en voie d’adhésion à la convention de Budapest, élaborée par le Conseil de l’Europe, dont le contenu prête davantage au consensus puisqu’elle a déjà été ratifié par 44 pays, majoritairement européens.

D’autres initiatives émergent pour soutenir les actions des États dans la lutte contre la cybercriminalité, à l’image de l’Organisation Internationale de la Francophonie (OIF) qui aspire à devenir un cadre d’échanges sur les meilleures pratiques entre les 80 États membres concernant la cybersécurité. Des initiatives se structurent également sur le plan régional, comme en attestent les rapprochements sur ces questions des États de la Communauté Économique des États d’Afrique de l’Ouest (CEDEAO) avec le Conseil de l’Europe[25] et des États de l’East African Community (EAC) avec l’ONU. Citons enfin les partenariats bilatéraux que peuvent tisser les pays, comme le programme de coopération entre l’ANSSI et l’Agence De l’Informatique de l’État (ADIE) sénégalaise, dont l’objectif est d’accroitre les capacités du Sénégal en matière de cybersécurité. Des programmes similaires existent avec le Gabon et le Maroc.

Les différentes initiatives régionales évoquées sont salutaires à deux titres. Elles permettent, au sein d’une même région, d’inscrire des États étant à différents niveaux de maturité dans une dynamique d’entraide, qu’il s’agisse de coopération judiciaire ou de partage d’informations et de bonnes pratiques. Par ailleurs, ces initiatives font intervenir des acteurs extra-africains (organisations internationales ou États) qui disposent de l’expertise (formation, entrainement, connaissance des menaces) et/ou de moyens financiers et matériels à même de soutenir les efforts des États africains. Mais ces mécanismes de coopération ne seront efficaces, à termes, que s’ils s’appuient au niveau national sur des outils et instruments crédibles au service d’une réelle volonté politique de renforcer la cybersécurité. Cela passe entre autre par la création et la mise en œuvre effective d’un cadre juridique de lutte contre la cybercriminalité, de forces de police dédiées, d’une stratégie nationale de sécurité des systèmes d’informations, d’une autorité dédiée ou encore d’un CERT.

Cet article Cybersécurité en Afrique : état des lieux et perspectives est apparu en premier sur RiskInsight.

Or, ces faiblesses socio-organisationnelles sont analogues aux circonstances de certains accidents observés dans l’industrie. Ainsi, ce secteur a dépassé depuis plusieurs décennies l’étude des événements selon les facteurs technique, humain, procédural et environnemental, pour s’intéresser désormais aux causes dites « systémiques ». Une méthode d’analyse des accidents consiste à travailler à partir du modèle de défense en profondeur théorisé par le Pr. James Reason pour comprendre les conditions préalables et trouver les dysfonctionnements cachés au sein de l’organisation. Cette approche décrit le mécanisme d’accident par un élément déclenchant qui trouve un cheminement possible au travers des barrières de sécurité successives (flèche rouge ci-dessous) en raison de l’addition de vulnérabilités latentes (défaut d’organisation, décisions hiérarchiques faillibles, mauvais traitement de signaux précurseurs) et patentes (actes non sûrs, défaillance d’un équipement).

Défense en profondeur (d’après James Reason, Human error 1990)

La cybersécurité n’échappe pas à ce principe de « défense en profondeur », et le mécanisme des cyber-attaques présente une similitude avec celui des accidents industriels. Par exemple, une mauvaise prise en compte d’événements précurseurs ou une sensibilisation insuffisante du personnel sont autant d’éléments que l’on retrouve de façon récurrente dans le contexte d’attaques informatiques.
En conséquence, comment exploiter les enseignements issus de l’industrie pour renforcer la cybersécurité notamment en s’appuyant sur les comportements individuels et collectifs et en travaillant sur les FOH (facteurs organisationnel et humain) ?

La mise en place d’une « organisation apprenante »

Un des premiers leviers développés pour la maîtrise des risques industriels est la mise en place d’un système de gestion du retour d’expérience (REX) et la construction d’une « organisation apprenante » sur cinq points essentiels :

• Un engagement du niveau de la direction définissant la politique REX, les moyens techniques et humains, les seuils de détection et les modes de report des événements, des garanties sur la « non-punitivité » de l’erreur),
• La promotion d’une culture « déclarante » des erreurs, obtenue par un climat de confiance, changement sociologique au sein de l’entreprise qui permet de passer du « Qu’est-ce que je risque à en parler ? » à « Que risquons-nous si je n’en parle pas ? »,
• L’utilisation du principe de subsidiarité car, face à l’accroissement de la remontée d’information généré par ce système, pour continuer à détecter « le signal utile dans le bruit de fond » les dirigeants doivent laisser traiter les incidents au bon niveau de responsabilité,
• L’animation du système par des revues systématiques et des actions correctrices pour maintenir la motivation du personnel à reporter les erreurs en produisant des effets concrets et perceptibles,
• L’ajustement des seuils de détection d’événements et la diffusion des bonnes pratiques pour entretenir la dynamique du système lorsque la sécurité s’améliore. Cela permet d’éviter le paradoxe des systèmes « ultra-sûrs » ne générant plus d’incidents significatifs avec le risque de voir le système REX s’éteindre.

La cybersécurité s’est parfaitement appropriée les points 1 et 5 : PSSI, chartes, promotions des bonnes pratiques sont en place. Les points 3 et 4 restent à consolider : L’organisation SSI possède bien des relais locaux, mais l’expertise est souvent centralisée. Des audits et des contrôles sont effectués mais des lacunes sont observées dans le suivi et la mise en œuvre d’actions correctrices (hors SMSI). En revanche, un effort important reste à accomplir sur le point 2 : Les procédures de gestion des incidents existent mais le milieu de la cybersécurité doit encore développer une réelle « culture déclarante » au sein de l’entreprise.

Une claire séparation des pouvoirs

Pour renforcer la sécurité une claire séparation des pouvoirs est également à instaurer, entre autorités régulatrices (fixant lois, règles ou principes organisationnels), organismes de contrôle, et exploitants (ou fournisseurs de service).

La séparation des pouvoirs

Cette disposition permet des prises de décision éclairées par des points de vue extérieurs, parfois divergents, et d’éviter la « consanguinité » dans les processus de décision et de gestion des risques. En cybersécurité ce point reste à consolider, les autorités régulatrices devant davantage déléguer, à terme, la certification des systèmes et des organisations à des organismes tiers et indépendants.

Vers une culture de sécurité intégrée

Les points précédents doivent être renforcés par l’instauration, au sein de l’entreprise, d’une culture de sécurité intégrée, ensemble de bonnes pratiques visant à réduire les risques de façon proactive ou réactive, construites collectivement en intégrant fortement le personnel d’exécution dans l’établissement des règles et procédures.

Une culture de sécurité intégrée

Dans cet ensemble le management fixe les objectifs et fournit à ses subordonnés les moyens matériels et humains d’agir en temps utile. Il crée également une organisation qui doit coordonner les activités de chacun, en profitant au mieux des qualités complémentaires des individus. Celle-ci sollicite le management qui est amené sans cesse à ajuster et décider (arbitrage collectif si nécessaire). L’organisation est vivante et doit avoir la capacité de réagir à toutes les situations, même imprévues, en faisant appel à l’intelligence collective et adaptative de tous ses membres pour rattraper des situations critiques. Les collaborateurs doivent saisir l’importance de leur rôle dans l’activité en cours ou dans les objectifs à atteindre. Avec un management de proximité qui donne du sens à l’action, ils seront plus efficaces, se coordonneront mieux dans l’organisation, et seront à même de prendre des décisions à leur niveau permettant en cela à l’organisation de mieux résister aux événements néfastes. Dans ce contexte, un équilibre subtil est à trouver entre la sécurité réglée (basée sur le formalisme, les procédures, les équipements et les automatismes) et la sécurité gérée (s’appuyant sur la capacité d’anticipation, la faculté d’initiative et d’adaptation des individus et de l’organisation).

Conclusion : Quelles pistes d’avenir pour la cybersécurité ?

Ces derniers points, relatifs à la culture d’entreprise et au bon équilibre « sécurité réglée – sécurité gérée », représentent l’état de l’art en matière de sécurité industrielle sur lequel travaillent, depuis bien des années, des organismes experts (ICSI/FONCSI, IMdR). Force est de constater que le milieu de la cybersécurité est encore peu impliqué dans ces réflexions, alors que l’information et les technologies associées doivent être considérées comme un actif stratégique de l’entreprise jouant un rôle de plus en plus important dans la maîtrise des risques. Un meilleur échange entre ces deux mondes constitue donc un enjeu de taille pour la cybersécurité dans les années à venir. Notons que cette question, abordée ici sous l’angle des cyber-attaques, serait tout aussi pertinente en ce qui concerne la continuité d’activité et les autres menaces environnementales.

Cet article Cybersécurité : Quelle place pour l’humain et quelle organisation ? est apparu en premier sur RiskInsight.

Mais au-delà de cette succession de nouveautés, cette situation pose surtout des défis en termes d’organisation et de gestion des compétences qui devront être au cœur des actions en 2016.

2015 : une année charnière

L’actualité du triptyque « menaces / réglementations / produits » a été débordante sur 2015.

Des incidents ultra-médiatisés (Sony Pictures, TV5 Monde, Ashley Madison, VTech…) ont rappelé régulièrement les vulnérabilités des systèmes et l’attrait des cybercriminels et des états pour les données immatérielles des entreprises. Cette médiatisation, parfois exagérée, a au moins le mérite d’attirer l’attention sur la cybersécurité au plus haut niveau dans les entreprises mais aussi largement sur l’ensemble de la population.

Les réglementations se sont renforcées drastiquement (Loi de Programmation Militaire, Règlement européen sur les données à caractère personnel…) et vont nécessiter des investissements de grande ampleur. 2016 sera une année où il faudra intégrer ces nouvelles exigences et cadrer les projets de déclinaison, les échéances commençant à tomber dès 2017.

Les éditeurs n’ont pas été sans imagination pour inventer des nouvelles catégories de produits ou de nouveaux concepts. Après « l’anti APT », les mots-clés « machine learning », « Self Defined Security », « Cloud Access Security Broker – CASB » et bien d’autres nous promettent d’arriver à sécuriser les données dans un contexte de changement permanent où les frontières du SI n’existent plus et où le Cloud est devenu une réalité. De nombreuses startups émergent dans ces domaines et des incubateurs/accélérateurs se spécialisent (Euratechnologies, Cylon…). Nous ne serons donc pas à court de solutions innovantes.

Les cercles et associations s’intéressant à la cybersécurité connaissent également une progression rapide et des commissions « cybersécurité » se relancent ou font leur apparition dans des cercles d’influence qui en étaient alors dépourvus (Syntec, Cigref, Medef…).

Compétences et pilotage : les clés pour réussir les grands programmes cybersécurité

Mais au-delà de cette succession d’évènements à prendre en compte, la situation actuelle pose des défis nouveaux en matière de professionnalisation et de gestion des compétences qui devront être au cœur des actions en 2016.

En particulier, le retour d’expérience du déroulement des grands programmes met en lumière deux limites.

La première, c’est la difficulté à disposer des compétences nécessaires pour mener à bien ces programmes. Que cela soit dans les entreprises ou au niveau des fournisseurs conseil ou intégration, les profils ne sont pas aujourd’hui assez nombreux. D’importants efforts de reconversion ou de recrutement sont en cours (par exemple chez Solucom nous avons recruté plus de 90 personnes cette année dans le domaine de la cybersécurité). Mais ceux-ci ne donneront tous leurs fruits que dans quelques années.

La deuxième c’est la difficulté à faire aboutir ces programmes d’ampleur. D’un côté les acteurs historiques de la cybersécurité sont peu habitués à gérer autant de projets (parfois quasiment une centaine) et de budget (plusieurs dizaines de millions d’euros), dans des délais aussi courts. De l’autre côté, ces chantiers impactent de manière transversale l’entreprise, et en particulier les équipes en charge du SI. Ces dernières, qui sont plutôt en phase de réduction des coûts, comprennent peu l’engagement de moyens sur la cybersécurité, voire n’ont pas la capacité à réaliser les actions demandées. D’autant plus qu’il s’agit souvent d’actions « de fond » telles que la cartographie du SI ou encore une gestion rapide et efficace des changements et des incidents, sujets déjà complexes et en souffrance depuis des années. Sans oublier que le système d’information est de plus en plus diffus, en particulier via le Cloud, et il est toujours aussi difficile de savoir où sont et où vont les données alors qu’elles constituent pourtant – encore plus aujourd’hui qu’hier – une grande partie du patrimoine de l’entreprise.

Ce constat nécessite de renforcer la filière cybersécurité, en particulier de lui adjoindre des ressources, pas forcément expertes en sécurité, mais en mesure de porter des grands programmes.

Une priorité : réinventer la filière « cybersécurité »

2016 sera très certainement une année rythmée par des incidents, des cadrages réglementaires, des grands programmes de sécurité et des tests de produits innovants. Mais 2016 devrait aussi être l’année où la filière « cybersécurite » tirera les fruits de la prise de conscience et se réinventera en s’emparant de ces enjeux.

Comme souvent dans notre secteur, les banques montrent le chemin. Elles ont lancé cette année plusieurs projets de réorganisation de leur filière pour l’adapter aux nouveaux enjeux. Ce mouvement doit se décliner dans les autres secteurs d’activité et entraîner la mise en place d’une organisation équilibrée, répartie dans et hors de la DSI. Cette nouvelle organisation devra être à même de porter des grands programmes et de s’emparer des enjeux métiers, tout en développant son expertise et en assurant au quotidien le maintien en condition de sécurité du système d’information.

Ce qui pouvait paraître impossible précédemment l’est de moins en moins avec le support évident aujourd’hui des directions générales. Mais ces dernières attendent des résultats visibles et rapides.

Cet article Cybersécurité : priorité à la professionnalisation en 2016 ? est apparu en premier sur RiskInsight.

Les erreurs commises et leurs leçons

L’enquête a montré que cet accident était la conséquence d’erreurs simples et multiples qui auraient pu être évitées.

Tout d’abord, les procédures de démarrage n’ont pas été respectées car elles étaient contraignantes. Les opérateurs avaient pris l’habitude de les court-circuiter. Par ailleurs, le management de la raffinerie avait fermé les yeux sur plus de 13 cas de non-respect de la procédure de redémarrage recensés par les enquêteurs.

Expliquer le bien-fondé des procédures et les dangers auxquels les opérateurs sont exposés incite le personnel à les respecter. Cela augmente à peu de frais la sécurité d’ensemble. De plus, une structure de traitement du retour d’expérience aurait sans doute permis de déceler l’anomalie et d’y remédier de façon pratique en prenant en compte les contraintes de terrain et les propositions des opérateurs.

Le non-respect de la procédure consistait à dépasser le niveau d’hydrocarbure à distiller dans la tour. Mais les opérateurs étaient confiants dans le fait que s’ils dépassaient le niveau prescrit par la procédure, une alarme de « rattrapage » s’activerait. Ils pensaient aussi que la régulation de niveau automatique maintiendrait le niveau dans des limites acceptables. Ce qu’ils ne savaient pas, et que personne n’a contrôlé, c’est que l’alarme de « rattrapage » était défaillante et que la régulation automatique n’avait pas été mise en marche.

Nous relevons là plusieurs erreurs de transmission d’informations, de maintenance et de non-vérification de fonctionnalités importantes pour la sécurité. Organiser les passations de suite entre équipes, entre opérateurs et superviseurs, formaliser les communications, mettre en place des tableaux de situations et un système de bons de travaux opérationnel aurait permis d’alerter les opérateurs et de corriger largement à temps la défaillance, même si les procédures étaient court-circuitées ce jour-là.

L’enjeu de la formation et les conséquences de la défaillance du management

Par ailleurs, les informations présentées à l’opérateur de jour et à son superviseur étaient biaisées et les ont conduit tous deux à se faire une représentation erronée de la situation. Par manque de formation et d’expérience, ils n’ont pas identifié d’incohérences et n’ont pas considéré lesdites informations d’un œil critique. Sensibiliser opérateurs et superviseurs à croiser les informations et, pour ces derniers, à prendre du recul, aurait sans doute permis de déceler une anomalie.

Ne perdons pas de vue qu’une formation défaillante doit être au moins compensée par une supervision plus attentive parce qu’expérimentée. La formation se fait alors naturellement in situ. Constituer une équipe d’un opérateur insuffisamment formé (il ne savait pas que le liquide devait sortir de la tour) et d’un superviseur inexpérimenté (il ne regardait pas les bonnes indications et faisait confiance à l’opérateur) est une erreur de management.

Vis-à-vis des impacts de l’accident, pourquoi y avait-il des bureaux préfabriqués à proximité de la torchère ? Vraisemblablement à cause de l’absence d’analyse de risques. Créer et entretenir une culture de sécurité au sein d’une entreprise encourage le personnel à s’interroger (« que se passerait-il si…») et amène à considérer les opérations en cours d’un œil critique, bénéfique pour la sécurité de tous.

Prévenir de grandes catastrophes par de petites actions simples

Dans le contexte de l’accident, il faut mentionner les pressions de la hiérarchie sur le management de la raffinerie. Outre le fait que cette raffinerie avait été rachetée depuis peu par une autre compagnie et que les tensions étaient encore vives à cause de cultures d’entreprises différentes et de craintes légitimes, une réduction des coûts de 25% avait été décidée. Cela a nécessairement eu un impact sur la sécurité, secteur habituellement considéré comme coûteux pour un retour sur investissement impossible à chiffrer. Inviter les cadres à résister aux sirènes du low cost et à ne pas transiger sur la sécurité aurait permis de prévenir bien en amont ce désastre.

Il n’est pas question ici de décider à qui revient la responsabilité de cette explosion et des 15 victimes : trop de personnes, à tous les niveaux, portent une petite part de responsabilité. L’accident s’explique en effet par cette accumulation d’erreurs. Mais imaginons qu’une seule des personnes impliquées ait corrigé l’une des défaillances, il est certain que l’accident n’aurait pas eu lieu.

Par conséquent, en aidant les entreprises à travailler leur organisation, améliorer les communications entre personnes et entre groupes, en sensibilisant sous de multiples formes les opérateurs et leurs managers aux risques pris, il est possible à peu de frais d’améliorer la sécurité dans de grandes proportions.

Cet article Le facteur humain dans l’accident de la raffinerie de Texas City en 2005 est apparu en premier sur RiskInsight.

Le repli croisé est défini comme le repli de collaborateurs d’un site sinistré sur un ou plusieurs autres sites de l’organisation. Généralement les sites sont « appairés » entre eux d’où la notion de repli « croisé » Il s’appuie le plus souvent sur la réquisition de salles de réunion, de salle de formation ou de bureaux.

Cette stratégie intéresse vivement les organisations, dans une optique de valorisation de son patrimoine immobilier et de maîtrise des coûts du PCA. En effet, la souscription à une position de secours chez un prestataire spécialisé peut paraître en comparaison onéreuse : de quelques centaines d’euros par an pour une position dite mutualisée à une dizaine de milliers d’euros par an pour une position dédiée du niveau d’une position de salle de marché.

 Si les avantages de coût, bien qu’indéniables, méritent d’être discutés, la complexité et les contraintes (organisationnelles et techniques) de construction et de maintien en conditions opérationnelles du repli croisé sont souvent sous-estimées et doivent être soulevées.

Comment concevoir son repli de manière efficace ? Quels sont les facteurs clés de succès ?

Afin d’anticiper au mieux la préparation du repli croisé dans le cadre d’une stratégie de continuité d’activité, il convient de répondre à plusieurs problématiques et traiter le repli de bout en bout :

Dans la pratique, cela revient à lancer les trois chantiers majeurs.

 1. Maîtriser le potentiel de repli en relation étroite avec les Moyens Généraux

Ce potentiel doit être maîtrisé avant qu’une situation de crise ou de sinistre ne se produise : la constitution d’un référentiel de positions de repli sur l’ensemble du parc de sites de l’organisation  y contribue. Plus précisément, il s’agit de :

• Cartographier les salles de réunion des différents sites, ainsi que leur capacité d’accueil, et maintenir à jour cette cartographie, ce qui en soit est complexe dans une organisation ou les déménagements intra et inter sites et les réaffectations de locaux sont fréquents.

• Définir, en collaboration avec les IRP, le taux de remplissage envisageable des salles, dans l’esprit des règlementations applicables aux conditions de travail (locaux en lumière naturelle, espace alloué  par personne dans un bureau collectif) mêmes si des conditions dégradées sont envisageables.

Cette étape permet de disposer d’un nombre « réel » de positions de repli à proposer aux Métiers en cas de crise.

2. Opérationnaliser le repli croisé

Il est ensuite nécessaire de s’assurer de la capacité du site de repli à pouvoir accueillir une population productive. Cette opérationnalisation passe par des actions logistiques :

• Permettre l’accès aux locaux : prévoir des moyens ou des procédures d’accès au site : via un stock de badges si le système de badge est différent entre les sites, ou une gestion élargie des droits d’accès en cas de gestion centralisé et de système de badge unique.
• Préparer la démultiplication des prises électriques, pour pallier à un nombre de raccordements en général limité. Pour cela, on peut notamment constituer un stock de matériel requis.
• Les salles de réunion étant par principe réquisitionnées, il est nécessaire de pré-identifier des moyens alternatifs à la tenue de réunions. On peut notamment penser à des réservations (déclenchées le jour J) d’espaces collaboratifs chez des prestataires de proximité ou des hôtels.

L’opérationnalisation s’appuie également sur des actions portées par la filière informatique :

• Fournir des postes de travail aux collaborateurs repliés, du fait de l’indisponibilité des postes de travail nominaux. Pour assurer une réponse rapide, il est nécessaire de pallier au délai d’acquisition de nouveaux postes via l’augmentation du fond de roulement de postes de travail sur un site alternatif.

En cas de crise, ces postes de travail seront réquisitionnés et délivrés aux premiers  collaborateurs repliés. Pour ce faire, il est nécessaire de prévoir :

– La définition d’un master de secours embarquant le maximum de logiciels requis et déployable industriellement.

– La mise en place et le dimensionnement d’une solution de masterisation rapide des postes de travail compatible avec le besoin de repli des collaborateurs sans quoi il ne sera pas possible d’y répondre opérationnellement !

Les deux schémas ci-dessous illustrent les deux cas de figure possibles :

• Démultiplier la capacité de raccordement au réseau : de la même manière que pour le raccordement électrique, il est nécessaire de fournir aux collaborateurs repliés une connexion au réseau. Ce sous-chantier passe par le dimensionnement des liens d’interconnexions des sites, l’anticipation du nombre de ports réseaux complémentaires et au besoin la constitution d’un stock (propre à chaque site et à sa capacité d’accueil) de câbles réseaux et de switchs supplémentaires.

 3. Préparer les aspects pratiques

Le déclenchement du repli croisé va changer les conditions de travail des collaborateurs repliés et des collaborateurs du site d’accueil. Il est donc indispensable de :

• Faciliter la vie sur le site d’accueil : ne pas oublier de fournir les accès nécessaires à la restauration, aux parkings, aux sanitaires, aux distributeurs d’eau, etc. afin de minimiser l’impact de changement de site pour les collaborateurs repliés !

• Prendre en compte les changements affectant les conditions de travail des employés « sinistrés ». Le repli croisé induit des contraintes RH  qu’il convient d’adresser.

• Communiquer sur les impacts du sinistre ainsi que sur l’état d’avancement de remise en service du site sinistré.

Le métier de l’organisation n’est pas de faire du secours : porter le secours en interne nécessite des moyens dédiés et une organisation forte afin de garantir le caractère opérationnel et pérenne du PCA.

Par conséquent, le repli croisé nécessite la mobilisation indispensable des Moyens Généraux et de la DSI, tant dans son élaboration que dans son maintien en conditions opérationnelles dans le temps.

Cet article Continuité d’activité : le repli croisé, pas si simple ! est apparu en premier sur RiskInsight.

Comment construire sa stratégie de repli ? Quelles solutions retenir ?

Connaître ses Métiers critiques

Il est tout d’abord nécessaire de réaliser un Bilan d’Impact d’Activité (Business Impact Analysis ou BIA), qui permettra de cartographier les activités Métiers (notamment en les localisant géographiquement), quantifier l’impact de l’interruption de ces activités dans le temps sur un référentiel partagé (Le BIA permet donc la définition d’un chronogramme de reprise des activités du site en cas de sinistre), et enfin de connaître les spécificités opérationnelles des Métiers afin d’identifier les contraintes techniques qui devront être prises en compte lors d’un éventuel repli (poste de travail spécifique, téléphonie enregistrée, équipement call-center pour les centres de relation client, lecteur de chèques, …)

Identifier exhaustivement les solutions à envisager

Une multitude de solutions permettant un repli de collaborateurs existent à l’heure actuelle :

• Site de repli interne dédié : bâtiment possédé par l’organisation et dédié au PCA
• Site de repli externe, au travers de positions de travail louées et utilisées en cas de crise, selon 2 modèles de location : positions dédiées au souscripteur, positions mutualisées entre plusieurs clients (cette dernière soulevant le risque de non obtention du volume de position souscrites en cas de choc extrême touchant simultanément plusieurs structures)
• Repli croisé entre les sites de l’organisation : réquisition de bureaux disponibles et des salles de réunion des bâtiments non sinistrés et déploiement de postes de travail aux collaborateurs repliés par l’organisation.
• Le Nomadisme ou travail à distance, grâce à des solutions appropriées permettant aux collaborateurs de travailler de chez eux (postes nomades, accès distants au SI, etc.). Cette solution de repli est relativement bien adaptée aux métiers « prédisposés » au travail à distance, avec une faible spécificité opérationnelle (par ex. les populations commerciales.

La stratégie de repli : un portefeuille de solutions à orchestrer

La confrontation des solutions de repli (capacité d’activation dans le temps, contraintes techniques) au BIA (chronogramme de reprise, spécificités opérationnelles) va permettre la conception d’une stratégie globale constituée de la combinaison de solutions unitaires, adaptées à un contexte, des contraintes Métiers et des contraintes de l’organisation. Cette association en un portefeuille de solutions permet de répondre efficacement aux enjeux de la reprise d’activités.

On peut donc, par exemple, envisager une « fusée à 2 étages ».

Les activités critiques, dont la reprise très rapide est vitale (reprise en moins de 48h)

En général, la reprise de ces activités s’envisage sur un site dédié et déjà préparé (postes de travail, raccordement réseau, téléphonie), sur un site de l’organisation ou chez un prestataire.

On peut notamment penser à des activités de front office, de call center, ou encore de fonctions supports très sensibles, alliant au besoin de reprise fort des contraintes opérationnelles complexes à mettre en œuvre rapidement (stations de travail scientifique, téléphonie enregistrée).

Les activités moyennement critiques (reprise à partir de 48h) et les activités non critiques (reprise au-delà de 1 à 2 semaines

Le panel de solutions est large : si le repli chez des prestataires reste d’actualité, on peut dorénavant penser à des solutions moins couteuses, mais nécessitant un certain temps de déploiement opérationnel : repli croisé, nomadisme ou encore déport d’activité. Il est toutefois important de prendre en compte un certain nombre de contraintes lorsque l’on se tourne vers des solutions « internes »  (accès réseau, fourniture de postes de travail, …).

Cette première réflexion permettra de donner naissance à plusieurs scénarios de repli, qu’il conviendra d’évaluer selon des critères choisis : coûts de la solution de continuité (investissement, coût récurrent de maintenance annuelle), capacité à répondre au besoin (reprise des activités techniques, capacité d’activation, …), couverture de risque : capacité à être utilisable sur plusieurs scénarios de risques (par ex. perte d’un bâtiment, pandémie, …), complexité de mise en œuvre de la solution de repli, maintien en conditions opérationnelles (MCO) (complexité et charge du MCO, maintien de la situation dans le temps, …), testabilité de la solution (bascule, ouvertures des accès, …)

A titre d’exemple, on peut imaginer les analyses comparatives représentées ci-dessous :

Enfin, dans le cadre de la mise en place d’une solution s’appuyant sur du repli, un point d’attention est à prendre en compte : la définition de modalités RH. En effet, les conditions de travail des collaborateurs se trouvant modifiées, il est nécessaire de définir un cadre dans lequel s’inscrire en situation de crise.

Cet article Indisponibilité d’un site utilisateur : quelle(s) stratégie(s) de repli ? est apparu en premier sur RiskInsight.

Retour sur l’attaque Target : 40 millions de données bancaires subtilisées

Entre le 27 Novembre 2013 et le 15 Décembre 2013, Target s’est fait subtiliser plus de 40 millions de données bancaires, auxquelles s’ajoutent 70 millions de données personnelles. La méthode d’attaque est classique, mais bien exécutée : les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation. Le système de facturation externe de Target auquel le sous-traitant (et donc les attaquants) avait accès n’étant pas complétement isolé du réseau interne, les cyber-criminels ont réussi à s’y infiltrer, à voler 70 millions de données personnelles, et à installer un logiciel malveillant sur quelques  terminaux de paiements. Après des tests concluants sur les magasins concernés, ils ont décidé, peu avant Noël où l’affluence est la plus forte, de déployer leur malware sur la plupart des terminaux de paiements des magasins du territoire américain.

Les motivations des attaquants sont purement financières. En effet, une donnée personnelle se vend sur le marché noir entre  0,25$ et 2$ environ, tandis qu’une donnée bancaire peut rapporter plusieurs dizaines de dollars. Les gains sont donc potentiellement colossaux pour les attaquants !

Quel coût pour Target ?

Ponemon Institute annonce dans son rapport de 2013 un coût moyen de 130$ par donnée subtilisée, ce qui nous amènerait dans le cas de Target à un montant de plus de 14 milliards de dollars ! Il est cependant très peu probable dans ce cas que de tels montants soient atteints… quoique.

Les conséquences financières de l’attaque pour Target sont multiples. Hormis la perte de clientèle suite à la médiatisation de l’incident, Target a dû faire face à de nombreux coûts : frais d’expertise technique pour colmater la brèche, frais de notification, frais de credit monitoring… et devra faire face à de nombreux autres : amendes règlementaires, procès…

Target a récemment déclaré avoir dépensé 61 millions de dollars pour le moment suite à l’attaque. Ce montant, a priori assez faible au regard de l’importance de la crise (rien que les coûts de credit monitoring devraient dépasser ce chiffre, sans compter les frais de notification), est dans tous les cas assez loin du coût final. En effet, s’il est prouvé que Target n’était pas en conformité avec le standard PCI-DSS au moment de l’attaque, le distributeur peut encourir une amende de 90$ par donnée bancaire, soit 3,6 Md$. De plus, les banques tenteront dans ce cas de se faire rembourser la réémission des dizaines de millions de cartes reconstruites ainsi que les fraudes associées, tandis que les individus touchés intenteront probablement une class-action (procès collectif) à l’encontre de Target…

Et la cyber-assurance dans tout ça ?

C’est là que la cyber-assurance prend tout son sens, en indemnisant une partie non négligeable de ces coûts. La cyber-assurance prend en effet en charge les frais suivants :

Target a déclaré que sur les 61 millions de dollars dépensés, 44 ont été pris en charge par la cyber-assurance, l’ensemble des garanties souscrites par Target s’élevant à 165 M$ environ.

Cependant et il est important de le noter, la cyber-assurance ne couvrira pas la perte de clientèle et la chute du cours de l’action en bourse, qui restent des impacts importants mais difficilement chiffrables.

Il convient également de remarquer que l’attaque en question touche les terminaux de paiements, soit le SI « métier » qui peut parfois faire l’objet d’exclusions dans les contrats de cyber-assurance. Il est donc primordial de tester sa couverture via des scénarios d’attaques concrets.

La difficulté d’estimer le coût d’un scénario catastrophe et des garanties nécessaires

Pour traiter ce type de risque, la cyber-assurance peut donc avoir un rôle à jouer. Cependant, le montant de garantie à souscrire n’est pas simple à déterminer. Il influe directement sur le montant de la prime annuelle à payer par l’assuré, il faut donc trouver le juste milieu entre garantie et coût. Pour ce faire, une analyse détaillée des coûts par scénario peut être menée. Celle-ci permettra d’estimer le montant de garantie complémentaire nécessaire, une fois déduites les garanties des éventuelles autres assurances couvrant une partie du risque : Responsabilité Civile, Tous Risques Informatiques…

Mais ces estimations peuvent amener à des chiffres astronomiques, dépassant allègrement les 500 à 600 millions d’euros pour des acteurs B2C d’ampleur. Le coût de l’assurance en regard est alors élevé, mais judicieux au vu de la multiplication des incidents actuellement. Des grandes entreprises n’hésitent plus à investir 1 million d’euros par an pour ce type de contrat. Les capacités du marché français sont d’ailleurs en constante augmentation, atteignant aujourd’hui jusqu’à 500 millions d’euros de garanties par police d’assurance.

Mais attention à ne pas faire ces dépenses au détriment de l’augmentation du niveau de sécurité de l’entreprise. Car l’assurance n’empêche pas l’incident ! Le cas Target montre bien que des signaux d’alertes ont été ignorés.

Target apparait donc comme une illustration parfaite du rôle de la cyber-assurance dans le cas d’une cyber-attaque majeure. Cependant, un travail non négligeable d’estimation des coûts est nécessaire pour déterminer le montant de garantie à souscrire, afin d’optimiser le montant de la prime annuelle. Et ceci sans oublier de protéger son système d’information des menaces cybercriminelles de plus en plus pointues !

Cet article Target 6 mois plus tard, quel retour sur la cyber-assurance ? est apparu en premier sur RiskInsight.

Comment intégrer une vision plus « positive » du risque au sein de la cartographie ?

Ne pas savoir saisir les opportunités peut être considéré comme un risque vis-à-vis de la stratégie de l’entreprise. Dès lors, on doit attendre de la cartographie qu’elle accompagne cette prise de risques.
Prenons l’exemple d’une entreprise qui souhaite se développer sur un nouveau marché. Cette stratégie pourrait notamment s’appuyer sur l’acquisition d’une société disposant d’expertises sur ce marché. On pourrait raisonnablement considérer cette démarche comme intrinsèquement risquée : la société ciblée apportera-t-elle tout le potentiel attendu ? La valeur d’acquisition sera-t-elle bien évaluée ? Son intégration dans la culture de l’entreprise sera-t-elle facile ?… À ne considérer que les risques, la cartographie pourrait inciter à ne pas se lancer dans une telle démarche d’acquisition qui est pourtant ici nécessaire au développement de l’entreprise.
La bonne réponse passe dès lors par la prise en compte, au sein de la cartographie, non seulement des risques mais également des opportunités. On ne masquera pas les risques car ils nécessitent d’être gérés mais les différents scénarios seront relativisés au regard des bénéfices attendus. La cartographie deviendra alors un vrai outil d’aide à la décision permettant d’équilibrer la prise de risques.

Une vision très dépendante d’un contexte évoluant très rapidement

La perception et la qualification d’un scénario en tant que risque pour l’entreprise dépend des objectifs et du contexte (économique, financier, social,…) de celle-ci. Une bonne conjoncture économique, une trésorerie avantageuse, un contrôle interne efficace,…peuvent être à l’origine de la relativisation de certains risques dans la mesure où leurs impacts sur les objectifs de l’entreprise pourraient être faibles.
Prenons, par exemple, la situation d’une entreprise disposant d’une forte trésorerie, qui l’inciterait peu à chercher des opportunités d’optimisation de celle-ci. Au sein de la cartographie, le risque de manque d’optimisation financière sera très certainement mineur voire inexistant. Dans un contexte business moins favorable, l’argent immobilisé constituera un risque nettement plus conséquent (endettement, pénalités financières, baisse du chiffre d’affaire…) pour l’atteinte des objectifs de l’entreprise.

Adopter une approche globale des risques en intégrant les points de vulnérabilités à traiter mais également les opportunités à saisir passe donc nécessairement par la mise à jour très régulière de la cartographie pour adapter cette dernière aux évolutions rapides du contexte de l’entreprise.

Cet article Gestion des risques : comment équilibrer opportunités de développement et risques ? est apparu en premier sur RiskInsight.

Bien que leur nature ne s’y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.

Mieux appréhender l’incertitude : raisonner à partir des impacts

Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un apparent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).

Si l’histoire récente a parfois obligé les entreprises à s’améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’occurrence catastrophiques), et à en déduire la liste des causes potentielles.

Déjà appliquée dans le domaine financier (« reverse stress-testing »), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion pertinente sur les modalités de traitement de ces risques.

Capitaliser sur le risk management en place, via la notion de « cascade de risques »

Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d’Enterprise Risk Management – ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.

Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l’origine des vraies catastrophes (cf. l’exemple classique de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).

Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.

Bâtir une organisation résiliente

Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.

La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.

A la difficulté près qu’elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).

Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d’investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un back-up sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pour pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.

Même dans ce cas, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles. Dans ce cas d’autres mesures, déjà largement développées sur ce site, sont alors à envisager !

Cet article Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2) est apparu en premier sur RiskInsight.

Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?

Des outils aux fonctionnalités très étendues

Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.

D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :

Une polyvalence capable de répondre aux besoins du RSSI

Chaque module des outils de GRC peut être utilisé dans une logique SSI.

• La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
• Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
• Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.

De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).

Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.

De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.

Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place

Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :

• La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
• Le lotissement doit être progressif  : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
• La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit,  Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.

Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur  un cadre unique.

Cet article Les outils de GRC : une opportunité d’industrialisation de la gouvernance SSI ? est apparu en premier sur RiskInsight.

Une attaque motivée par la perspective de gains financiers

L’enquête semble converger vers un prestataire de l’opérateur qui aurait réalisé le vol de données. Ce dernier a déjà été interpellé par les forces de l’ordre, preuve pour les plus sceptiques, de l’efficacité aujourd’hui des autorités sur ces dossiers d’attaques informatiques. Nous en saurons certainement plus dans les jours qui viennent sur ses motivations, mais la recherche de gains financiers ne doit pas être négligée. Aujourd’hui, un « enregistrement client » (nom, prénom, adresse…) peut se monnayer autour de 15 centimes de dollars, ce qui représente quand même plus 300 000 euros dans le cas de Vodafone.

En effet, plus de deux millions de données clients ont été dérobées, dont certaines informations bancaires. Ces données pourront servir à réaliser des attaques en phishing de « haute qualité », capables de tromper plus facilement les destinataires grâce à des informations fiables. Heureusement, les enregistrements les plus sensibles (numéro de carte, mot de passe…) semblent avoir été épargnés. Dans le cas contraire,  l’impact aurait pu être bien plus important : des fraudes financières auraient pu être réalisées directement.

 Prestataires et administrateurs : des populations à encadrer

Cet incident met à nouveau en lumière la faille majeure que représentent les fonctions d’administrations du SI. Sans préjuger de la situation de Vodafone, ces fonctions sont souvent externalisées à moindre coût dans des méga-contrats dont les contours sont toujours difficiles à cerner (qualification des employés, sous-traitance masquée, pays concernés…) et dont les mesures de sécurité censés encadrer les usages sont rarement vérifiées sur le terrain. Et cette situation se rencontre malheureusement dans de nombreux secteurs, même les plus sensibles. N’oublions pas qu’Edward Snowden, administrateur sous-traitant, nous dévoile régulièrement depuis le début de l’été des documents secrets de la NSA…

Des changements à entamer à la DSI et à la direction des achats dès aujourd’hui pour limiter les risques

Vodafone vient de voir son image écornée et les coûts de gestion de l’incident risquent d’être élevés. Au-delà des coûts directs liés aux investigations, le volet notification des clients peut être majeur. Les chiffres en provenance des États-Unis parlent d’un coût autour de 100€ par clients à notifier, nous sommes dans une fourchette rapidement supérieures à la centaine de millions d’euros.

Dans cette situation, et pour limiter les impacts, un contrat de cyber assurance peut être utile, mais attention il ne doit pas contenir d’exclusion sur les malveillances internes.

Au-delà de cette mesure de compensation, il est bien évidemment nécessaire de vérifier sur les périmètres les plus sensibles de l’entreprise, la qualité et la sécurité des processus d’administration. Il s’agit d’un chantier d’ampleur, qui au-delà de la mise en place de mesures techniques (mise en place de plateforme de rebond, journalisation des actions, limitations des comptes d’administration, utilisation de postes de travail dédiés non connectés à Internet…) est avant tout un projet de conduite du changement. Un changement à mener à deux niveaux, auprès de populations de la DSI souvent très (voir trop) autonomes dans la réalisation de leurs actions au quotidien qui doivent accepter la mise en place de mesure de sécurité et de contrôle, mais aussi et peut être surtout au niveau de la direction des achats pour valoriser les fonctions d’administration du SI et faire de la sécurité un des critères de premiers plans dans les contrats d’externalisation.

Cet article Vol de données chez Vodafone : un rappel douloureux de la « menace intérieure » est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

 Les données clients : un nouvel or numérique convoité

Quel que soit leur secteur, toutes les entreprises sont aujourd’hui exposées à la cybercriminalité. Certaines redoutent le vol de secrets industriels ou encore l’indisponibilité de leurs systèmes, mais ils partagent une crainte commune: le vol de données personnelles de clients, collaborateurs, prospects, partenaires…

Cette richesse des entreprises est particulièrement convoitée par certains cybercriminels, appâtés par le gain financier qu’elles peuvent représenter. En effet, sur les marchés parallèles, les données peuvent se monnayer jusqu’à plusieurs dizaines de dollars par enregistrement…

 Des obligations réglementaires et légales qui vont se renforcer

Les initiatives se multiplient pour protéger ces données et la vie privée des individus face à ces nouvelles menaces. La loi informatique et libertés, mise à jour en 2004, vise depuis de nombreuses années à protéger les libertés individuelles et les données à caractère personnel de traitement illicites.

Elle a été complétée en août 2011 par le Paquet Télécoms, qui a renforcé les obligations des opérateurs de télécommunications dans ce domaine en imposant notamment la notification des violations des traitements de données à caractère personnel aux victimes. En ligne de mire, permettre aux abonnés de connaître les risques qu’ils courent quand la sécurité de leurs données est en cause. Des premières notifications de faible ampleur ont déjà eu lieu. Cette obligation sera étendue à tous les secteurs avec le projet de règlement européen qui devrait être publié en 2014 ou début 2015.

Mais au-delà de la protection de la vie privée, les attaques sur les infrastructures critiques des états inquiètent également la France et plus largement l’Europe. Deux textes sont attendus pour y remédier : un texte français imposant aux Organismes d’Importance Vitale (OIV) un certain nombre d’exigences de sécurité et de notification, audit… et un texte européen définissant des sanctions minimales pour punir les cyberattaques. Attendus dans les prochains mois, ces textes doteront les états et les entreprises de nouvelles armes pour lutter contre la cybercriminalité.

Entre totale transparence et protection des intérêts de l’entreprise, quel équilibre ?

Ces derniers mois, de nombreuses entreprises ont révélé avoir été victimes de piratages : Apple, Ubisoft, OVH… L’enjeu de ces communications ? Prévenir les clients que la sécurité de leurs données a été remise en cause, pour leur permettre de prendre les actions adaptées. Bien souvent, il s’agit d’un changement de mot de passe sur le service, qui peut signifier pour  l’utilisateur un changement sur l’ensemble des services pour lequel il utilise le même mot de passe !

Il est intéressant d’observer les différences entre les notifications et ce que cela révèle sur la relation client des entreprises. OVH,  par exemple a fait preuve d’une grande transparence technique – ce qui est logique vus ses clients et leurs attentes. Apple, cohérent avec ses habitudes de communication, a été assez lapidaire dans les informations délivrées et a prévenu les utilisateurs plusieurs jours après l’arrêt du service. Ils n’ont mis en ligne qu’une page permettant de suivre la remise en service des différents sites touchés.
Ubisoft  a, quant à lui, eu une approche plus classique, proche de celles des grands acteurs du web qui ont connu des situations similaires (LinkedIn, Evernote…). Cependant, le groupe français a connu des soucis de surcharge de ces serveurs au moment de la communication des emails. Cela montre la nécessité et l’obligation de préparation face à ces évènements qui peuvent survenir à tout moment.

Et si les réglementations en place aujourd’hui imposent à ceux à qui elles s’appliquent une notification sans délai aux autorités et au plus tard dans les trois jours aux personnes, une question essentielle peut alors se poser : révéler les détails de l’attaque et les actions de sécurisation décidées ne peut-il pas permettre aux attaquants de poursuivre l’attaque en connaissance de cause ? Il s’agit dès lors d’une décision à peser soigneusement, en considérant à la fois les risques techniques et les risques réglementaires.

 Se préparer à notifier ses clients, sans attendre les obligations réglementaires

L’enjeu est donc aujourd’hui de se préparer à notifier ses clients d’une violation de traitement de données personnelles. Un projet qui concerne réglementairement les opérateurs télécommunication, mais plus largement toutes les entreprises qui veulent préserver leur relation client et leur image !

Si les attaques ne peuvent être anticipées précisément, un cadre de stratégie de notification peut dès maintenant être élaboré en associant juristes, RSSI, DSI et direction marketing pour élaborer les processus et procédures de notification, le plan de communication et la logistique associée. Et rien de tel qu’un exercice de gestion de crise pour tester ces processus !

Cet article Notification des fuites de données clients : vers une transparence systématique ? est apparu en premier sur RiskInsight.

Parmi les maximes bien connues des risk managers, il y a cette phrase de Donald Rumsfeld en 2002, alors qu’il défendait l’intervention américaine en Irak :

“ […] there are known knowns; there are things we know we know.
We also know there are known unknowns; that is to say we know there are some things we do not know.
But there are also unknown unknowns – the ones we don’t know we don’t know.
And […] it is the latter category that tend to be the difficult ones. ”

Cette citation traduit bien la situation à laquelle les organisations font face :

• « known knowns » : ce sont les risques maîtrisés, dont l’occurrence et les conséquences sont évaluées et connues ;
• « known unknowns » : ce sont les risques identifiés et recensés que les organisations ont choisis d’adresser à court ou moyen terme ;
• « unknown unknowns » : ce sont les événements qui n’ont pas été repérés par le « radar » de la gestion des risques ou dont l’occurrence apparaît infime aux regards des autres risques.

Le Cygne Noir de Nassim Nicholas Taleb : théoriser l’imprévisible

En 2007, Nassim Nicholas Taleb développe dans (The Black Swan, publié en 2007) la théorie dite du « cygne noir ». Elle englobe les « unknown unknows » et caractérise les évènements imprévisibles aux impacts majeurs de nature à totalement changer l’environnement ou le destin d’une organisation. Les exemples sont malheureusement de plus en plus nombreux :

• Catastrophes naturelles : ouragan Katrina aux USA (2005), séisme et tsunami dans l’océan indien (2004) ou au Japon (2011), éruption d’Eyjafjöll en Islande (2010), inondations en Thaïlande et en Australie (2011), etc.
• Catastrophes industrielles : explosion de l’usine AZF (2001), incendie de la plateforme Deepwater Horizon (2010), sinistre des centrales de Fukushima (2011), etc.
• Chocs financiers : choc pétrolier (1973 et 1979), chute d’Enron (2001), faillite Lehman Brothers (2008), fraude Madoff (2008), défauts d’Etats (Mexique 1982, Russie 1998, Argentine 2001, Grèce 2011), etc.
• Phénomènes géopolitiques : chute du mur de Berlin (1989), attentats du World Trade Center (2001), guerre en Irak (2003), printemps Arabe (2011), etc.

Par nature, ces évènements se produisent à une fréquence imprévisible. Toutefois notre dernière décennie a montré l’accroissement de leur résurgence. Pour les seules catastrophes naturelles, 2011 a constitué l’année la plus coûteuse de toute l’histoire de l’industrie de l’assurance (~380 milliards de dollars selon l’ONU).

De plus, conséquence d’un monde globalisé et interconnecté, ces phénomènes ont des impacts collatéraux sur l’ensemble des économies de la planète (entre pays producteurs et consommateurs).

Des évènements que les entreprises ne peuvent plus ignorer

Les grandes organisations, qui agissent aujourd’hui sur un périmètre global, ne peuvent plus ignorer ces risques, susceptibles de les impacter directement ou indirectement via leurs fournisseurs, leurs partenaires et leurs clients.

Mais comment les appréhender ? A la différence des risques « traditionnels », impossible de prévoir où, quand et comment ces évènements peuvent se produire. Cela impose un changement de paradigme dans la manière de les adresser, qui fera l’objet d’une prochaine tribune.

Cet article Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 1) est apparu en premier sur RiskInsight.

En effet, le processus de souscription constitue le pilier fondateur d’un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d’une telle opération.

Quels sont les acteurs majeurs de ce processus ?

Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations :

• Le client : il s’agit d’une organisation ou d’une entreprise souhaitant disposer d’une prestation (généralement financière) en cas de survenance d’un incident. C’est lui qui exprime le besoin, que ce soit par ses Risk Manager, ses RSSI, sa Direction Générale ou encore ses acteurs métiers.
• Le courtier : il est l’intermédiaire entre le souscripteur et l’assureur, et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client.
• L’assureur : il crée les polices d’assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client.

Comment se déroule le processus de souscription à une cyber-assurance?

En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une analyse de risques récurrente et un bilan assurantiel (évaluation de la couverture actuelle et des manques) impliquant toutes les parties de l’entreprise sont nécessaires.

Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et des modalités de son accompagnement au cours des différentes étapes, du choix à la vie du contrat.

Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin.

Le client et le courtier présentent ensuite à l’assureur leurs exigences en termes de périmètre de couverture et de plafond de garantie. Dans le cas de montants très élevés, le courtier peut mettre en place des montages d’assurances qui permettent d’atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l’assureur évalue la maturité du client, par l’intermédiaire de questionnaires ou par une analyse de risques. L’assureur propose alors un montant de prime d’assurance en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différents partis.

Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la police d’assurance.

Comment faire vivre le contrat ?

Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l’assureur, notamment sur le devoir d’information en cas de modification significative des risques sur son système d’information. Cette obligation se concrétise généralement par des réunions annuelles entre l’assureur, l’assuré et le courtier dans le but d’établir un bilan de l’évolution de la maturité du client et d’adapter le contrat en conséquence.

La souplesse dans l’évolution du contrat a deux principaux intérêts. Pour le client, il est de faire baisser le montant des primes en améliorant sa sécurité. Pour l’assureur, il est d’adapter le montant des primes en fonction de l’évolution du risque. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI.

Comment déclencher les garanties ?

Les délais de notification en cas d’attaque constituent l’élément central du déclenchement. Le code des assurances rappelle : «L’assuré est obligé de donner avis à l’assureur, dès qu’il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l’assureur. Ce délai ne peut être inférieur à cinq jours ouvrés » (Article L113-2). En cas de faute vis-à-vis de cette règle, le client peut se voir refuser ses garanties. L’enjeu est donc d’alerter au plus tôt l’assureur, même s’il n’y a que suspicion d’intrusion, mais aussi de cadrer les preuves à recueillir pour l’indemnisation – et ce dès l’établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si  l’assureur a été notifié dans les délais, et l’évaluation du sinistre réalisée.

En fonction des assureurs, la mise à disposition d’experts peut relever d’une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d’intervention de ces experts (obligation d’utiliser les prestataires de l’assureur, …).

Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Souscrire une cyber-assurance : mode d’emploi est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.

Découvrez en vidéo notre vision de ces enjeux auxquels sont confrontés les RSSI.

Retrouvez toutes nos vidéos sur YouTube, sur la chaîne Solucom.

Cet article Quels sont les enjeux des RSSI ? est apparu en premier sur RiskInsight.

La mise en place d’un Plan de Continuité Informatique est souvent vue comme un poste de coût supplémentaire, une forme d’assurance pour couvrir des évènements rares. Dès lors, le bon sens conduit souvent à vouloir en réduire les coûts et donc à favoriser le secours sur des serveurs existants « hors production »  (développement, recette, qualification, intégration, test, formation, pré-production) et notamment ceux de pré-production (plus proches de l’environnement réel).

Mettre ainsi à profit des ressources qu’on ne juge pas essentielles en cas de crise semble permettre d’optimiser leur usage – et au final les coûts du PCI. Cette assertion mérite cependant d’être confrontée au contexte de chaque organisation. Un tel secours est-il vraiment une source d’économie ? Réellement plus simple à mettre en œuvre ? Éligible pour toutes les applications ?

Prendre en compte les contraintes applicatives pour évaluer la complexité de mise en œuvre

Les environnements « hors-production » peuvent présenter des enjeux aussi forts pour les Métiers que leur environnement de production, notamment lorsque :

• les applications doivent évoluer rapidement ou régulièrement,
• les incidents applicatifs nécessitant correctifs sont fréquents.

Ces besoins métiers entrent ainsi en concurrence avec ceux liés à la mise en place du secours (construction du PCI, recette, tests, etc.). Si le métier est en charge de définir les priorités d’utilisation de ces environnements, il y a fort à parier que le planning de mise en œuvre du PCI devra être défini en fonction des plages d’usage laissées vacantes par les autres besoins.

Autant dire que pour les applications évoluant souvent ou victimes d’incidents à répétition, le projet de secours sera complexifié ; les phases de construction et de test du secours ne pouvant être déroulées, le métier exigeant la disponibilité de ces ressources pour d’autres besoins plus prioritaires à ses yeux. Contrainte d’autant plus forte dans un contexte au sein duquel la mise en production (MEP) ne serait pas complètement industrialisée.

Dès lors, la mise en œuvre d’un secours sur pré-production ne peut être envisagée sereinement que pour des organisations au sein desquelles la DSI priorise seule l’accès et l’utilisation des ressources hors-production. Il conviendra alors de privilégier les applications les mieux maîtrisées et les plus stables, afin de réduire au maximum les conflits avec les chantiers d’évolution applicative ou de correction de problèmes.

Ne pas conclure trop vite à une économie substantielle en évaluant les coûts cachés

Si le secours sur pré-production est considéré comme moins coûteux, c’est qu’il réduit le volume des investissements et la mise en œuvre de serveurs. Mais cette vision apparaît réductrice dès qu’on identifie les autres coûts à prendre en considération.

En effet, la majeure partie des coûts d’un projet de secours informatique réside souvent dans le pilotage, les études, les travaux d’infrastructures et le secours des données. Au final, les serveurs ne représentent parfois que 10 à 20% de l’investissement total. L’économie réalisée n’est donc pas nécessairement conséquente.

Par ailleurs, le secours sur pré-production peut également impliquer des coûts spécifiques. Bien souvent il s’agira de déménager les serveurs de pré-production, en général situés à proximité de ceux de production, et de les mettre à niveau en termes de configuration avec ces derniers. Il s’agira également d’études techniques complémentaires (ex : comment faire cohabiter des environnements de pré-production et de secours sur un même serveur?) pouvant nécessiter des enveloppes de charges supplémentaires. Enfin, en cas de coordination avec les métiers pour prise en compte de leurs contraintes (application en cours d’évolution, correction de bugs récurrents, …), des charges de gestion de projet complémentaires sont à prévoir.

Autant de points pouvant rendre le secours sur pré-production aussi voire plus onéreux qu’une solution dédiée de secours. Il convient donc de bien évaluer son coût en fonction de ces différents paramètres et de le comparer aux coûts des autres solutions envisagées.

Ne pas réduire le secours sur pré-production à sa composante économique

« La solution du bon sens est la dernière à laquelle songent les spécialistes » citait l’éditeur Bernard Grasset.

Nous l’avons vu, et contrairement à ce que le bon sens nous le laissait imaginer, le secours sur pré-production n’est pas une garantie d’économie.

Cette solution est à privilégier dans des contextes matures (maîtrise forte du processus de mise en production et des environnements hors production par la DSI), pour des applications stables (n’évoluant pas ou peu) et des environnements techniques adaptés.

Autant d’éléments à prendre en compte avant d’acter ou non la mise en œuvre de cette solution, notamment à l’aide de projets de virtualisation des environnements…

Cet article La pré-production constitue-t-elle la meilleure solution de continuité informatique ? est apparu en premier sur RiskInsight.

Une précédente tribune a rappelé l’importance de formaliser sa documentation PCA en fonction de ses finalités, afin de la rendre réellement opérationnelle.

Reste alors à assurer l’accessibilité de ces documents – au quotidien mais aussi et surtout en cas de crise : processus de mise à jour, multiplicité des acteurs, périodicités et responsabilités variables,…

En un mot, se pose la question de la gestion documentaire du corpus PCA, avec en creux celle du recours à un outillage spécifique.

La gestion documentaire : socle historique mais perfectible de l’outillage PCA

Le PCA a toujours été un grand producteur de documents : en faciliter la gestion a donc naturellement été un des premiers objectifs des progiciels PCA, parmi lesquels on trouve LDRPS, PARAD et frontGRC en France, Shadow Planner, INONI BCP Pro, MyCoop, ResilienceOne, Business Protector, RevoverPlanner sur les marchés anglo-saxons. Ces outils ont, dans les grandes lignes, des fonctionnalités similaires : décrire l’organisation (acteurs, processus, ressources, etc.), y associer un certain nombre de propriétés (notamment les DIMA et PDMA) et les plans à déclencher lorsqu’une ressource ou un processus est touché. Des mécanismes de workflow plus ou moins élaborés sont également disponibles : possibilité de définir des responsables pour chaque document, des dates de revues régulières, voire de lancer automatiquement des campagnes BIA (Bilan d’Impact sur l’Activité).

Si une telle approche et de telles fonctionnalités peuvent paraître séduisantes, elles doivent être considérées avec prudence. En effet, chaque progiciel est construit selon un schéma de pensée (modèle de données, typologie et approche des traitements, hiérarchie des habilitations) qui ne sont pas toujours transposables dans le contexte des organisations. En conséquence, l’usage d’un outil demande soit d’en contourner le fonctionnement optimal, soit de revoir son organisation voire son processus de continuité d’activité. In fine, le recours à un outil doit être envisagé en connaissance de cause, conscient de son potentiel facilitateur sur certains aspects (revue des risques, mesure des impacts, recensement des processus, annuaires), mais aussi des lourdeurs et contraintes qu’il va imposer, notamment dans son usage de référentiel documentaire.

Viser un mode de gestion documentaire simple, déjà ancré dans le fonctionnement de l’organisation

A défaut d’outil PCA, on pourra dans un premier temps s’appuyer  sur une gestion documentaire traditionnelle : dépôt des documents sur un répertoire partagé et sécurisé, triés selon leurs finalités et accessibles quelques soient les conditions rencontrées. Charge alors à l’équipe PCA de piloter la maintenance et la révision des documents en mobilisant les différents contributeurs.

Les organisations plus complexes pourront envisager le recours à un outil de Gestion Électronique de Documents (GED).  Ce type d’outil facilite la gestion documentaire en délivrant une meilleure gestion du contenu (méta-informations), de ses révisions et de son indexation. Il fournit également des fonctionnalités plus fines de partage et de modification des documents. Il propose enfin des possibilités de workflow contribuant aux cycles de validation et de révision des documents.

Attention toutefois à éviter l’écueil de bâtir une GED (Livelink, Sharepoint,…) spécifiquement pour le PCA : on s’appuiera plutôt sur un outil existant, déjà adopté par les utilisateurs. Un tel outil étant consulté régulièrement pour d’autres besoins, il facilitera la mise à jour des documents PCA.

Comment s’assurer de disposer des procédures en cas de crise ?

Au-delà de la mise à jour des documents, l’outillage doit être pensé pour la mise à disposition des documents le jour J. Il faut dès lors s’assurer, quel que soit le mode de gestion choisi, de sa disponibilité en cas de sinistre.

De prime abord, on pourrait penser faire de la solution de gestion documentaire la première application à remonter, à l’aider d’une procédure qu’elle ne doit pas héberger… Tentation à repousser tant cette solution crée un important point de blocage potentiel dans le déroulement du plan de continuité !

Mieux vaut faire bénéficier la solution de gestion documentaire (outil PCA ou GED) des mêmes garanties de disponibilités que les applications les plus critiques, soit en recourant à une solution hébergée (ce qui nécessite de traiter les problématiques de la confidentialité des données et de la dépendance à l’éditeur), soit en tirant partie d’un hébergement sécurisé (bi-site ou datacenters éloignés).

Il y a toutefois fort à parier que l’émergence des offres SaaS par les éditeurs de GED (ex : Sharepoint Online pour Office 365) va certainement modifier en profondeur le mode d’hébergement des bases documentaire PCA (hors outils spécifiques).

Quel que soit l’hébergement, une garantie complémentaire pourra enfin être offerte par la copie régulière sur support amovible, voire l’impression, de l’ensemble des plans (du moins pour les documents qui ne sont pas souvent modifiés).

Un outil pour accompagner un processus rodé

En synthèse, qui dit gestion de documentation PCA et mise à disposition le jour J ne dit pas nécessairement outil PCA : comme d’habitude, il convient de prendre garde à ne pas se laisser guider par l’outil !

Avant d’envisager un outillage plus évolué que le répertoire partagé, il est nécessaire de roder le cycle de vie du PCA et notamment la mise à jour de sa documentation, qu’il sera toujours temps d’industrialiser à l’aide d’un outil. A contrario, le choix précoce d’un outil pourra contraindre toute la mise en œuvre du PCA et obérer les chances de déployer un processus véritablement en ligne avec son organisation.

Cet article Documentation PCA : comment passer d’un corpus bien pensé à un corpus bien géré est apparu en premier sur RiskInsight.

Alignement ou certification : quelle stratégie retenir ?

L’alignement consiste à en adopter les principes fondamentaux et les principales exigences. Il permet à la fois de donner une cohérence globale à la démarche, d’impliquer les acteurs et d’offrir de la visibilité en interne tout en offrant de la souplesse sur le périmètre (identique  celui du PCA de l’organisation ou plus restreint), les processus à mettre en place, et les exigences à intégrer (mener les actions sans s’astreindre à disposer de preuves auditables).

Le piège à éviter est dès lors celui de trop limiter le périmètre et le nombre d’exigences à respecter, et de perdre ainsi de l’intérêt de l’alignement. La souplesse prise dans la mise en place du SMCA doit pouvoir être argumentée, et toujours ramenée aux intérêts et enjeux de l’organisation.

Si la certification laisse toujours la capacité à l’organisation de choisir le périmètre le plus opportun en fonction des enjeux métier et de la maturité de l’organisation, ce choix est néanmoins plus engageant dans la mesure où il implique l’application de l’ensemble de la norme, et ce dans la durée.

Elle présente cependant plusieurs atouts. Le premier étant qu’elle apporte une valorisation vis-à-vis des clients externes pouvant aller jusqu’à constituer un élément différenciant sur le marché.

Le second avantage de la certification est qu’elle constitue une preuve de l’effort engagé par l’organisation dans leur PCA, un effort qui peut être mis en avant vis-à-vis d’autorités ou d’auditeurs. Cet avantage prend tout son sens pour les organisations soumises à des exigences réglementaires.

Enfin, une certification peut également donner un nouveau souffle au PCA, qu’elle redynamise en introduisant une dimension projet supplémentaire

3 étapes pour mettre en œuvre un SMCA (Système de Management de la Continuité d’Activité)

Qu’il s’agisse d’un projet d’alignement ou de certification, un projet de mise en place d’un Système de Management de la Continuité d’Activité se réalise en trois principales étapes :

Évaluer et Cadrer

L’évaluation et le cadrage constituent une première étape clé. L’enjeu principal, outre celui de disposer d’une image réaliste de la situation en termes de PCA, est celui de déterminer le périmètre du SMCA.

Construire les processus et piloter les projets d’alignement

Définir un processus, c’est en déterminer les acteurs, les composants, les activités à mener et comment le faire. Pour exemple, définir le processus de gestion de crise implique d’identifier les critères de déclenchement d’une crise, les acteurs à impliquer, les interactions avec les parties prenantes (autres directions de l’organisation, clients, autorités,…), les messages et outils de communication à utiliser et plus généralement les moyens.

Outre « l’installation » des processus, cette phase est celle de la mise en œuvre des projets identifiés, telle que la mise en place de dispositifs de continuité pour des périmètres jugés critiques lors du BIA et qui ne sont pas « secourus ».

Réaliser un cycle complet « Plan-Do-Check-Act »

Réaliser un cycle complet, c’est installer les processus et s’assurer de leur bon fonctionnement. Ainsi la phase de « check », de vérification, réalisée par un audit interne, permet-elle de vérifier que les processus sont pertinents, que le SMCA est efficace, et le cas échéant mener les actions correctives nécessaires. Point clé de cette étape : la revue de direction. C’est elle qui permet la mobilisation régulière du management sur les sujets de la continuité.

Une fois seulement ces actions réalisées, il est possible d’envisager un audit de certification pour ceux qui auront choisi cette voie…

 3 facteurs clés de succès : mobilisation, pragmatisme et projection dans le futur

Mettre en place un SMCA est donc un projet à part entière dont les clés de la réussite résident dans trois facteurs clés de succès.

• Mobiliser les acteurs, en particulier le Top Management, indispensable pour le lancement même du projet et tout au long de sa mise en œuvre, mais également les acteurs opérationnels qui doivent se sentir responsabilisés, valorisés… Mettre en place un SMCA est fédérateur du moment que la conduite du changement est bien menée.
•  Adopter une démarche pragmatique et partagée … Mieux vaut viser une première étape réaliste se couronnant rapidement par des succès plutôt qu’une démarche trop large.
• Construire pour le futur : l’engagement sur la mise en place d’un SMCA est pluriannuel, la définition de la cible initiale doit prendre en compte cet aspect pour garder, au fil des années, des actions d’évolutions et d’améliorations qui permettent de maintenir la mobilisation.

ISO 22301 : et après ?

La continuité d’activité a gagné en maturité et la parution de la norme apporte un nouveau regard.  Quel usage les organisations peuvent-elles en faire ? Profiter de cette parution pour dresser un bilan sur leurs dispositifs PCA… pourra se poser ensuite la question de l’alignement, voire de la certification lorsque les enjeux de continuité le justifient !

Cet article ISO 22301 : Comment passer de la théorie à la pratique ? est apparu en premier sur RiskInsight.

Préparer les dispositions RH applicables en anticipant les changements des conditions de travail en situation de crise

Au-delà du sinistre lui-même et de ses éventuelles conséquences sur les personnes physiques, qui réclament naturellement un accompagnement particulier des Ressources Humaines, la Continuité d’Activité appelle une contribution importante de leur part.

Il est en effet primordial de retenir le postulat suivant : le déclenchement d’un PCA entraîne très souvent des modifications des conditions de travail des collaborateurs de l’organisation sinistrée ; repli sur un lieu différent du site habituel, maintien à domicile de collaborateurs, pic d’activité ou réaffectation de personnels sur des activités, etc. Ces modifications nécessitent d’être anticipées, a minima préparées et idéalement validées par la filière RH.

Plusieurs thématiques, le plus souvent liées au contrat de travail des collaborateurs, sont à traiter. En voici quelques illustrations :

Nouveau lieu d’exercice d’activité pour les collaborateurs

La continuité d’activité peut être assurée au travers d’un dispositif de repli sur un site alternatif plus ou moins éloigné du site nominal, auquel cas les problématiques de lieu de travail (prévues ou non dans le contrat de travail), de transport, de gestion de frais (liés au déplacement, à la restauration et à l’hébergement des collaborateurs mobilisés), d’assurance et d’éloignement vis-à-vis des familles doivent être abordées et arbitrées.

Ex : On pourra envisager, pour les fonctions considérées comme « critiques », l’intégration de clauses spécifiques à la continuité d’activité au sein des fiches de poste ou des contrats de travail concernés.

Solution de travail à distance depuis le domicile

Dans des circonstances exceptionnelles évoquées par l’article 46 de la Loi Poisson cette solution ne relève plus du « télétravail » et de ses conditions d’exercice très encadrées. Néanmoins, le décret d’application associé n’étant jamais paru, les RH sont pertinentes pour adresser les aspects juridiques de cette solution.

Modification du temps de travail

L’exercice d’une activité secourue, parfois en mode dégradé, amène le plus souvent une modification du temps de travail. La prise en compte de ces changements est une attente forte des collaborateurs concernés et doit être anticipée (primes exceptionnelles, paiement des heures supplémentaires, etc.).

Interruption d’activité prolongée

Par construction, le PCA n’assure le maintien que des activités les plus critiques. Dès lors, des activités resteront interrompues de manière plus ou moins prolongées. Les personnels concernés seront de fait sans activité, à moins d’avoir été mobilisés sur d’autres activités. Se posent les questions du maintien de salaire, de l’exploitation des mécanismes de RTT ou de congés payés, du recours au chômage partiel dans des conditions parfaitement définies, etc. Là encore, les RH seront force de proposition sur les dispositions à appliquer et sur les conditions de leur mise en œuvre.

Construire la boite à outils RH du PCA

Une bonne pratique consiste à constituer, pour et avec les acteurs des Ressources Humaines embarqués dans la gestion de crise, une « boîte à outils » regroupant toutes les informations utiles à la mise en œuvre les dispositions RH d’accompagnement du PCA.

Sous la forme de fiches pratiques, de procédures et de modèles types, cette « boîte à outil RH » vise à accroître l’efficacité et la sensibilité des acteurs RH et de leurs suppléants et, plus largement, à renforcer le dispositif de continuité élaboré :

• Procédures de mise à jour des intranets, extranets, numéros verts sous la responsabilité de la filière RH, dans le cadre de la communication de crise
• Procédures d’extraction et des coordonnées personnelles des collaborateurs
• Liste et coordonnées des partenaires sociaux, IRP
• Liste et coordonnées des partenaires externes et conseils RH
• Démarche de mise en place d’une cellule de soutien psychologique
• Courriers, lettres de mission et modèles d’avenants types
• Support type pour les communications auprès des IRP
• Procédures dérogatoires types à communiquer à l’Inspection du Travail ou aux IRP
• Etc.

Impliquer et sensibiliser le management et les instances représentatives du personnel (IRP)

Au regard des impacts potentiels des différentes dispositions RH envisageables, il convient de présenter et d’arbitrer avec le management les modes de réponse à retenir dans le contexte de l’organisation. Par ailleurs, la substance de ces dispositions devra être évoquée aux Instances Représentatives du Personnel (IRP) afin de clarifier les principes RH pressentis en cas de déclenchement du PCA.

Ces présentations constituent pour le Responsable PCA une très belle opportunité de sensibilisation au PCA et à ses enjeux, étant entendu qu’il ne s’agit pas de modifier les conditions de travail mais d’identifier les ajustements provisoires déployés pour contribuer à assurer la survie de l’organisation. L’expérience montre que, même si les collaborateurs font souvent preuve de compréhension et d’empathie lors de sinistres, l’anticipation et la préparation des situations facilitent le traitement de la crise.

In fine, la mobilisation de la filière RH permet d’affiner si nécessaire la stratégie de continuité en l’alignant avec la règlementation et les pratiques RH de l’organisation mais surtout de la légitimer auprès de l’ensemble des collaborateurs. Enfin, cette contribution doit s’inscrire dans la durée, en impliquant la filière RH dans la gouvernance dela Continuitéd’activité.

Cet article Continuité d’activité : n’oubliez pas d’impliquer les ressources humaines ! est apparu en premier sur RiskInsight.

La panne logicielle : un incident complexe à diagnostiquer et à traiter

Les pannes logicielles sont difficiles à diagnostiquer du fait d’interconnexions toujours plus importantes au sein des systèmes d’information, d’une supervision plus complexe et plus « spécifique » que pour les problèmes matériels ainsi que d’impacts plus diversifiés et difficilement prévisibles.

Le PRA se focalise bien souvent sur les pannes matérielles, dont le traitement suit un principe simple : un matériel de secours remplace, de façon plus ou moins automatique, un matériel défaillant.

Ce principe n’est généralement pas applicable pour les pannes logicielles, plus complexes à traiter, à différents niveaux de la chaîne de liaison applicative :

• Données : la réplication fréquemment utilisée pour traiter des pannes matérielles entraîne la propagation rapide de données corrompues vers les infrastructures de secours. Afin de s’en prémunir, des mécanismes de réplication logicielle peuvent être mis en place afin de pouvoir revenir à des états cohérents exempts de données corrompues. En dernier ressort, la restauration de clones ou de sauvegardes (plus longue) peut être utilisée.
• Systèmes applicatifs : développés en interne par l’entreprise ou par des éditeurs tiers, ils visent à répondre à certains besoins métiers précis. Leur déploiement peut ainsi être limité, ce qui réduit les expertises existantes et le nombre de tests conduits lors des changements, pour raisons économiques. Les premiers à migrer en font parfois les frais ! Par ailleurs, le fait de les placer sur des infrastructures de haute-disponibilité de type cluster ne change pas le problème : si le logiciel dysfonctionne, ce sera sur l’ensemble de l’infrastructure, car il n’est souvent pas possible de faire cohabiter plusieurs versions d’un logiciel sur un même cluster.
• Frontaux : ils utilisent souvent des logiciels largement répandus, extrêmement stables, et sont assez peu souvent à l’origine de problèmes logiciels. Des effets de bord sur les systèmes applicatifs peuvent néanmoins apparaître.

Toutefois, l’entreprise n’est pas totalement démunie face à ce type d’incidents, et peut en réduire le nombre en respectant quelques principes évoqués ci-après.

Porter une grande attention à la gestion des changements critiques

Les incidents récents le confirment une nouvelle fois : la majorité des pannes logicielles majeures interviennent lors de changements. Outre les bonnes pratiques généralement évoquées (tester largement et sur des infrastructures proches de la production, préparer le retour arrière sur les aspects techniques et organisationnels, renforcer les équipes et définir des astreintes, …), l’entreprise doit porter une attention particulière aux changements critiques. Elle doit ainsi :

• Identifier ces changements et les partager largement au sein des équipes ;
• Réduire le nombre de changements critiques simultanés (a fortiori s’ils présentent des interdépendances), afin de ne pas accroître les risques et complexifier le diagnostic ;
• Renforcer le contrôle des opérations très sensibles (deux personnes pour une même manipulation par exemple).

Privilégier les architectures asynchrones

Une certaine dichotomie existe pour le traitement des pannes matérielles et logicielles. Si les architectures synchrones sont bien adaptées aux premières, un asynchronisme peut grandement faciliter le traitement des pannes logicielles.

Les architectures asynchrones permettent en effet de ne pas propager immédiatement les erreurs et de revenir plus facilement dans des états cohérents, puis de rejouer les transactions jusqu’à l’instant de la panne. Le découpage du SI qu’elles induisent permet également d’éviter la panne globale des systèmes, en rendant possible l’interruption de certains composants sans impact immédiat pour les autres.

Se mettre en capacité de gérer les erreurs de manière pro-active

L’incident d’Orange l’a montré : les pannes logicielles peuvent se produire de manière progressive, en surchargeant peu à peu le SI.

La mise en place de systèmes de mesure et de supervision, la définition de valeurs de charges et de temps de réponse normatifs et leur comparaison régulière avec l’état actuel des systèmes peut permettre de prévenir les incidents avant que des indisponibilités majeures ne surviennent.

Orange a en ce sens, contrairement à ce qu’évoquent certains observateurs, bien assuré sa gestion de crise. Nombre de ses ingénieurs ont été mis en alerte après les premiers signes de fléchissement du réseau, et la communication qui a accompagné et suivi la panne a été bien maîtrisée.

Utiliser des méthodes de validation formelle ?

Des méthodes reposant sur la preuve formelle permettent d’assurer la sûreté logicielle. Elles nécessitent des expertises pointues et un processus de développement bien plus lourd et long que les méthodes traditionnelles, et restent aujourd’hui confinées aux systèmes embarqués critiques.

Leur utilisation pour d’autres usages pourra être envisagée, mais le compromis entre coûts de développement et couverture de risques s’avèrera difficile à trouver !

Cet article Pannes logicielles : la zone d’ombre du PRA (Plan de Reprise d’Activité) est apparu en premier sur RiskInsight.

Étape 1 : utiliser une échelle commune, un pré-requis à la démarche

Disposer d’une échelle commune visant à mesurer les risques semble une évi­dence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartogra­phies des risques élaborées. C’est donc la pre­mière étape pour intégrer les filières ! La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’iden­tifier les points de dépendance clés.

Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. L’atteinte d’un consensus n’est pas toujours aisée, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche.

Étape 2 – Construire un portefeuille de risques : un référentiel de pilotage unique

La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques.

Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de posi­tionner un risque dans une seule et unique filière. Une fois ces recouvrements identifiés, il devient possible de formaliser les responsa­bilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant et dans le pire des cas des démarches contradictoires.

Étape 3 : transformer la relation avec les métiers

Les métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs.

Plusieurs leviers d’optimisation sont à mettre en œuvre :

•  Le travail sur les zones d’adhérence des risques doit être remis à profit pour anticiper les redondances et les contourner au tra­vers d’entretiens ou de questionnaires communs sur ces périmètres.
• L’échange des informations collectées auprès des métiers doit permettre d’enrichir la réflexion de tous et de garantir une sollicitation efficace des métiers.
• La mutualisation de la restitu­tion et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la valida­tion des risques.

Étape 4 : partager les plans d’actions

En intégrant la vision des risques, la définition des plans d’ac­tions est plus simple à optimiser. Les actions identifiées par chaque filière sont partagées, des synergies peu­vent être dégagées et les budgets mieux alloués sur l’ensemble du périmètre :

• Les actions de réduction des risques sur les zones d’adhé­rence peuvent ainsi être défi­nies collégialement, chaque filière traitant d’une compo­sante du risque ;
• Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées.

Chaque filière dispose alors de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régu­lier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’en­semble des composantes des plans de traitement.

La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un accompagnement par une conduite du changement.

Lire les précédents articles une gestion des risques SI au cœur de l’innovation et des métiers et casser les silos en articulant les filières de gestion de risques.

Pour en savoir plus, vous pouvez également consulter notre synthèse :  « Management des risques : plaidoyer pour une vision unifiée »

Cet article Management des risques : comment mettre en place une organisation de gestion des risques ? est apparu en premier sur RiskInsight.

Mais face à cette multiplicité des gestionnaires de risques et des démarches, comment obtenir une vision d’ensemble ? Telle est la question à laquelle nous nous proposons de répondre dans la deuxième partie de notre dossier consacré au Management des risques.

Une vision d’ensemble difficile à obtenir…

Les multiples acteurs qui composent les filières de gestion des risques SI (DSI, RSSI, RPCA…) agissent le plus souvent indépen­damment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel… tout en ayant peu voire même aucun échange avec les autres acteurs.

L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge. Ce fonctionnement en silos n’optimise ni l’identification, ni l’éva­luation et le traitement des risques. Ces silos pénalisent l’entre­prise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose :

• Quelle est globalement mon exposition aux risques ?
• Ai-je bien mis les priorités aux bons endroits ?

Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens.

… et d’inévitables redondances

L’approche en silos a un second inconvénient : elle génère natu­rellement une sur-sollicitation des métiers : on constate souvent autant de sollici­tations que de filières ! Or, s’il est nécessaire que les acteurs de la gestion des risques SI collaborent avec les directions métiers, notam­ment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive.

La solution réside donc dans l’or­chestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise.

 Vers une cible d’organisation intégrée : la « tour de contrôle »

L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rappro­chement favorise ainsi la consolida­tion d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’opti­misation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires.

Mais attention : rapprochement des filières ne veut pas dire fusion des filières.

Chacune a recours à des compétences, des expertises et des normes spécifiques.

Si la « tour de contrôle » est l’orga­nisation optimale cible, il n’est pas évident de l’implémenter immédia­tement. Une mise en place progressive est, de ce fait préférable. Elle doit permettre de poser les  bases d’une approche des risques partagée et introduire un changement de culture.  Ce sont les premières étapes de cette mise en place que nous détaillerons dans la 3ème partie de notre dossier sur le management des risques.

Cet article Management des risques : casser les silos en articulant les filières de gestion de risques est apparu en premier sur RiskInsight.

Découvrez quelques éléments de réponse dans la première partie de notre dossier consacré au Management des risques.

Une prise de risque au service de l’atteinte des objectifs de l’entreprise

Les démarches de gestion des risques peuvent donner l’impression de sur-traiter le risque, voire de le refuser systématiquement. En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient par­fois les gains potentiels d’une prise de risque. Se développer sur un nou­veau marché, adapter son offre com­merciale, acquérir une société… sont autant de démarches « risquées » qui se révèlent aussi sources potentielles de profits pour l’entreprise et bien sou­vent nécessaires à son évolution. Pour chaque risque, c’est ce difficile exercice d’équilibre entre gains et pertes potentielles qui doit permettre de modi­fier la perception que les métiers ont des démarches de gestion des risques.

Une gestion des risques efficace doit apporter une aide à la décision et une réponse assumée et proportionnée aux menaces pesant sur l’entreprise. Cela ne peut être atteint qu’en collaboration avec les directions métiers qui sont les seules à même d’évaluer les impacts sur leurs activités.

Un prérequis : formaliser les objectifs de l’entreprise pour identifier les risques et leurs porteurs

Les risques créent une incertitude sur l’atteinte des objectifs de l’entreprise (voir la norme ISO 31000). Pour identifier, évaluer et gérer les risques, il est donc essentiel pour l’entreprise de bien identifier et formaliser ses objectifs.

Les risques touchent tous les niveaux de l’entreprise et sont portés en consé­quence par des acteurs multiples. Au-delà des risques stratégiques gérés par la Direction générale et des risques métiers, bien souvent sectoriels et portés par les directions en charge de ces fonctions, les risques opérationnels ont fait l’objet d’une attention de plus en plus importante ces dernières années. Le renforcement des réglementations, plus particulièrement dans le secteur financier, a mis en lumière un besoin fort de maîtrise de ces risques. Communs à toutes les entreprises, ils recouvrent les risques relatifs aux processus, aux personnes et aux systèmes de l’entreprise.

 Le SI, colonne vertébrale de l’entreprise, au cœur de la gestion des risques

Parmi les risques opérationnels, les risques liés aux systèmes d’infor­mation ont évolué particulièrement rapidement ces dernières années et doivent faire l’objet d’une gestion de risques à part entière. Autour de l’information s’articulent en effet différents domaines de risques très dépendants les uns des autres.

• Les risques du système d’information sont des risques trans­verses à l’entreprise, qui intègrent l’ensemble des risques métiers et opérationnels ayant une composante SI.
• Les risques sécurité de l’information comportent une large composante SI, mais n’y sont pas limités. Ainsi, la sécurité de l’information couvre également les dimensions orales et papier de l’information. Bien ancrés dans les pratiques de gestion de risques des entreprises, ils font sou­vent l’objet d’une filière dédiée.
• Il en va de même pour les risques de continuité d’activité. Ils regroupent des risques SI sur les aspects conti­nuité informatique, mais débordent largement sur les risques opération­nels en traitant le secours utilisateur et les aspects logistiques, RH, juri­diques, etc.

De nombreux référentiels et des normes existent pour gérer ces risques. S’ils convergent sur un certain nombre de concepts fondamentaux, leurs modalités de mise en œuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc.
La mise en place de filières spécifiques à chaque type de risque les a souvent largement exploités ces dernières années, sans pour autant uniformiser les pratiques.

Dès lors, il peut s’avérer difficile de disposer d’une vision d’ensemble et un nouvel enjeu émerge : comment optimiser globalement la gestion des risques SI ? (Lire notre article « Casser les silos en articulant les filières de gestion de risques« )

Pour en savoir plus sur le management des risques, consultez également la synthèse Solucom « Management des risques, plaidoyer pour une vision unifiée ».

Cet article Management des risques : une gestion des risques SI au cœur de l’innovation et des métiers est apparu en premier sur RiskInsight.

Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l’AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l’ISO22301 est le nouveau – et seul – standard international en la matière. S’aligner sur ses recommandations, c’est inscrire les Plans de Continuité d’Activités (PCA) dans un véritable cycle de vie et réussir, au-delà de l’avancement des actions relatives à sa construction, son maintien en conditions opérationnelles !

En quoi la norme peut-elle appuyer la pertinence des investissements nécessaires à la mise en place d’un PCA ?

La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international.

Par exemple, l’un des points structurants de la norme est de saisir les besoins de l’organisation par la conduite d’un Bilan d’Impacts sur Activité ou Business Impact Analysis (BIA). Cette étape consiste en l’identification des activités clés, l’analyse de l’impact d’une indisponibilité, et donc la priorisation des efforts à  mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management.

Par ailleurs, l’analyse de risques, telle que requise par le standard, permet de s’interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables ? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées ?  Ces éléments doivent être validés par le management.

Si les BIA ont généralement déjà été effectués dans les organisations,  la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d’aborder les PCA.

Ceux-ci traitent aujourd’hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques ? Un exemple ? Les cyber-attaques doivent-elles être considérées dans le cadre d’un PCA ? Les synergies sont en effet nombreuses : processus de gestion de crise, communication… Mais c’est aussi un risque dont le traitement dépasse la problématique de la continuité.

BIA et analyse de risques sont donc des exercices d’argumentation des coûts qui doivent être vus également comme un axe d’optimisation des investissements ! Mais une fois ces investissements consentis par le Management, l’enjeu est d’en prouver l’efficacité…

En quoi fournit-elle des clés permettant d’inscrire les PCA dans la durée ?

Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d’Activité, le fameux SMCA. Il s’agit d’évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien.

Il s’agit de répondre à la question « les processus sont-ils fonctionnels et sont-ils efficace ? ». La norme est bien explicite sur ce point, l’évaluation de la performance doit porter sur  « la pertinence, l’adéquation, et l’efficacité » des procédures du PCA.

Un des axes de mesures est la conduite des tests et exercices. Cette bonne pratique est d’ailleurs d’ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l’analyse des exercices et des plans de tests, s’aligner à la norme nécessite de s’interroger sur les revues à conduire, d’analyser les incidents et d’évaluer la performance des solutions.

Ainsi la norme motive la mise en place des principes qui permettent d’argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience.

L’investissement déclenché doit-il aller jusqu’à la certification ?

L’alignement peut aisément s’imposer comme une évidence pour tout  responsable des risques ou de continuité d’activité. En effet, il offre ainsi la garantie d’appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité.

L’émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur.

Cet article Continuité d’activité : ISO 22301, une norme faite pour convaincre ? est apparu en premier sur RiskInsight.

Cet article Gestion des risques : de la perception à la réaction … est apparu en premier sur RiskInsight.

Dans un monde moins dangereux mais plus risqué, quel comportement adopte-t-on face au risque ?

Alors que notre monde est de moins en moins dangereux, nous avons aujourd’hui le sentiment de vivre dans un monde de plus en plus risqué. Risques alimentaires, écologiques, technologiques, financiers, métiers à risques, populations à risques… Le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique.

Pour paraphraser le philosophe François Ewald, rien n’est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d’appréhender le réel, associée à une volonté de maîtriser l’avenir. Cette « mise en risque » progressive du monde est justement ce qui caractérise l’histoire du 20^ème siècle.

Erving Goffman, sociologue américain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d’activité, la veille et l’alarme, passant de l’un à l’autre lorsqu’un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d’autres à ces signaux et plus prompts à réagir. On pourrait dire que l’homme moderne possède les aptitudes perceptives d’une biche, toujours prête à s’effrayer, mais la réactivité d’une vache, lente à se mobiliser. Évidemment, ce décalage est anxiogène !

Pourquoi les hommes ressentent-ils le besoin d’atteindre le risque zéro ?

La « mise en risque » progressive du monde a été au 20^ème siècle corrélative d’une nouvelle utopie : celle du risque zéro. L’expansion continue du risque est portée par un espoir qui peut sembler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale.

Cependant, les experts ont dû admettre que le risque nul n’existe pas, que certains risques sont rémanents, que d’autres sont concurrents, et que la réduction des uns peut renforcer les autres.

Ces dernières décennies ont également été marquées par ce que l’on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l’utopie du risque zéro. Ce principe implique que « l’absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l’environnement à un coût économiquement acceptable ». Aujourd’hui est fait un usage galvaudé de ce principe de précaution, ce dernier se transformant en principe d’abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, fait seulement mention des risques « graves et irréversibles » et n’envisage que des mesures « proportionnées », à un coût « économiquement acceptable ». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un « risque zéro » hors d’atteinte.

Pourquoi le risque zéro est-il utopique et incongru ?

L’intrusion du facteur humain est une des explications de l’échec de l’utopie du risque zéro. Selon la théorie du risque homéostatique, les individus ne recherchent pas forcément le risque zéro, ils sont même prêts à s’exposer à un certain niveau de risque qu’ils jugent « acceptable », pour en retirer un bénéfice.

Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu’ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d’autres contraintes, d’autres risques.

Par ailleurs, ces experts doivent prendre en compte le phénomène de déni du risque qui peut être redoutable. Le déni du risque s’appuie souvent sur une stratégie de « bouc émissaire », qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu’une catégorie d’individus bien particulière, à laquelle on n’appartient pas soi-même.

Aujourd’hui, la gestion d’un risque, dans la société comme au sein d’une entreprise, implique au moins deux dimensions interdépendantes. D’abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d’acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particulier, au sein d’une entreprise, avec les salariés, avec les métiers, pour que leurs points de vue, leurs besoins et leurs objectifs propres soient pris en compte.

Lire l’article : Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques

Cet article Quelle perception du risque dans la société ? La vision de Patrick Peretti-Watel est apparu en premier sur RiskInsight.

Des métiers sur-sollicités

Les Directions métiers sont aujourd’hui sur-sollicitées par une filière risques qui peine souvent à mettre en cohérence les démarches de recensement et de traitement des différentes typologies de risques (RH, juridique, SI, qualité, continuité…). La multiplicité des acteurs, démarches et planning entraîne une perte générale de lisibilité pour les métiers, qui en réaction s’impliquent moins dans le processus de management des risques.

Créer un cadre unifié pour la gestion des risques

Il est nécessaire de repenser les filières risques pour une meilleure intégration des différents canaux de remontée et de traitement des risques. Vis-à-vis des métiers, ces changements doivent se traduire par des sollicitations plus cohérentes, favorisant ainsi leur adhésion.

Deux axes majeurs pour opérer cette transformation : la convergence des pratiques et la rationalisation de la gouvernance des risques  (voir notre article à ce sujet).

Un retour sur investissement difficile à percevoir

Difficile pour le métier d’évaluer à quel point le travail fourni dans le cadre de la gestion des risques a permis d’atteindre le résultat escompté si on ne le lui montre pas clairement ! Le gain associé aux efforts consentis est en effet difficilement perceptible, car le premier résultat d’une gestion de risques efficace, c’est bien l’absence de perturbations majeures sur les activités. La filière risques doit ainsi faire l’effort de mesurer les gains associés à ses actions, afin de mieux valoriser ces dernières auprès des métiers et leur faire comprendre l’intérêt qu’ils ont à s’impliquer.

Développer le « marketing de la filière risques »

Pour favoriser l’adhésion des Métiers, la filière risques doit développer sa capacité à intervenir en mode projet ou en phases d’étude à leur demande, en sortant d’un mode de fonctionnement aujourd’hui trop basé sur le récurrent.

Elle doit pour cela apprendre à se vendre, en assurant la promotion des services qu’elle peut offrir aux Métiers et des résultats qu’elle obtient. Cela doit contribuer, si ce n’est à inverser, au moins à rééquilibrer les flux de sollicitations entre les deux parties. Ces derniers partent en effet aujourd’hui majoritairement de la filière risques et non des Métiers, contrairement à la quasi-totalité des autres directions support ! La filière risque dispose de plusieurs moyens pour ce faire, au travers par exemple :

• de la structuration de « l’offre de la filière risque » : comment et sur quoi cette dernière se propose d’intervenir auprès des métiers, à leur demande ;
• de la valorisation des résultats obtenus, en trouvant des indicateurs pertinents et des exemples concrets pour les différentes typologies de risques ;
• de la détection des nouvelles opportunités qui apparaissent aux Métiers grâce à la bonne gestion des risques (moyens de valorisation en externe par exemple)

Un refus trop fréquent du risque

La filière risques est souvent perçue comme l’entité qui « sur-traite » voire refuse systématiquement le risque, plutôt que celle qui valorise la prise de risque maîtrisée.

Les métiers, au cours du processus de décision, attendent pourtant que les pertes potentielles soient analysées au regard des gains attendus. Réaliser cet exercice difficile et décider « en toute connaissance de cause » est de plus en plus complexe pour eux, et la filière risque peut les aider en cela, que ce soit sur un plan stratégique ou opérationnel.

S’aligner sur les objectifs des Métiers et veiller à ne pas sur-traiter les risques

La filière risques doit passer du refus trop fréquent du risque à l’assistance au métier dans la conduite de ses choix stratégiques et opérationnels, pour lui permettre d’atteindre ses objectifs en prenant des risques maîtrisés. Le gestionnaire de risques doit devenir un des soutiens indispensables dans les équipes chargées de mener des études ou projets stratégiques, via sa capacité à analyser de manière large et détaillée les risques et valider que la prise de risques permettra de générer de la valeur et est conforme à « l’appétence au risque » qu’exprime le métier. Dans un cadre plus opérationnel, il doit s’assurer que les projets intègrent bien la notion de risque tout en conservant ses missions récurrentes de cartographie et traitement.

Mais il doit surtout développer son rôle de conseil « à la demande du métier », en veillant à ne pas imposer des processus et solutions qui viseraient à « sur-traiter » les risques et donc à diminuer la performance de l’entreprise.

Cet article Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques est apparu en premier sur RiskInsight.

L’économie comportementale

L’économie comportementale est un champ d’étude couramment utilisé en tant qu’outil de politique publique, qui cherche à comprendre le comportement humain. Au Royaume-Uni, cette attitude est désormais baptisée « Nudge theory 2 » ou « théorie du coup de pouce » – et le Cabinet du Premier ministre comprend même une unité « Nudge ». Elle est le fruit de la réalisation que la « carotte » n’est pas seulement plus puissante que le « bâton » : elle est également plus efficace du point de vue économique. Le but de cette théorie du « coup de pouce » est de faire en sorte que le changement de comportement ne soit pas simplement temporaire ; en le transformant en habitude, faisant de lui « la norme » et une action subconsciente. En substance, il s’agit du plus large éventail de mesures incitatives qui puissent être conçues pour accroître la probabilité des résultats souhaités.

Le nom, l’image et la réputation d’une personne sont, pour la plupart des gens, des atouts qu’ils apprécient et veulent maintenir à un niveau élevé. C’est là l’une des caractéristiques de la nature humaine sur laquelle joue la théorie du coup de pouce. Celle-ci s’efforce en effet de puiser parmi les méthodes qui ont un impact sur l’estime de soi d’une personne, les manières d’encourager les personnes à faire « ce qu’il faut » parce qu’elles le veulent et non pas parce qu’elles y sont forcées. L’autre facteur clé est que l’homme est un animal social. Nous avons tendance à rendre la pareille à nos semblables, à rivaliser pour attirer le partenaire et à imiter le comportement les uns des autres.

Les réseaux de personnes ont tendance à instancier et renforcer les comportements. La connectivité croissante du monde des médias sociaux numériques renforce l’importance de ces tendances comportementales et offre de nouveaux outils de réseau extrêmement puissants pour influencer et orienter les comportements.

Mais qu’est-ce que tout cela peut bien avoir à voir avec la protection de l’information ?

Le gouvernement et les entreprises cherchent activement à protéger leurs informations contre la perte, le vol ou la copie, et aussi contre les conséquences qui en découlent pour la valeur commerciale et la violation du droit. La protection est assurée par la technologie et les processus, mais l’un des facteurs essentiels de son efficience est le comportement humain. Traditionnellement, les professionnels de la sécurité ont eu tendance à mettre en évidence des comportements et des résultats médiocres pour illustrer un problème et ensuite recourir au renforcement négatif pour influencer le comportement. Si cela peut fonctionner dans certaines cultures, dans bon nombre de cas il s’agit d’une attitude contre-productive. La puissance de l’imitation et de la conformité tend à inciter les gens à accepter et à se laisser influencer par le comportement commun. Lorsqu’un comportement déplacé est cité comme étant la norme, les gens ont tendance à l’accepter, voire à l’imiter. De nombreuses expériences ont démontré cette tendance.

Quels outils existent pour contribuer aux programmes de protection de l’information ?

Notre but, avec un programme de protection de l’information, est de changer les valeurs des gens pour aboutir à une transformation du comportement quant à leur utilisation des documents, des dossiers et des fichiers. Ce sous-ensemble de supports est considéré comme important pour la valeur et la réputation des entreprises – et souvent pour la conformité au droit.

Le changement de valeurs se traduit ensuite en comportement acceptable qui constitue la norme qu’imitent les autres, de telle sorte que les comportements deviennent « ce qui se fait ici ».

Le défi est que les comportements qui présentent une valeur intrinsèque élevée n’ont aucune garantie de réussir, d’être choisis ou d’être imités. Il n’existe pas de relation automatique entre une initiative visant un objectif connu et l’ingénierie des réseaux sociaux cherchant à atteindre cet objectif. Par exemple, un comportement alternatif peut être perçu comme plus attirant.

Toutefois, la première étape de la démarche consiste à prendre la défense de la valeur de l’objectif que l’on s’est fixé – en protégeant l’information, qui constitue peut-être un « joyau de la couronne », sur les valeurs essentielles de l’entreprise et, par conséquent, les valeurs essentielles de ses salariés. Les hommes et les organisations ont tendance à vouloir faire « ce qu’il faut » et à se comporter de manière raisonnable. Le problème est plus de surmonter l’inertie initiale et de transformer le comportement de manière permanente. L’utilisation de solutions techniques qui ne sont ni simples ni faciles à utiliser est une démarche fortement dissuasive qui peut augmenter considérablement la probabilité d’un échec.

La plupart des individus ne sont pas précis et ne calculent pas les avantages en tant que tels. Ils ont plutôt tendance à approximer et à ressentir si une chose est attrayante et désirable et ne présente pas un trop grand nombre d’inconvénients. Nous devons tenir compte de ce mode de pensée intuitif et en tirer parti. Les réseaux sociaux sur lesquels ces individus sont présents jouent un important rôle d’influence. Voici quelques facteurs que nous jugeons importants :

– La réciprocité est très importante. Les vendeurs de voitures qui réussissent exploitent parfois cela en laissant entendre qu’ils vous ressemblent. S’ils remarquent que votre cravate est celle de votre club de golf, ils vous parlent de golf ; à la vue de la tenue de foot de votre fils, ils vous révèlent qu’ils soutiennent la même équipe. Il est donc important d’intégrer et de relier les résultats souhaités de la protection de l’information à d’autres aspects qui sont déjà recherchés au sein de l’entreprise.

– Identifiez les influenceurs des réseaux sociaux. Certaines personnes, du fait de leur position hiérarchique ou par consensus, sont très appréciées et suivies par tous. Ces personnes doivent adhérer aux idées et aux comportements. Les personnes qui exercent une réelle influence ne sont peut-être pas celles que vous pensez. Expérimentez cela et essayez différents réseaux, tant formels qu’informels, au sein de l’entreprise.

– Encouragez les comportements souhaités. Tout comportement que nous encourageons est jeté dans un océan d’idées et d’informations, qui toutes luttent pour la reconnaissance et la notoriété ; les idées doivent par conséquent être encouragées de manière stimulante. Cette affirmation est illustrée par un exemple récent : la Barclays utilisait un livret illustré écrit par des auteurs célèbres. S’agissant d’une approche nouvelle, cela suscitait fatalement l’intérêt.

– Classez les performances autour de certains résultats spécifiques. Par exemple :

• Exhaustivité de la classification des documents
• Exhaustivité de la protection des documents (documents d’un type donné / contenu protégé par chiffrement)
• Robustesse des mots de passe
• Résistance à l’ingénierie sociale – où les principaux détails sont donnés dans un  test d’ingénierie sociale
• Résistance aux attaques de phishing

– Utiliser les tableaux de classement au niveau du service ou de l’individu. Cela met à profit la tendance à la compétitivité, qui à son tour a été utilisée par des plates-formes de ludification pour identifier les personnes présentant les comportements souhaités. Il est important de remercier les personnes qui présentent les comportements souhaités, en puisant dans un mouvement de réciprocité. Les gens, même ceux qui a priori ne le souhaitent pas, ont tendance à retourner les faveurs qui leur sont accordées. Dans son livre Influence, Robert Cialdini explique comment les gens se sentiront redevables s’ils reçoivent un stylo bas de gamme dans un courrier sollicitant un don de bienfaisance, comment ils se montreront bienveillants s’ils arrivent à marquer un point dans une discussion et comment ils rendront la pareille à ceux qui les apprécient.

Conclusion

La transformation du comportement humain est une composante essentielle de tout programme de protection de l’information. Les facteurs qui suscitent un changement de comportement doivent être influencés par la réalité des tendances comportementales des êtres humains et deviennent le centre d’intérêt de nouveaux champs d’études basés sur l’économie comportementale et la psychologie évolutionniste.

Ces études et leur application pratique dans les politiques publiques et les programmes de formation ou d’entreprise, comportent de nombreux enseignements pertinents pour les professionnels de la sécurité de l’information.

[Article traduit de l’anglais] 

Cet article S’appuyer sur les comportements sociaux de groupe pour une protection de l’information plus efficace est apparu en premier sur RiskInsight.

Quelques incidents majeurs d’indisponibilité survenus en 2011

Dans le domaine des technologies de l’information, l’année passée a connu une médiatisation forte du cloud, notamment vis-à-vis du grand public. Mais elle a également montré quelques limites du « nuage » en termes de disponibilité avec des incidents touchant les acteurs majeurs du secteur tels qu’Amazon, Microsoft ou Google.

2011 a également connu les désormais habituelles, mais ô combien impactantes ruptures de câbles. Notamment celle de Vélizy, en mai dernier, où des fibres ont été coupées lors de travaux du tramway. Un site d’hébergement informatique a été isolé près d’une journée, perturbant ainsi l’activité de grands comptes de la distribution et celle d’un ministère. Non moins insolite, une Géorgienne de 75 ans a coupé la connexion de 3,2 millions d’Arméniens en cherchant du cuivre près de Tbilissi !

Mais de tous les incidents, les catastrophes naturelles sont indéniablement les plus marquantes, par leur gravité et leur dimension parfois inhabituelle : les inondations en Thaïlande et surtout le désastre de Fukushima. Ces catastrophes ont montré les limites des dispositifs de maîtrise des risques, et poussé ces pays à améliorer leur capacité à gérer des crises exceptionnelles.

Un renforcement de la sensibilité des états et des organisations sur le sujet

Le Japon et la Thaïlande ne sont pas les seuls pays qui se sont intéressés à la question. Le sinistre de Fukushima a réveillé l’opinion publique sur le risque nucléaire et incité la très grande majorité des pays exploitant cette énergie à examiner la sécurité de leurs installations. Dans le même courant, l’augmentation des événements naturels pousse de nombreux gouvernements de par le monde à repenser leur gestion des risques majeurs.

Le 3 janvier, l’Autorité de Sûreté Nucléaire française (ASN) a remis au Premier Ministre son rapport sur les évaluations complémentaires de sûreté (ECS) et révisé ses exigences de sûreté relatives à la prévention des risques naturels (séisme et inondation), à la prévention des risques liés aux autres activités industrielles, à la surveillance des sous-traitants et au traitement des non-conformités.

Plus globalement, l’Union Européenne a, ces dernières décennies, défini des réglementations sur des sujets divers allant de la réglementation sur les substances chimiques (REACH), celle sur l’évaluation des risques d’inondation (2007/60/CE), à celle relative au domaine banque/assurance (Bâle III, Solvency II), etc. Et ces directives sont déclinées en France.

Sur un autre continent, le Maroc conduit un projet de définition d’une stratégie nationale de prévention et de gestion des risques, notamment ceux liés aux catastrophes naturelles. Cette volonté a été confortée par les inondations de mars 2011.

Mais outre ces réglementations, les catastrophes de 2011 poussent à inscrire la gestion des risques dans de nouvelles dimensions.

Des risques à traiter au-delà des frontières habituelles…

Au-delà des frontières géographiques…  Les inondations en Thaïlande en témoignent. Si la ville de Bangkok a été globalement préservée (au travers des actions volontaristes menées par le gouvernement), il n’en reste pas moins que des zones industrielles, dans sa périphérie ou dans le pays, ont été sévèrement touchées.  Les impacts en termes de production se sont répercutés partout dans le monde, en particulier sur le marché de l’électronique, et notamment sur la production des disques durs professionnels comme grand public (augmentation des prix de 30% à 150% selon les distributeurs).

Au-delà des frontières internes des entreprises… La gestion des risques doit bien intégrer la réflexion sur la continuité des processus avec l’ensemble des acteurs, sans omettre les prestataires et fournisseurs essentiels. C’est ainsi que la pénurie de pièces produites en Thaïlande a poussé un constructeur automobile à revoir sa production à la baisse.

Au-delà des frontières des typologies de risques… La cyberattaque en est une illustration. Il ne s’agit pas de traiter la confidentialité des données qui peuvent être accédées uniquement, en oubliant la disponibilité des services offerts par une DSI, ni l’inverse. Les objectifs de ces attaques étant variés, tous les risques doivent être considérés, de la fuite d’informations et à l’interruption d’activité.

L’approche traditionnelle consistant à traiter les risques de façon indépendante, ce qui pousse bien souvent à les penser dans un cadre restreint, a donc vécu : il convient désormais de bâtir un dispositif global de gestion des risques, sur les processus métiers critiques avec tous leurs enjeux, leurs acteurs et leurs moyens, qu’ils soient en France ou non, basés sur les nouvelles technologies ou non, etc.

Cet article 2011 : rétrospective des incidents majeurs et impacts sur la gestion de risques est apparu en premier sur RiskInsight.

En effet, la réflexion autour des systèmes de management de la continuité d’activité n’est pas récente : de nombreux guides nationaux sont apparus ces dernières années, notamment dans les pays les plus mûrs sur le sujet de la continuité.

Parmi ce foisonnement de publications, la BS 25999 (publiée en 2007) a pris un rôle de premier ordre. Or l’ISO 22301 partage de nombreux points communs avec cette norme, et notamment les notions relatives aux Systèmes de Management : amélioration continue, implication du management, pilotage par les risques et les enjeux Métiers, etc.

S’inscrire dans une démarche de progression continue

Il s’agit là d’un point-clé : inscrire le Plan de Continuité des Activités (PCA) dans un Système de Management, c’est entre autres réfléchir à sa politique de couverture de risque et aux moyens affectés au PCA, impliquer le management et délimiter un périmètre en s’assurant de son adéquation avec les enjeux Métiers ; et tout cela de façon récurrente, de façon à garantir in fine l’alignement du PCA avec les objectifs de l’organisation.

Le point de départ est donc la réalisation d’une analyse de risques et d’un Bilan d’Impact sur l’Activité (BIA). Si ce dernier point est fortement détaillé dans la BS 25999, allant jusqu’au cadrage des critères d’expression des besoins et assez largement répandu dans la pratique, l’analyse de risques est quant à elle plus rarement revue aujourd’hui. Or les dispositifs de secours ont vocation à couvrir des périmètres et des risques de plus en plus larges… mais surtout en permanente évolution : réaliser ou revoir l’analyse de risques qui supporte le PCA, c’est aussi apporter un regard critique sur son PCA.

Le contrôle, point clé de l’amélioration

Le deuxième point à souligner est celui du contrôle du PCA, afin d’en mesurer la pertinence et l’efficacité opérationnelle. À cet égard, la réalisation régulière de tests et exercices PCA est nécessaire mais pas suffisante, car sauf remise en question très régulière du scénario de test, la pertinence du PCA n’est pas analysée. Par ailleurs, force est de constater que la mobilisation des acteurs peut être difficile à maintenir dans le temps et que les tests peuvent  perdre leur statut de preuve du caractère opérationnel du PCA. En outre, la mise en place d’un processus de contrôle force à s’interroger sur les indicateurs de mesures d’efficacité du PCA, utiles notamment pour le reporting auprès du management, et sur la politique d’audit du PCA.

Sensibiliser pour ne pas oublier l’humain

Enfin, peu déployée mais pourtant d’une nécessité évidente, la sensibilisation des collaborateurs permet d’assurer que le PCA n’est pas qu’un plan « sur le papier », et que son exécution dans la « vraie vie » est crédible. En ciblant le management, elle s’assure de son sponsorship, et peut l’aider dans la prise de décision le moment venu. En touchant les acteurs au quotidien du PCA, elle peut être d’une réelle aide dans le maintien de leur implication. Et surtout, en ciblant les collaborateurs concernés lors du déclenchement des dispositifs, elle permet de renforcer le caractère opérationnel du PCA !

Au-delà de l’aspect médiatique, une évolution naturelle pour un sujet de plus en plus sensible

Le caractère international de l’ISO ne manquera pas de redonner un réel engouement pour le sujet, et lui permettre de s’inscrire dans la lignée de ses glorieux aînés concernant la qualité (ISO9001) et la sécurité de l’information (ISO27001). Un intérêt qui viendra accompagner la maturité croissante des PCA des organisations, qui ont ces dernières années lancé de nombreux projets de mise en place, en réponse aux menaces qui pèsent sur leurs activités et aux exigences de disponibilité de leurs métiers.

Mais le PCA est plus qu’un projet. Le principal enjeu, plus que de le mettre en place, est bien de le maintenir en conditions opérationnelles, et c’est sur ce point que la norme peut apporter : par l’inscription du PCA dans un processus récurrent, dans un cycle de vie calé sur l’évolution de l’organisation.

Sans oublier que cette norme sera certifiante : pour ceux souhaitant aller au-delà d’une simple utilisation de ces bonnes pratiques, la certification permet d’afficher l’existence et l’importance du PCA de manière externe, vis-à-vis de clients, de partenaires, voire d’autorités réglementaires… Autant de bonnes raisons pour adopter cette norme au plus tôt !

Cet article ISO 22301 : un nouvel élan pour la Continuité d’Activité ? est apparu en premier sur RiskInsight.

En effet si le premier cycle Plan-Do-Check-Act est souvent de la découverte, la deuxième année peut se révéler pavé d’écueils si elle n’est pas soigneusement préparée. La dérive la plus fréquemment rencontrée est bien sûr la démobilisation des collaborateurs : passée la phase projet et l’aboutissement de l’implémentation des processus ou de la certification, il ne faut pas « laisser le soufflé retomber », même si des projets d’autres entités occupent désormais le devant de la scène auprès du management !

Conserver la dynamique projet

Il est important de maintenir une dynamique ambitieuse pour traiter les risques par les projets de sécurité. Ces chantiers permettront de garder un focus sur la sécurité et feront vivre le SMSI indirectement. En effet, ils sont propices à la mise en place de rendez-vous réguliers (comités de pilotage, points projets…) avec les collaborateurs et la direction sur le sujet sécurité. Le SMSI est alors utilisé au quotidien et l’avancement des projets permet de montrer des réductions des risques concrètes, et mesuré dans le temps. Les premiers effets concrets du SMSI !

Optimiser et garantir l’adhésion au SMSI dans le temps

La construction initiale est bien souvent réalisée sur des bases nouvelles, en imaginant le fonctionnement des processus de manière optimale. Fort de l’expérience des premiers cycles, le responsable du SMSI doit être à l’écoute des collaborateurs sur le fonctionnement de ces processus, de manière, de manière directe (rencontre, questionnaire…) ou indirecte, pour déterminer où se trouvent les points d’amélioration les plus criants et apporter des modifications rapides. Cela permet d’éviter un effet de lassitude, voire même de rejet, pour des processus qui fonctionneraient moyennement.

Ces évolutions sont généralement de deux types. Il s’agit tout d’abord de l’industrialisation des tâches récurrentes par l’outillage : même s’il n’existe pas aujourd’hui de solution idéale, des optimisations sur des tâches particulières sont possibles (qu’elles soient techniques, de pilotage comme les indicateurs ou administratives comme la documentation). Puis vient la rationalisation des actions existantes, particulièrement en renforçant l’intégration du SMSI dans les processus de l’entreprise. Par exemple l’intégration de revues de direction de plusieurs systèmes de management ou encore l’unification des démarches d’audit et de contrôle interne sont de beaux défis qui nécessitent une maturité importante mais qui sont autant de vecteurs d’optimisation.

Même si ces chantiers sont peu visibles, ils vont être la clé pour démontrer que l’adaptabilité, la réactivité et légèreté du SMSI.

Faire de l’audit de surveillance un marqueur clé

Le suivi des incidents, des crises mais aussi des non-conformités et des actions correctives et préventives sont essentielles pour montrer l’apport du SMSI. Cette analyse ne doit pas être un travail isolé mené par le responsable du SMSI mais bien une démarche collaborative avec les équipes opérationnelles. Cette revue régulière et partagée permet de montrer l’apport du SMSI dans la couverture des évènements liés à la sécurité.

Bien sûr, cette dynamique ne saurait être complète sans une communication régulière auprès de l’ensemble des populations : qu’il s’agisse de sensibilisation ou de communication sur les gains de la démarche et les succès (impact auprès des clients, gains opérationnels, etc.), les piqûres de rappel sont nécessaires pour ancrer dans les pratiques et les esprits la démarche sécurité et les enjeux de l’organisme. L’audit de surveillance, voire de renouvellement, est un marqueur clé de cette stratégie de communication. Il doit être vécu comme un aboutissement chaque année. Et ceci pas uniquement car la certification est maintenue, mais bien parce que le niveau de protection est meilleur d’année en année !

Se remettre en question pour aller plus loin

Finalement, le responsable du SMSI doit avoir un esprit d’écoute et de conquête pour d’une part comprendre les évènements qui marquent son périmètre métier (nouvelles offres, fusions, rapprochement, évolution du marché…) et d’autre part identifier les actions clés pour une potentielle évolution du SMSI. Des pistes judicieuses pour faire souffler un vent de fraîcheur sur le SMSI et donner une nouvelle impulsion à la démarche !

Cet article Maintenir le SMSI : conserver une dynamique de construction est apparu en premier sur RiskInsight.

Pas encore connue de tous, une nouvelle tendance se dessine au sein même des entreprises, le Bring Your Own Device.  Le BYOD, c’est la fusion des téléphones personnel et professionnel, ou comment se servir de son propre terminal pour un usage d’entreprise.

Ce phénomène a une explication : l’explosion du taux de pénétration des smartphones sur le marché Grand Public. En 2010, 270 millions de ces smartphones ont été vendus dans le monde, soit 55% de plus qu’en 2009.

Aux États-Unis, ce sont 43 % des cadres des entreprises de plus de 500 salariés qui utilisent déjà des équipements personnels sur les réseaux et les systèmes d’entreprise[1].

Cependant, l’entreprise devra faire face à quelques difficultés…

Du point de vue de l’entreprise, la question de la gestion multi-OS / terminaux pourrait s’avérer délicate et complexe pour les DSI.  Outre l’aspect de la sécurité des informations qui transitent, les mises à jour  des terminaux peuvent être source de grandes difficultés au sein du département télécom qui gère cette flotte. Cependant, des solutions industrielles sont aujourd’hui capables de gérer la diversité des plates-formes et des terminaux mobiles.

Du coté des DSI, 3 points nécessitent d’être traités :

– La sécurité du SI vis-à-vis du terminal (contrôle des accès, chiffrement et contrôle des flux…)

– La sécurité du terminal lui-même (authentification locale, chiffrement des données stockées…)

– La gestion du parc de terminaux mobiles (Mobile Device Management ou MDM)

Comment l’entreprise doit-elle gérer ce phénomène ?

Un grand nombre d’entreprises cherchent à intégrer les iPhone personnels de leurs salariés dans un environnement professionnel. Astra Zeneca, par exemple, estime qu’il lui serait possible de réduire ses coûts de 2 millions de dollars par an, en demandant simplement à ses sous-traitants et à certains de ses employés d’utiliser leurs propres équipements. Les employés qui ont adopté cette « BYOD Attitude » la jugent plus rentable et plus efficace dans leur quotidien.

Face à cette tendance, il existe en réalité trois écoles chez la plupart des responsables Télécom et Sécurité :

– La première prône le « laissez-faire, laissez-passer » : cela consiste à ne mettre aucune barrière dans l’usage professionnel des mobiles personnels des employés. Cette approche peut s’avérer périlleuse car presque aucun contrôle n’est effectué sur les flux entrants et sortants touchant le réseau de l’entreprise. La sécurité des données de l’entreprise, l’un des points d’attention principaux du BYOD,  est alors mise à rude épreuve.

–  La seconde école : celle du « protectionnisme », consiste à interdire le BYOD au sein de l’entreprise. Cette méthode met en avant une sécurité des données intacte et la potentielle perte de productivité générée par l’usage de terminaux personnels au travail. Mais elle fait peu de cas de la réalité des usages et peut déboucher sur la critique par les employés, d’une politique trop rigide, voire suspicieuse de la DSI. Notons que cette approche mène presque toujours à des pratiques « sauvages » hors contrôle.

–  Dernière école, enfin : l’ouverture de l’accès au réseau de l’entreprise de certains types de terminaux / certaines plates-formes uniquement, iPhone et BlackBerry en tête.

Des solutions techniques existent pour gérer le compromis Sécurité / Ouverture…

Des solutions spécialisées existent à date sur le marché pour permettre l’usage professionnel de son terminalpersonnel. Ces solutions reposent sur la mise en place de silos « entreprise » permettant d’isoler les données sensibles dans des espaces spécifiques (applications, boite aux lettres, agenda…).

Certaines consistent à déployer une plate-forme dédiée, entre autres celles de Sybase et de Good Technology. Concrètement, ces suites incluent la gestion centralisée des emails, du calendrier, des contacts, des tâches ou encore l’accès à distance aux applications métiers.

Cette brique technologique peut être adressée au travers de l’opérateur mobile de l’entreprise : il a intérêt à se positionner comme fournisseur de service afin de trouver la solution idoine capable de répondre aux exigences particulières des comptes qu’il gère.

… Mais l’entreprise se doit de statuer sur les points d’attention juridiques et RH générés par la tendance BYOD

Attention : cette mutation de l’usage des Smartphones pour accéder au SI de l’entreprise, est perçue de façon différente par les utilisateurs et les discours divergent :

–  là où certains voient un outil qui leur simplifie la vie…

–  …d’autres perçoivent une contrainte supplémentaire qui les incite à étendre leur travail au-delà des heures de bureau.

A l’heure où de nombreux témoignages rapportent que « l’hyper-connectivité » devient addictive, il est important que les départements RH se positionnent sur plusieurs thèmes :

–  Le fait de lire ses mails professionnels sur ton propre téléphone dans le métro peut-il (ou doit-il) être considéré comme du temps de travail supplémentaire ?

–  Quels sont les impacts de l’usage de son terminal personnel : y-a-t-il un stress induit par le fait d’être connecté en permanence ?

–  Il peut parfois aussi s’avérer important de veiller à ne pas créer de discrimination entre les collaborateurs qui peuvent/veulent acheter un Smartphone et les autres.

L’aspect juridique doit, lui aussi, être clairement défini, et les questions qui sont généralement posées sont les suivantes :

–  Jusqu’où l’entreprise peut-elle maîtriser le terminal personnel de l’utilisateur  (le tracer, effacer son terminal à distance, récupérer certaines données personnelles…) ? N’oublions pas qu’elle reste responsable de l’usage qui est fait par les moyens qu’elle offre à ses employés.

–  Jusqu’où l’usage de l’employé peut-il aller, en particulier concernant des données de l’entreprise ? Il semble clair, aux yeux de la loi, qu’elles restent bien la propriété de cette dernière, même si elles sont stockées sur un terminal personnel.

–  Qu’en est-il de la partie matérielle ? Si un collaborateur casse son Smartphone alors qu’il l’utilisait pour consulter ses e-mails professionnels, qui doit payer la réparation ?

Pour couvrir ces sujets, une modification du contrat de travail semble être une action trop longue et complexe. On lui préfère en général une charte signée par l’utilisateur, et par exemple annexée au règlement intérieur.

Il reste cependant une grande inconnue, sur laquelle il paraît tôt de se positionner : le BYOD va-t-il trouver sa place comme pratique à long terme ? Le phénomène de « consumérisation » fait en effet l’objet de nombreux débats depuis des années, sans que l’on puisse affirmer qu’il a réellement réussi à percer…

Cet article Bring Your Own Device : quelle frontière entre sphère professionnelle et personnelle ? est apparu en premier sur RiskInsight.

La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) doit s’appuyer sur une stratégie solidement établie définie lors d’une étude d’opportunité préalable. À l’issue de cette étude, périmètre, cible d’alignement, organisation et chantiers de mise en conformité ont été cadrés.  Dès lors, il s’agit de se lancer dans l’implémentation à proprement parler : quels sont les facteurs clés de succès pour assurer une mise en œuvre efficace ?

Optimiser le planning de mise en œuvre

Tout en respectant les très nombreuses dépendances entre les processus du SMSI, il est tout à fait possible d’optimiser leur implémentation pour paralléliser les tâches et ainsi raccourcir le planning de mise en œuvre.

La mise en place d’un SMSI peut ainsi s’organiser en deux grands chantiers principaux :

–  D’une part, la mise en place du système de management en lui-même. Il faut définir les processus (pilotage, sensibilisation, contrôle et mesure de l’efficacité, etc.), et les implémenter. Le processus de pilotage sera bien entendu le premier à être étudié.

–  D’autre part, la mise en place de la gestion des risques, pilier de la démarche ISO 27001. Elle débute par la définition du processus de gestion des risques et la réalisation de l’appréciation des risques. Une première analyse rapide et macroscopique a déjà été menée lors de l’étude d’opportunité, afin d’identifier les chantiers de sécurité à démarrer au plus vite (PCA, IAM, chiffrement, etc.). Lors de cette deuxième étape,  il s’agit de réaliser l’analyse détaillée des risques de sécurité répondant aux exigences de l’ISO 27001. Elle permettra d’affiner et compléter les chantiers de sécurité qui auront été lancés en parallèle avec leur documentation.

Cette parallèlisation et les dépendances fortes entre les différents chantiers  nécessitent bien sûr un suivi de projet rigoureux afin d’identifier au plus tôt les éventuelles dérives de planning !

Faire adhérer les opérationnels à la démarche

Si le responsable SMSI – bien souvent le RSSI, même s’il peut également être un acteur  métier– et son équipe sont les pilotes du projet, il ne faut pas négliger la contribution des opérationnels avec lesquelles il est nécessaire de mettre en place une coordination forte.

Au-delà de la sensibilisation et de la conduite du changement qui s’adresse à tous les collaborateurs du périmètre ciblé, il est primordial de s’assurer de la mobilisation des équipes opérationnelles en charge de la mise en œuvre des projets de sécurité. L’enjeu va bien au-delà de la réalisation des projets sécurité selon le planning et les modalités prévues.  En effet, passée la phase projet, ce sont eux qui maintiendront les mesures de sécurité implémentées et la documentation : leur appropriation garantira la pérennité du niveau de sécurité ciblé.

Construire pour le futur

L’amélioration continue occupe une place clé dans les principes de l’ISO 27001. Dès lors, il est tout à fait acceptable de commencer par mettre en place une cible pragmatique dans la situation actuelle de l’organisme, tout en se projetant dans une stratégie d’évolution du SMSI plus ambitieuse à moyen terme.

Bien que le premier cycle Plan-Do-Check-Act soit principalement celui de la mise en place et de la découverte, il est également celui où les fondations du SMSI sont posées.  Il est donc important d’avoir dès ces premières phases les potentielles évolutions du SMSI en tête (une extension du périmètre par exemple). C’est particulièrement vrai pour la définition et la mise en place des processus, qui doivent pouvoir survivre aux changements de périmètre et d’organisation sans devoir subir une refonte complète.

La mise en place du SMSI doit ainsi être considérée comme un projet à part entière, mais ce n’est qu’un début : c’est également un tremplin pour assurer la pérennité de la démarche et l’adhésion des acteurs dans le temps !

Cet article Rendre la norme ISO 27001 opérationnelle : construire efficacement son SMSI est apparu en premier sur RiskInsight.

Aujourd’hui la norme ISO 27001 est indéniablement devenue le modèle de gouvernance de la sécurité de l’information.  Amenant un pilotage de la sécurité par les risques couplé à une approche système de management, elle permet de structurer et rationaliser le pilotage de la sécurité tout en construisant une vision stratégique à moyen terme. Mais comment se lancer dans sa mise en œuvre en répondant au mieux aux enjeux de sécurité des métiers et en en tirant le meilleur parti ?

Avant de démarrer : se poser les bonnes questions !

Une étude d’opportunité et de faisabilité permet de répondre rapidement aux questions clés : pourquoi et pour qui implémenter la norme ? Quels sont les enjeux métiers et les grands risques sécurité ? D’où part-on ?

Si la lecture linéaire des exigences de la norme s’avère vite peu adaptée pour évaluer le niveau de conformité actuel de l’entreprise, une analyse des écarts en adoptant une vision « processus » (pilotage du système de management de la sécurité de l’information, gestion des risques, contrôle et mesure de l’efficacité, etc.) est plus  facile à mener et souvent bien plus parlante. Conduite avec les métiers, les interlocuteurs sécurité, SI et les fonctions support, elle est également l’occasion de les sensibiliser, de comprendre leurs enjeux business et d’identifier de manière macroscopique leurs risques sécurité.

Alignement ou certification : trouver sa voie

Ces deux voies correspondent à des enjeux différents . L’alignement à la norme permet d’apporter cohérence et implication à la démarche de sécurité. Il donne également la possibilité dela légitimer et communiquer sur celle-ci.. Il s’agit dès lors de se fixer son propre référentiel d’exigences en sélectionnant les processus présentant le meilleur ratio efficacité / coût dans le contexte, et le degré de conformité visé. L’alignement s’inscrit dans une démarche de progrès sur plusieurs années, en fonction de la maturité initiale et de la cible. C’est la voie choisie par la majorité de nos clients.

La certification répond quant à elle à des enjeux commerciaux, sectoriels, réglementaires ou opérationnels forts. Au-delà des apports de l’alignement, elle constitue un élément différenciant, la garantie externe d’un pilotage de la sécurité maîtrisé aux yeux des clients, partenaires et régulateurs. Bien souvent, les organismes qui s’engagent dans la certification manipulent des données sensibles soumises à des réglementations fortes (santé, banque, assurance) ou sont des hébergeurs qui voient dans la certification un intérêt d’image, mais aussi opérationnellement réduction du nombre d’audit de leurs clients !

Identifier les scénarios gagnants à présenter à sa Direction

Le périmètre est un élément structurant du système, centré sur les enjeux métiers. Il peut prendre la forme d’un site – un datacenter,  d’une organisation – la DSI, d’un processus ou encore d’une offre  proposée aux clients.

Au-delà de ce qu’il comprend, il est important d’identifier précisément ses frontières avec les différentes interfaces (fournisseurs internes, externes, clients, etc.) pour évaluer les charges internes et les futurs besoins de contractualisation pour assurer la maîtrise des mesures de sécurité.

La stratégie de définition du système de management et de l’organisation est intimement dépendante de ce périmètre et de l’organisation de l’entreprise. Un SMSI, des SMSI ? Quel cycle de vie ? Quel(s) responsable (s), entité(s) de management, instances ?

Les différents scénarii imaginés doivent être confrontés en s’appuyant sur l’apport de la démarche par rapport aux enjeux métiers et aux investissements. N’oublions pas que ces derniers sont en partie déjà prévus : les risques doivent dans tous les cas être traités et les chantiers sécurité budgétés, et le pilotage du SMSI est une évolution du rôle du RSSI déjà intégré aux charges récurrentes de l’entreprise. Des arguments qui peuvent faire mouche auprès de la Direction à qui le projet sera présenté !

Après cette phase de décision, la construction doit commencer et cela fera l’objet de d’un prochain article  sur l’ISO 27001 !

A suivre : rendre la norme ISO 27001 – épisode 2 : construire efficacement son SMSI

Cet article Rendre la norme ISO 27001 opérationnelle : trouver le SMSI gagnant est apparu en premier sur RiskInsight.

Historiquement, la gestion des risques est abordée par silos au sein des entreprises. Chaque filière (SI, qualité, continuité, RH,…) traite son périmètre en toute autonomie et sans réels échanges avec les autres. Cette gestion très cloisonnée rencontre aujourd’hui ses limites car elle n’apporte pas de réponses satisfaisantes aux questions clés qui régissent la gestion des risques pour toute entreprise :

• Quelles actions de réductions des risques dois-je initier en priorité ?
• Comment mutualiser mes efforts pour un maximum d’efficacité et un minimum de coût ?
• Quel niveau de réduction de mes risques ai-je atteint ?

Aligner les démarches pour un partage et une consolidation des risques

La Direction des risques, acteur majeur de la démarche, se retrouve dès lors confrontée à un enjeu de taille : comment traiter globalement les risques de l’entreprise en s’affranchissant de cette structure par filière. Notre conviction est qu’elle doit, pour ce faire, mettre en place un cadre global de gestion en travaillant principalement sur deux axes :

–       Aligner et faire converger les pratiques : si la notion de risque et les concepts associés sont  très proches d’une filière à l’autre, il arrive trop souvent que les méthodes, les langages, les échelles,… divergent rendant ainsi la consolidation des risques remontés par chacune des filières difficile voire impossible.

–       Elaborer ou Rationaliser la gouvernance des risques : la mise en place d’une organisation intégrant les différentes parties et les faisant interagir permettra non seulement de décloisonner la gestion des risques mais aussi d’optimiser les plans de traitement et la maîtrise globale du risque.

Cette rationalisation doit également concerner les canaux de remontées des risques qui sont aujourd’hui extrêmement nombreux (au moins autant que de filières) entraînant une sur-sollicitation des opérationnels.

Au-delà du travail sur la méthode et l’adaptation de l’organisation, cette réponse globale doit s’appuyer sur un portefeuille de risques commun, réceptacle unique pour l’ensemble de l’entreprise. Véritable outil de pilotage, le portefeuille doit permettre, à la cible, un traitement plus adapté des risques par les différentes filières, basé sur des plans d’actions complémentaires et partagés.

S’appuyer sur l’existant pour une mise en place progressive

On ne passe pas d’une réponse éclatée à une approche globale en une seule étape, ou en faisant table rase de l’organisation et de ses contraintes. Face à ce challenge, la stratégie gagnante est, au contraire, celle qui implique l’ensemble des parties prenantes dans la réflexion pour en garantir l’acceptation et construire une véritable « culture du risque » au sein de l’entreprise. C’est également celle qui élargit pas à pas le spectre des risques couverts en commençant par la consolidation de risques de nature similaire, tels que les risques de sécurité et ceux liés au SI, avant d’inclure l’ensemble des risques opérationnels.

C’est en construisant sur l’organisation, en apportant de la cohésion entre les différentes filières et en appliquant une démarche progressive que les entreprises réussiront à transformer leur approche des risques.

Cet article Globaliser la gestion des risques : vers la mise en place d’un cadre unique est apparu en premier sur RiskInsight.

Si la continuité d’activité fait partie depuis longtemps des préoccupations de bon nombre d’entreprises, elle demeure néanmoins un sujet d’actualité pour 2011. Même sur le volet informatique, souvent le plus mûr, des évolutions sont à prévoir. Quasiment tous les grands comptes disposent aujourd’hui d’un plan de continuité informatique (PCI) performant, bâti à l’initiative des DSI pour répondre à la dépendance croissante des organisations au SI. Mais cela n’est plus suffisant.

Un PCI soumis aux innovations et aux nouvelles menaces

Le PCI se doit de suivre l’évolution rapide de la production informatique, pour en profiter au mieux. Parmi les innovations marquantes figurent la virtualisation et le cloud computing. La première peut faciliter grandement les opérations de bascule et de redémarrage, parfois même « à chaud » et sans interruption de service. Le second, par la révolution qu’il impose au SI, nécessite la révision intégrale du dispositif de secours.

Au-delà, le cloud computing peut également constituer une solution de secours en soi, alternative aux sites de secours classiques. Mais comme pour la production, il induit des risques pour la sécurité des données, et est souvent encore insuffisamment rassurant quant à la capacité réelle de reprise qu’il apporte.

Parallèlement, les exigences envers les PCI évoluent : en effet, de nouvelles menaces apparaissent régulièrement et ne sont pas couvertes par les plans actuels. La plus prégnante aujourd’hui est sans doute le risque de cyber attaque, choc « extrême » à propos duquel la réflexion s’engage à peine.

Faire mûrir le volet opérationnel

La continuité d’activité ne se limite pas à celle de l’informatique : les réflexions sur la continuité des opérations progressent également. Là encore, les chocs extrêmes constituent une limite forte aux plans actuels. La plupart des organisations savent faire face à l’indisponibilité d’un bâtiment, mais restent souvent démunies face à un sinistre de plus grande ampleur, type crue de Seine. Le traitement de cette problématique sera un des enjeux des années à venir.

Les prestations de services externalisées constituent également un sujet d’attention, compte tenu de leur importance majeure pour la plupart des organisations : comment identifier les prestations réellement clés, quelles exigences fixer aux prestataires, et comment s’assurer du respect des engagements ?

Enfin, la capacité à maintenir dans le temps les plans de continuité d’activité (PCA) est une problématique majeure : adapter en permanence le plan aux évolutions rapides des organisations et du SI nécessite une méthodologie rigoureuse pour capter l’évolution des besoins et des solutions, et vérifier en permanence leur adéquation.

Le déploiement progressif d’une norme ISO sur le sujet en serait-il un levier ? Largement issue de la norme BS 25999, elle adapte la notion de système de management aux processus de continuité d’activité. Les responsables PCA devront bientôt choisir entre se contenter de suivre les bonnes pratiques, ou aller jusqu’à l’alignement voire la certification.

Ne pas oublier les fondamentaux

Bien entendu, ces sujets d’actualité ne doivent par occulter les problématiques classiques de la continuité. Du bilan d’impact sur l’activité au maintien en condition opérationnelle en passant par le choix de la stratégie, le PCA doit rester un processus vivant, sous peine de disposer d’un plan inutile le jour J. Le maintien de cet effort dans un contexte budgétaire contraint est capital. Outre qu’il permettra d’assurer la continuité de l’activité au besoin, ce souci constant offre  aux organisations l’opportunité de progresser sur un sujet de plus en plus sensible, la connaissance et la maîtrise de leurs risques. A ce titre, le PCA est bien plus qu’une simple assurance, et doit rester un sujet d’attention majeur pour les années à venir.

Cet article La continuité d’activité : de nouveaux défis pour 2011 est apparu en premier sur RiskInsight.