Aujourd’hui tout porte à le croire !

Après une décennie d’investissement massif dans la cybersécurité, nous rentrons dans une période de consolidation. L’optimisation devient le maître-mot : automatiser les tâches répétitives, rationaliser les ressources, détecter toujours plus vite et répondre toujours mieux.

L’IA, entre autres, est une réponse à ces objectifs.

Mais concrètement, quels changements apporte-t-elle déjà ? Quels cas d’usage transforment le quotidien des équipes cyber ? Et jusqu’où peut-on aller ?

Explorons ensemble comment l’IA va révolutionner la cybersécurité.

Sensibilisation des collaborateurs : l’IA change la donne !

En un chiffre : 20 % des cyber incidents sont liés au phishing et à l’utilisation de comptes volés. (Selon le rapport CERT-Wavestone 2024 : tendances, analyses et enseignements pour 2025)

Former les équipes est donc essentiel. Mais c’est une tâche lourde, qui demande du temps, des ressources et une approche adaptée pour capter l’attention et garantir un réel impact. L’IA change la donne en automatisant les campagnes de sensibilisation les rendant plus interactives et engageantes.

Plus d’excuse pour exclure une entité de votre campagne car ils ne parlent pas anglais, ou pour ne pas personnaliser vos communications aux problématiques des différents pôles (RH, Finance, IT…).

Avec un peu de contexte sur les différentes équipes visées et une version initiale de votre campagne de sensibilisation, les modèles de GenAI¹ peuvent rapidement décliner vos campagnes en exemplaires personnalisés à chaque groupe visé. L’IA permet de créer, à moindre effort, un contenu adapté aux enjeux des cibles du programme de sensibilisation, augmentant l’engagement des collaborateurs et leur intérêt grâce à un message qui leur est pleinement adressé et qui traite de leurs propres enjeux. C’est un gain temps, de performance et de qualité, qui vous permet de transformer les campagnes de sensibilisation massives et génériques, en des campagnes ciblées et personnalisées indéniablement plus pertinentes.

Deux possibilités émergentes aujourd’hui pour mettre en application ce cas d’usage :

• Utiliser les modèles GenAI de confiance de votre entreprise pour vous aider à générer les éléments de votre campagne. L’avantage réside ici bien sûr dans les faibles dépenses à engager.
• Passer par un fournisseur externe. De nombreux prestataires qui accompagnent les entreprises pour des campagnes de phishing standards utilisent en internes la GenAI pour vous délivrer une solution personnalisée rapidement.

En résumé, l’IA permettra de réduire les coûts et les délais de déploiement des programmes de sensibilisation, tout en améliorant leur adhésion et leur efficacité pour faire de la sécurité une responsabilité partagée par tous.

Ces mêmes modèles d’IA peuvent d’ailleurs être personnalisés et utilisés par les équipes cybersécurité pour d’autres actions : faciliter l’accès aux référentiels Cybersécurité.

CISO GPT : un accès simplifié au référentiel cyber pour le métier

Les documents et réglementations internes en cybersécurité sont généralement étendus et bien maîtrisés par les équipes ayant participé à leur élaboration. Cependant, ils restent peu connus des autres services de l’entreprise.

Ces documents regorgent pourtant d’informations utiles pour le métier mais faute de visibilité, les politiques ne sont pas appliquées. Les équipes cyber sont sollicitées pour des demandes d’information récurrentes pourtant bien documentées.

Avec des chatbots IA, ces informations deviennent facilement accessibles. Plus besoin de parcourir des pages entières : une simple question permet d’obtenir des réponses claires et instantanées, facilitant ainsi l’application des bonnes pratiques et la réactivité en cas d’incident.

De plus en plus d’entreprises adoptent des chatbots basés sur l’IA générative pour répondre aux questions des utilisateurs et les guider vers la bonne information. Ces outils, alimentés par des modèles comme ChatGPT, Gemini ou LLaMA, accèdent à des données internes à jour et de qualité.

Résultat : les utilisateurs trouvent rapidement les réponses dont ils ont besoin.

Chez Wavestone, nous avons développé CISO GPT. Ce chatbot, connecté aux référentiels de sécurité internes, devient un véritable assistant cybersécurité. Il répond aux questions courantes, facilite l’accès aux bonnes pratiques et soulage les équipes cyber des demandes répétitives.

Répondre avec l’IA aux questions des métiers, c’est bien. Mais il est possible de faire bien plus !

Au-delà de l’accès rapide à l’information, l’IA permet aussi d’automatiser des tâches chronophages. Gestion des incidents, analyse des alertes, reporting… autant de processus qui mobilisent du temps et des ressources. Et si l’IA pouvait les accélérer, voire les prendre en charge ?

Gagnez du temps avec l’IA : automatisez les tâches chronophages

Le quotidien en entreprise est rempli de tâches chronophages. L’IA peut certainement en automatiser beaucoup, mais sur lesquelles faut-il se concentrer en priorité pour un maximum de valeur ?

Automatiser la classification de données avec l’IA

Voici une première réponse avec un autre chiffre : 77% des cyber-attaques enregistrées ont engendré un vol de données. (Selon le rapport CERT-Wavestone 2024 : tendances, analyses et enseignements pour 2025)

Et cette tendance ne risque pas de ralentir. L’explosion des volumes de données, accélérée par l’essor de l’IA, complexifie leur sécurisation.

Face à ce défi, la Data Classification reste un pilier essentiel pour construire des règles de DLP (Data Loss Prevention) efficaces. L’objectif : identifier et catégoriser les données selon leur sensibilité pour appliquer les mesures de protection adaptées.

Mais classifier les données à la main est impossible à grande échelle. Heureusement, le machine learning, permet d’automatiser ce processus. Pas besoin de GenAI ici : des algorithmes spécialisés peuvent analyser d’immenses volumes de documents, comprendre leur nature et prédire leur niveau de sensibilité.

Ces modèles s’appuient sur plusieurs critères :

• La présence d’indicateurs sensibles (numéros bancaires, données personnelles, informations stratégiques…).
• Le comportement des utilisateurs pour détecter des anomalies et signaler des fichiers anormalement exposé

En combinant Data Classification et IA les entreprises se donnent enfin les moyens de reprendre le contrôle sur leurs données et de réduire drastiquement le risque de fuite.

C’est ici qu’interviennent les DSPM (Data Security Posture Management). Ces solutions vont plus loin que la simple classification en offrant une visibilité complète sur l’exposition des données dans les environnements cloud et hybrides. Elles permettent de détecter les données mal protégées, surveiller les accès et automatiser la mise en conformité.

D’ailleurs la mise en conformité, c’est un autre processus très chronophage !

Simplifiez la mise en conformité : automatisez-la avec l’IA

Se conformer aux normes et réglementations est une tâche fastidieuse. A chaque nouvelle norme, une nouvelle mise en conformité !

Pour un acteur international, sujet à plusieurs autorités de réglementation, c’est une boucle interminable.

Bonne nouvelle : l’IA peut automatiser une grande partie du travail. Des solutions basées sur la GenAI permettent de vérifier et d’anticiper les écarts de conformité.

L’IA excelle dans l’analyse et la comparaison de données structurées. Par exemple, un modèle de GenAI peut comparer un document à un référentiel interne ou externe pour valider sa conformité. Besoin de vérifier une PSSI par rapport aux recommandations du NIST ? L’IA repère les écarts et propose des ajustements.

Simplifiez la gestion des vulnérabilités

L’IA n’est pas à court de solution lorsqu’il s‘agit de gestion de vulnérabilité. Elle peut automatiser plusieurs tâches clés :

• Vérification des règles de pare-feu : la GenAI peut analyser une matrice de flux et la comparer aux règles réellement implémentées. Elle détecte les incohérences et peut même anticiper l’impact d’un changement de règle.
• Revue de code : l’IA scanne le code à la recherche de failles de sécurité et propose des optimisations. Avec ces outils, les équipes réduisent les risques d’erreur, accélèrent les processus et libèrent du temps pour se concentrer sur des tâches à plus forte valeur ajoutée.

Automatiser la mise en conformité et la gestion des vulnérabilités, c’est renforcer la sécurité en amont et anticiper les menaces. Mais parfois il est déjà trop tard !

Face à des attaquants toujours plus innovants, comment l’IA peut-elle aider à mieux détecter et répondre aux incidents ?

Détection et réponse aux incidents : l’IA en première ligne

Pour commencer un constat clair : Les cybermenaces évoluent constamment !

Les attaquants s’adaptent, innovent et il est impératif de réagir rapidement et efficacement face à des incidents toujours plus sophistiqués. Les Security Operations Centers (SOC), sont à l’avant-garde de la gestion de ces incidents.

Avec l’IA à leur côté, ils ont maintenant un nouvel allié !

L’IA au cœur du SOC : détecter plus vite….

L’un des vecteurs d’attaque les plus utilisés et qui fait le plus de dégâts ces dernières années est l’hameçonnage, et les tentatives sont non seulement plus récurrentes, mais aussi plus élaborées qu’autrefois : QR-Code, BEC (Business Email Compromise) …

Comme dit plus haut, les campagnes de sensibilisation sont indispensables pour faire face à cette menace, mais il est aujourd’hui possible de renforcer les premières lignes de défenses contre ce type d’attaques grâce au deep learning.

Les algorithmes de traitement du langage NLP, ne se limitent pas à analyser le contenu brut des émails. Ils détectent aussi des signaux subtils comme un ton alarmiste, une demande urgente ou un style inhabituel. En comparant chaque message aux schémas habituels, l’IA repère plus efficacement les tentatives de fraude. Ces solutions vont bien plus loin que les traditionnelles solutions anti-spam souvent uniquement basées sur des indicateurs de compromission.

En dehors de ce cas très précis, l’IA va devenir indispensable pour la détection des comportements déviant (UEBA). L’accroissement continue de la taille et de la diversité des SI rend impossible la construction de règles individuelles pour détecter les anomalies. Grâce au machine learning, on peut analyser en continu les activités des utilisateurs et des systèmes pour repérer des écarts significatifs par rapport aux comportements habituels. Cela permet de détecter des menaces difficiles à identifier avec des règles statiques, comme un compte compromis accédant soudainement à des ressources sensibles ou un utilisateur adoptant un comportement inhabituel en dehors de ses horaires classiques.

Ces solutions ne sont pas nouvelles, des éditeurs de solutions proposaient dès 2015 l’incorporation d’algorithme d’analyse comportementale dans leurs solutions !

L’IA joue aussi un rôle clé dans l’accélération et l’automatisation de la réponse. Face à des attaques toujours plus rapides et sophistiquées, voyons comment l’IA permet aux équipes SOC de réagir avec plus d’efficacité et de précision.

… répondre plus fort

Les analystes SOC, submergés par un volume croissant d’alertes, doivent en traiter toujours plus avec des équipes qui, elles, ne s’agrandissent pas. Pour les aider, de nouveaux assistants GenAI dédiés au SOC émergent sur le marché, optimisant l’ensemble de la chaîne de traitement des incidents. L’objectif : faire mieux avec autant, voire moins, en réorientant les analystes vers des tâches à plus forte valeur ajoutée et en limitant le syndrome bien connu de la « fatigue des alertes ».

En commençant par la priorisation, les équipes opérationnelles croulent sous les alertes, et doivent constamment décerner le vrai du faux, le prioritaire du moins prioritaire. Sur une liste de 20 alertes sous mes yeux, lesquelles représentent une attaque réellement en cours sur mon SI ? La force de l’IA est justement d’assurer un meilleur traitement des alertes en corrélant les événements en cours. En un instant, l’IA exclue les faux positifs et renvoi la liste d’incidents prioritaires à investiguer.

L’analyste peut alors se reposer sur ce retour pour lancer son investigation. Et là encore l’IA l’appui dans ses recherches. L’assistant GenAI est capable de générer des requêtes à partir de langage naturel permettant d’interroger facilement l’ensemble des équipements du réseau. A partir de ses connaissances, l’IA peut également suggérer les étapes à suivre pour l’investigation, qui dois-je interroger ? Que dois-je vérifier ?

Les résultats renvoyés ne seront pas comparables à l’analyse d’un ingénieur SOC expert. En revanche, ils permettront à des analystes plus débutants de commencer leur investigation avant de l’escalader en cas de difficultés.

Mais le travail ne s’arrête pas là : il faut pouvoir prendre les actions de remédiations nécessaires à la suite de la découverte d’une attaque. Encore une fois, l’assistant IA permet de rester focaliser sur le processus de prise de décisions, et de fournir rapidement à l’utilisateur un ensemble d’actions à réaliser pour contenir la menace : hôtes à isoler, IP à bloquer…

La puissance de ces cas d’usage réside également dans la capacité des assistants IA à fournir un retour structuré, qui facilite bien non seulement la compréhension des analystes, mais également l’archivage et l’explication des incidents à un tiers.

Ce ne sont bien évidemment pas les seuls cas d’usage existant à date, et de nombreux verront le jour dans les années à venir. La prochaine étape est toute tracée pour les équipes de réponse à incident : l’automatisation des actions de remédiation et de protection. Nous observons déjà cela pour nos clients les plus matures, et l’arrivée des agents IA² ne fera qu’accélérer cette tendance.

Les prochains cas d’usages sont clairs : donner à l’IA des droit actifs sur les ressources de l’entreprises pour permettre une réponse en temps réel pour bloquer la propagation d’une menace. L’IA, à la suite d’une investigation réalisée en autonomie, pourra prendre seule la décision d’adapter les règles d’un pare-feu, révoquer les accès d’un utilisateur à la volée, ou encore initier une nouvelle demande d’authentification forte. Evidemment une autonomie aussi avancée n’est pas pour aujourd’hui, mais le constat est là, nous nous dirigeons dans cette direction…

Enfin, l’intégration de ces cas d’usages soulève un autre défi de taille : le prix. Ajouter ces cas d’usage à un coût. Dans un contexte économique tendu, le budget des équipes sécurité n’est pas revue à la hausse, bien au contraire. La prochaine étape sera de trouver le compromis entre gain de sécurité et coût financier.  

Conclusion

Les équipes cybersécurité font face à une offre pléthorique en matière d’IA, rendant le choix complexe. Pour avancer efficacement, il est essentiel d’adopter une approche pragmatique et structurée. Nos recommendations:

• Se former à l’IA pour mieux évaluer la valeur ajoutée de certains produits, et éviter les solutions ‘gadgets’.
• Choisir les bons cas d’usage en fonction de leur valeur ajoutée (optimisation des ressources, économies d’échelle, amélioration de la couverture des risques) et de leur complexité (socle technologique, gestion des données, coûts RH et financiers).
• Définir la bonne stratégie de développement, en arbitrant entre une approche interne ou l’appui sur des solutions existantes du marché.
• Se concentrer sur l’impact plutôt que sur l’exhaustivité, en visant un déploiement efficace des cas d’usage
• Anticiper les enjeux de sécurisation de l’IA, notamment la robustesse des modèles, la gestion des biais et la résistance aux attaques adversariales.

Il y a 10 ans, la DARPA lançait un défi sur les voitures autonomes. Ce qui relevait alors de la science-fiction est aujourd’hui une réalité. En 2025, l’IA transforme à son tour la cybersécurité. Nous n’en sommes qu’au début : jusqu’où iront les agents IA dans 10 ans ?

–

1 : GenAI (Intelligence Artificielle Générative) : désigne une branche de l’IA capable de créer du contenu original (texte, image, code, etc.) en s’appuyant sur des modèles entraînés sur de vastes ensembles de données.
2 : Agent IA : désigne une intelligence artificielle capable d’agir de manière autonome pour accomplir des objectifs complexes, en planifiant, en prenant des décisions et en interagissant avec son environnement sans supervision humaine constante.

Cet article AI4Cyb : comment l’IA va améliorer les capacités cyber de votre entreprise ? est apparu en premier sur RiskInsight.

Encore trop peu d’entreprises ont structuré une démarche RH pour la filière cyber

En tant que consultant, je peux en témoigner : les demandes d’intervention se font très rares au sujet des politiques RH, parcours de formation, pratiques managériales…

 alors qu’évidemment le bon fonctionnement de la filière et le bien être des collaborateurs ont un impact certain sur le niveau de sécurité à moyen-terme. Les sportifs le savent très bien : l’état d’esprit dans le vestiaire a une influence majeure sur le résultat final !

Face à ce constat, quelques grands comptes ont passé un cap intéressant : ils ont intégré ces sujets de fonctionnement RH directement dans leur Framework de maturité (NIST, ISO…). C’est en effet une excellente idée permettant de traiter en quelques semaines des sujets essentiels via une organisation et des processus déjà établis (assurance, revue de preuves, programme cyber…). Autre avantage : le Framework est souvent un input essentiel à la construction de la stratégie, et cette dimension RH se retrouve ainsi par rebond directement intégrée au plan pluri-annuel de certaines entreprises. Des objectifs concrets et mesurables sont définis pour le turn-over, la motivation des employés ou encore l’équilibre vie-pro / vie-perso… et ces éléments sont présentés régulièrement au top management aux côtés du taux de patching, de la convergence zero-trust et des capacités de résilience !

Croyez-moi : lorsque le bien être physiologique des employés est intégré aux objectifs de la filière, et donc par la même occasion à ceux des RSSI… et bien tout fonctionne presque comme par magie  Mais encore faut-il adresser les bons sujets !

Les priorités : Valorisation de l’expertise, encouragement à la mobilité et alignement des salaires

Pentesters, analystes CERT, spécialistes DevSecOps… les filière sécurité sont composées d’une multitude d’experts, qui ne sont pas toujours reconnus, valorisés et animés avec pertinence. De trop nombreuses entreprises ont encore malheureusement une tendance naturelle à survaloriser le management au détriment de l’expertise. Il est donc indispensable de créer un écosystème favorable aux experts dans les filières SSI ! Le champs des possibles est vaste : mise en place de parcours de carrière spécifiques, accès encouragé à la certification, engagement des communautés d’expertise sur les décisions majeures, valorisation externe (conférences, médias)… n’attendons pas que les experts partent pour prendre conscience de leur valeur !

Le sujet des mobilités est également essentiel. Il existe en effet un sentiment d’étouffement au sein de la filière : la tension sur les ressources cybersécurité est tellement forte que de nombreux employés ont le sentiment d’être bloqués sur leur poste, sans la moindre possibilité d’évolution. Résultat : le moral baisse, les gens tournent en rond, se posent des questions, critiquent… un climat tout sauf sain. Pourtant, la solution est assez évidente : encourager, voire imposer les mobilités. Certains grands comptes ont par exemple mis en place récemment une gouvernance incitative permettant aux RSSI de proposer spontanément des mobilités et de s’échanger des ressources. 3 ans en tant que chef de projet, 2 ans dans le SOC, 3 ans de sensibilisation, 2 ans sur des sujets réglementations … le sujet de la cybersécurité est suffisamment vaste pour créer des carrières riches et passionnantes ! D’expérience, une filière en bonne santé est une filière avec un taux de mobilité d’au moins 10%.

Enfin, il faut parler des salaires ! Faites le test : prenez deux RSSI au sein d’une grande entreprise (ça marche aussi pour les Directeurs de Programme sécurité, les chefs de projet, les auditeurs…) et interrogez-les sur leur niveau de rémunération. Vous allez être surpris : les écarts sont majeurs d’une entité à l’autre, et la structure même du salaire peut différer. A titre d’exemple, j’ai rencontré récemment deux RSSI aux profils équivalents au sein d’une même entreprise : le premier était payé sur une base fixe uniquement, et le second possédait un bonus de 50% sur des objectifs personnels fixés par le DSI. Et évidemment… ils le savaient tous les deux ! Impossible de créer un esprit d’équipe et une solidarité dans de telles conditions. Alors évidemment ce chantier n’est pas simple, mais il mérite d’être instruit avec les RH, d’autant plus dans un contexte de fortes mobilités qui feront nécessairement apparaitre des situations compliquées.

Les collaborateurs ne comprennent plus leur organisation et en souffrent

Ces dernières années, la sécurité a pris une toute autre dimension : en France, on constate en moyenne 1 ETP sécurité pour 500 à 3 000 employés, avec une moyenne tournant aux alentours de 1 pour 1 000. Je vous laisse faire le calcul : cela représente rapidement plusieurs centaines, voire milliers d’employés ! L’époque de la petite équipe de 15 passionnés au sein des opérations de la DSI est révolue. Place aux 27 RSSI, 3 SOC, 2 CERT, 10 Directeurs de Programme et 4 centres d’expertise… qui passent leur temps à chercher leur périmètre et à se marcher dessus. Une simple décision peut prendre des semaines… et les employés n’en peuvent plus !

Il devient urgent de reconstruire un modèle opérationnel plus lisible. Plus question de laisser des employés seuls sur leur périmètre d’expertise, la tendance est à la mutualisation et à la suppression des redondances : 1. Regroupement des centres d’expertise (audit, Cloud…) 2. Création d’un unique centre de cyberdéfense (SOC, CERT…) 3. Structuration d’un unique Programme de Cybersécurité à portée Groupe 4. Mise en commun de la PMO dans une Reporting Factory.

Ce type de regroupement permettra de créer une émulation, d’embarquer et de donner du sens collectif. Sur les récentes réorganisations, on estime à environ 40% le nombre d’employés de la filière travaillant sur des activités à portée transverse.

Alignement des salaires, re/up-skilling, plans de formation/certification, processus de mobilité, réorganisation de la filière…les sujets à traiter sont nombreux pour booster le well-being et permettre aux employés de se construire une carrière pleine et enrichissante au sein de la filière. Mais attention : ce travail ne peut être porté uniquement par les fonctions RH. Il est essentiel que le RSSI et les managers d’équipe soient impliqués fortement pour établir les efforts dans la durée. D’autant plus que certains conseils cités ci-dessus s’appliquent également à eux… tellement de RSSI sont en place depuis plus de 10 ans sur le même poste ! 

Cet article Les filières sécurité au bord du burn-out – tentatives d’explication est apparu en premier sur RiskInsight.

Un axe fondamental ne changera pas, c’est celui de la menace, par lequel toute démarche de réflexion stratégique doit commencer. De notre point de vue, sans surprise, le Ransomware restera la menace majeure à laquelle feront face les entreprises. Depuis la fin de l’année 2019 et les nombreux faits d’arme de Maze, Sodinokibi ou plus récemment Egregor, ces attaques destructrices sont combinées à des exfiltrations massives de données, ajoutant une nouvelle dimension au chantage opéré par les criminels. Tout le monde est touché : collectivités, PME et grands groupes internationaux, que ce soit en France ou ailleurs.

De plus, comme nous l’évoquions dernièrement auprès du journal Le Monde, les opérations des cybercriminels se sont fortement professionnalisées et leur assurent un retour sur investissement élevé. Ces financements leur permettront demain d’augmenter la profondeur et la technicité de leurs attaques et ils n’hésiteront plus demain à cibler les activités cœur des métiers des entreprises (réseau industriel, systèmes de paiements…). En 2021, le bras de fer pour le paiement des rançons devrait encore s’accentuer avec un réel penchant des groupes criminels à rendre leurs attaques largement visibles. Des prémices ont été observées cette année avec l’aide d’astucieux procédés : annonce d’une attaque via des publicités sur Facebook, négociation directe avec les patients de la cible, jusqu’à l’impression de la demande de rançon via les caisses enregistreuses en magasin… Il s’agira d’anticiper au maximum ces situations, que ce soit en les jouant durant des exercices de crise ou en préparant des réponses adaptées et réfléchies en amont.  

Outre l’hydre du rançongiciel, nos équipes sur le terrain envisagent pour 2021 une croissance forte de deux autres menaces. D’une part, les attaques indirectes, utilisant les services de tiers : les cybercriminels n’hésitent pas à contourner les mécanismes de sécurité des grands donneurs d’ordre en compromettant des partenaires moins protégés, ou en visant des fournisseurs de services informatiques. D’autre part, les attaques visant les systèmes Cloud devraient s’accélérer avec de nouvelles natures de compromission. L’exploitation des vulnérabilités liées à la gestion des identités et des accès (IAM), en particulier sur les API des fournisseurs, pour compromettre des périmètres chaque jour plus critiques pour les entreprises sera au cœur des incidents de 2021. Ce sujet représente aujourd’hui un réel challenge pour les équipes IT, encore trop peu familières  aux spécificités très fortement évolutives de ces plateformes.

Face à ces différentes menaces, le RSSI devra faire preuve d’agilité et de solidité, notamment dans sa maîtrise des fondamentaux sécurité (en particulier sur l’Active Directory, application des correctifs et l’authentification multi facteurs) et dans la démonstration concrète de ses capacités de cyber-résilience (avec des engagements de plus en plus exigés sur des délais de reconstruction et sur la capacité de résilience métiers sans IT). 

En parallèle, certains sujets seront au cœur des évolutions de la DSI et le RSSI pourra les transformer en opportunité pour la cybersécurité de son organisation. Nous pensons en particulier aux projets “Digital Workplace” mais aux travaux d’optimisation des moyens à disposition, qui seront forcément lancé dans ce contexte de réduction budgétaire. Les investissements des années précédentes en cybersécurité recèlent souvent de nouvelles fonctionnalités peu connues ou utilisés, en particulier dans le cloud, et en faire l’inventaire peut être un moyen de faire progresser la cybersécurité à coût réduit.  

Sur l’angle réglementaire, 2021 verra de nouveau s’accentuer les sujets liés aux frontières numériques (“Cyber borders”), voire au protectionnisme cyber. Il va ainsi nécessiter de prendre en compte de fortes exigences d’isolation et de protection des données mais aussi l’interconnexion à des systèmes nouveaux, voir inconnus (Alibaba en Chine, Yandex en Russie…) des réseaux des organisations.

Parmi les évolutions futures à garder à l’esprit, nous identifions trois tendances : le Zero-trust, le Confidential Computing, et l’Informatique Quantique dont vous trouverez les détails ci-dessous et sur lesquelles des actions de veille devraient a minima être prévues. 

La menace se complexifie, les moyens se restreignent… Le RSSI devra montrer son agilité en 2021 et composer avec de nombreux sujets tout en maintenant un cap stratégique clair : protéger son organisation contre les cybercriminels et accompagner, voire développer de nouveaux usages numériques ! 

La transformation numérique à marche forcée

Quels sujets émergeants anticiper en 2021 et au-delà ?

Une nouvelle approche entièrement dans le Cloud avec le Zero Trust

Promu par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust a le vent en poupe ces dernières années. Pour rappel, ce système est à l’opposé de l’approche château-fort traditionnelle, qui visait à défendre le périmètre à l’aide de grands remparts (i.e. des pare-feu), mais est peu à peu devenue impuissante face aux nouvelles menaces.

En effet, la transformation numérique a eu des impacts en profondeur sur l’architecture des systèmes et les interconnexions avec des tiers. Dès lors, il n’est plus suffisant de se protéger uniquement de l’extérieur, la menace pouvant plus facilement utiliser l’écosystème de sa cible pour s’introduire dans ses systèmes et la compromettre. Gestion des accès, des identités, des comptes à privilèges sont des sujets particulièrement centraux dans le Zero Trust et qui répondent à de nombreuses problématiques d’aujourd’hui. En 2021, les entreprises continueront leur mouvement vers le cloud. C’est donc une vraie opportunité pour orienter progressivement les architectures et les systèmes sur le principe du Zero-Trust, ou, pour les retardataires, de commencer à défricher le sujet.

Une révolution dans la protection des données avec le confidential computing

Un des défis majeurs du Cloud reste la confiance avec ses différents partenaires, notamment pour les données les plus sensibles des organisations ou institutions. Pour répondre à cette problématique, des concepts comme le Confidential Computing et le data privacy by-design ont peu à peu émergé ces dernières années, ainsi que des solutions plus concrètes.

Parmi ces solutions, le chiffrement homomorphe permet à des algorithmes de chiffrer des données tout en laissant la possibilité d’effectuer des traitements sur celles-ci, réduisant donc fortement les risques de divulgation et fuite de données. IBM a un coup d’avance sur ce sujet et a partagé dès l’été 2020 une bibliothèque open source, HElib. Les jeunes pousses françaises Cosmian et Zama sont également actives sur cette thématique.

Enfin, une réponse originale à ces enjeux peut également être apportée par les données synthétiques. A l’aide d’algorithmes renforcés par de l’intelligence artificielle, les générateurs de données synthétiques comme celui proposé par la startup britannique Hazy permettent de créer des jeux de données gardant les caractéristiques et la logique de données réelles mais n’en étant pourtant aucunement. Un autre moyen pour éviter tout risque de fuite de données sur le Cloud !

La menace fantôme de l’ordinateur quantique

8 heures : c’est le temps qu’il faudra à un ordinateur quantique suffisamment puissant et fiable pour mettre à mal la sécurité de nos communications. Une course technologique internationale a déjà démarré et les entreprises et institutions doivent se préparer dès aujourd’hui, car les investissements seront lourds pour permettre les migrations techniques nécessaires. Quelles données doivent être protégées en priorité ? Quelles clauses inclure dans mes contrats dès aujourd’hui ? Quels acteurs peuvent accompagner dans ces migrations ?

De nombreuses questions se posent et doivent être répondues dès que possible. Une chose est certaine : le RSSI aura un rôle majeur dans cette révolution, s’il est un des premiers à sonner l’alarme et à anticiper les nombreux travaux qui seront nécessaires.

En France, des acteurs ont déjà pris en main comme la spin-off d’INRIA et Sorbonne CryptoNext-Security, déjà lauréate de plusieurs concours d’innovation et proposant une solution de cryptographie Quantum-safe, déjà testée par l’armée française pour une application de messagerie instantanée sur mobile.

Cet article RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ? est apparu en premier sur RiskInsight.

Cet article Organiser ou réorganiser la filière sécurité d’une grande entreprise – retours d’expérience est apparu en premier sur RiskInsight.

Mais depuis quelques temps, certains comités exécutifs ne sont plus aussi généreux et exigent davantage d’efforts de la part de la filière SSI. On le sait : prouver l’efficacité des moyens engagés n’est pas aisé, et certains RSSI se retrouvent à batailler pour ne serait-ce que maintenir leur budget annuel. La situation post-COVID risque de ne rien arranger, et mon petit doigt me dit qu’il n’y a aucune raison pour que la cyber échappe aux impératifs d’économies à venir.

Sur le terrain, les trois leviers suivants peuvent présenter des opportunités pour optimiser les coûts d’une filière SSI : 1. La revue de l’Operating Model, 2. la massification des contrats, 3. l’automatisation et le recours à l’offshore.

1/ La revue de l’Operating Model

Pour optimiser un Operating Model SSI, il faut rapidement se poser la question des redondances. Le constat est souvent le même d’une entreprise à l’autre : la filière SSI a grandi très rapidement, et différentes équipes ont des missions très proches voire redondantes. Beaucoup de prestataires peuvent en témoigner : il est assez classique d’être sollicité plusieurs fois pour la même étude au sein d’un Grand Compte, dans plusieurs entités différentes. Même si quelques entreprises envisagent de traiter ce sujet par une centralisation complète de l’équipe sécurité (quelques exemples récents dans l’industrie), la clé est plutôt de regrouper a minima l’expertise cyber en central et de structurer des offres de service consommables par tous : pentests, SOC, redteam, rédaction de politiques, awareness…

Attention, cela peut représenter un changement de posture fort pour de nombreuses équipes RSSI, qui passent ainsi d’un rôle de prescripteur à un rôle d’offreur de service avec toutes ses facettes (SLA, mesure de la qualité, voire pénalités). Mais c’est une excellente manière de supprimer les redondances, optimiser les coûts et clarifier au passage les responsabilités !

2/ La massification des contrats

Les contrats d’achat représentent souvent plus de la moitié des dépenses de la filière SSI et peuvent évidemment présenter d’excellentes pistes d’optimisation. De nombreuses entreprises ont multiplié le déploiement tactique de solutions de sécurité et il n’est pas rare de se retrouver en production avec 4 types d’IPS, 3 EDR et 3 SIEM… Une solution simple pour reprendre le contrôle et optimiser les coûts est de revenir au bon vieux catalogue de solutions avec prix négociés en central : maximum 2 produits référencés par techno et obligation pour toutes les entités de taper dans le catalogue ! Les résultats peuvent être spectaculaires en jouant sur les effets de volume.

Même approche pour les prestations : il s’agit d’éviter l’éparpillement des contrats et de faire jouer la concurrence. Sur le terrain, on constate typiquement une tendance à la massification des contrats ne nécessitant pas d’expertise cyber pointue : gestion de projets, PMO, conduite du changement… D’expérience il est assez simple d’aller chercher 10%-15% sur les taux journaliers, le panel des sociétés étant beaucoup plus important pour ce type de tâche ! Mais attention à ne pas perdre en valeur : il ne s’agit pas de baisser la garde sur l’expertise ou la stratégie cyber.

3/ L’automatisation et le recours à l’offshore

L’automatisation peut également être une piste d’optimisation à explorer à moyen terme. D’autant plus que le mouvement est déjà en marche : solutions SOAR pour le traitement des incidents, apprentissage automatique pour la détection d’anomalies, déploiement de mesures dans le Cloud… de nombreuses activités de la cybersécurité cherchent actuellement à gagner en rapidité en tirant partie de l’automatisation des tâches répétitives. Les résultats ne sont évidemment pas immédiats, mais la conjoncture actuelle risque clairement de booster les projets de ce type !

Une stratégie d’offshore peut en revanche présenter des résultats beaucoup plus immédiats, mais attention aux projets menés dans la précipitation. L’offshore d’activités sécurité est tout sauf tactique et nécessite un gros travail de cadrage pour comprendre les spécificités de chaque pays, établir une proximité avec le management local, et surtout intégrer sans couture l’offshore dans l’operating model SSI… Les opérations d’offshore réussies embarquent jusqu’à 20% des effectifs de la filière en offshore. La clé pour atteindre de tels volumes est de privilégier la fourniture de services standardisés en offshore (opérations, scans de vulnérabilités, traduction…), et de limiter les équipes étendues qui peuvent s’avérer séduisantes sur le papier mais souvent contre-productives car complexes à piloter.

Cet article La cyber n’échappera pas à la réduction des coûts est apparu en premier sur RiskInsight.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

2018 a évidemment vu s’élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (LPM, NIS) ou sectorielles (NYS DFS, HKMA, MAS…) ont également rythmé l’année.

Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :

• Le maintien des ransomware en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;
• La multiplication des incidents de plus faible intensité que les ransomware massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;
• Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques MageCart touchant le cœur du fonctionnement des sites Internet.

Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.

Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2…), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes :  l’agilité, le cloud et l’API-fication des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.

Les 3 axes de la révolution du SI en 2019

Agilité : plus réactif, plus rapide, plus simple

Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité.  Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.

Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les Feature Teams pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des Product Owners portant des services de sécurité apparaîtront pour délivrer de la cybersécurité as a service au sein de l’organisation.

Cloud : sécurisé par défaut, multiple, automatisé

Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le Cloud-first, voire pour nos clients les plus avancés le Cloud-Only. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’Active Directory.

Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.

Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.

Le cloud, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, MFA, Identity Governance, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le cloud. Le multicloud basé sur 2 fournisseurs deviendra une priorité pour permettre la continuité des services.

API-fication : de multiples nouvelles portes d’entrée pour le SI

Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation DSP2, l’API-fication touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.

Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si l’API-fication pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme Google ou Facebook parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.

Si le RSSI veut reprendre en main le terrain de jeu de l’API-fication, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.

Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences

Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :

• Refondre la PSSI et la gouvernance. Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le cybersecurity framework du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;
• Revoir en profondeur les processus d’intégration de la sécurité dans les projets. Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS Risk Manager» par une approche combinant conformité et scénarios d’attaque ;
• Anticiper et s’adapter à une pénurie de talent récurrente. Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le cloud, l’instauration d’un cadre fort instaurant les principes de security by design permettront des limiter les efforts. De même, la création d’offres de services sécurité, le near voire offshoring pour des services standardisés peuvent être des solutions.

Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’empowerment (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.

Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI

• La cyber-résilience bâtie sur le cloud : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;
• Le SOC est mort, vivent les Fusion Centers regroupant des savoir-faire techniques et métiers, permettant d’appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de machine learning, le SOC pourra détecter les attaques plus finement et plus rapidement ;
• Le début de la fin pour les mots de passe : des initiatives comme le 0-password, le déploiement de FIDO2, la biométrie dans le cadre du 2FA ou encore la généralisation des coffres-forts permettent de l’envisager ;
• L’IA et le machine learning représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement…) dans les projets métier incluant de l’IA ;
• Les tiers et les fournisseurs sous microscope : de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme CyberVadis ou Risk Ledger abordent ce problème sous un angle neuf.

Faire de la sécurité un différenciateur vis-à-vis des clients de l’entreprise

Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.

En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le core-business.

Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :

• L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;
• Les opérateurs télécom, dont certains promeuvent leur nouvelle box avec des services de cybersécurité comme la détection de vulnérabilités ;
• Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.

Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.

Alors pourquoi pas vous ?

Cet article 2019 : Le RSSI au cœur de la révolution du SI est apparu en premier sur RiskInsight.

Les cyberattaques mettent en lumière les limites de la résilience actuelle et des plans de continuité d’activité

La continuité d’activité est souvent présentée comme un des éléments majeurs de la stratégie de résilience des organisations. Ainsi, face à des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs, les organisations se sont dotées de plans de continuité d’activité (PCA) de manière à assurer leur survie.

Or les cyber-attaques, dans leur forme moderne, n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers focalisés sur un enjeu de disponibilité, n’appréhendent pas la problématique de perte de confiance dans le SI induite par les cyber-attaques.

De plus, les dispositifs de continuité du SI, le plus souvent intiment liés aux ressources qu’ils protègent, sont également affectés par ces attaques. En effet, depuis plus d’une décennie, les dispositifs de continuité (repli utilisateurs ou secours informatique) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide des métiers et au besoin d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyber-attaques. A titre d’exemple, les postes de secours dédiés et connectés des sites de repli sont aujourd’hui très souvent exposés aux mêmes risques de contamination (et destruction) que les postes nominaux.

Les historiques plans de reprise/secours « à froid » (consistant souvent à activer les systèmes de secours en cas d’incident) concernent désormais de moins en moins d’applications, et il s’agit souvent d’applications secondaires.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI. Malheureusement, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments de compromission : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants.

La gestion de crise et les dispositifs de continuité doivent être repensés

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes (autorités, fournisseurs…) eux-mêmes souvent peu préparés sur ce sujet. Ces éléments démontrent qu’il est nécessaire d’ajuster les dispositifs existants. Un des thèmes vise à anticiper des astreintes et des rotations des personnels clés. Au-delà de l’aspect interne, il faudra s’assurer de disposer également des expertises en SSI (investigation numérique, méthode d’attaque…) et de l’outillage de recherche et d’assainissement requis pour comprendre la position prise par l’attaquant dans un SI toujours plus grand et dont les frontières sont de plus en plus difficiles à déterminer. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise et anticiper certaines réponses, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Dans ce contexte, les dispositifs de continuité doivent également évoluer, voire être complètement repensés. Les solutions possibles sont nombreuses, nous pouvons citer en particulier la construction de chaînes applicatives alternatives (non similar facilities), visant à « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. Il s’agit là d’une solution ultime, envisagée pour certaines applications critiques dans le monde de la finance. D’autres solutions, moins complexes, comme l’ajout de contrôle fonctionnel d’intégrité dans le processus métier pour détecter rapidement une attaque (multi-levels controls) ou encore la définition de zone d’isolation système et réseau (floodgate) sont possibles.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilence n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Responsable du Plan de Continuité d’Activité (RPCA) sera alors un plus ! Il est aujourd’hui impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RPCA prendra tout son rôle.

Protéger, détecter, réagir, assainir et reconstruire, voilà donc les piliers d’une cyber-résilience solide. Cyber-résilience qui ne pourra être atteinte que si le RPCA et le RSSI travaillent main dans la main !

Cet article Cyber-résilience : allier les forces du RPCA et du RSSI pour franchir une nouvelle étape est apparu en premier sur RiskInsight.

Cette multiplication d’évènements montre que toutes les organisations peuvent être concernées. Et lorsqu’un incident survient, c’est tout l’écosystème de l’entreprise qui doit être mobilisé pour gérer la crise : clients et collaborateurs, mais aussi fournisseurs, partenaires, presse…

Force est de constater que peu de structure ont déjà mise en place un plan de communication de crise face à un incident lié à la cybercriminalité. Aujourd’hui, le RSSI doit se positionner comme le chef d’orchestre de cette démarche. Quelles sont les cibles prioritaires à inclure ? Quel type de message préparer ? Voici des éléments de réponses issues de nos retours d’expérience.

La direction générale : expliquer, analyser et mobiliser

Les RSSI parlent à leur direction depuis des années ; c’est même une de leurs cibles de prédilection. Mais les messages doivent aujourd’hui changer. Jusqu’alors en effet, le RSSI, essayait d’attirer l’attention sur son sujet, afin d’obtenir des ressources par exemple.

Aujourd’hui, il doit démystifier ce qu’il se passe, donner des clés de lecture sur un sujet qui touche maintenant le grand public. A titre d’illustration, les Echos ont publié depuis juin 2013 156 articles consacrés à Edward Snowden.  Cette abondance d’information peut générer des incompréhensions ou des doutes : en quoi mon entreprise est-elle concernée ? Peut-on se protéger ? Un incident de type Target ou Vodafone est-il envisageable chez nous ? Que fait-on en matière de protection ?  Cette communication devra être claire, synthétique… et transparente. Sans sombrer dans le fatalisme ou au contraire l’excès de confiance, elle mettra  en lumière la réalité des menaces pour l’entreprise et les vulnérabilités qui demandent à être traitées dès aujourd’hui.

Ressources humaines et communication interne : des alliés pour sensibiliser les collaborateurs

Les collaborateurs sont une cible essentielle pour le RSSI. Même si les actions de sensibilisations ne sont pas à 100% efficaces, elles sont nécessaires pour minimiser les risques. Comme dans le cas de la direction générale, le RSSI dispose avec l’actualité récente d’une opportunité de communication sans précédent.

Des messages simples et clairs pourront être adressés à l’ensemble des utilisateurs pour leur rappeler leur devoir vis-à-vis du système d’information. Les ressources humaines et la communication interne apporteront  à ces campagnes leur maîtrise des canaux et des codes internes de communication, propre à chaque entreprise. Pour renforcer l’impact des messages,  n’hésitez pas à faire un parallèle avec les situations de la vie privée que les utilisateurs rencontrent (banque en ligne, réseaux sociaux…), les messages seront mieux assimilés.

Les fonctions SI / métiers critiques : maintenir la vigilance des fonctions les plus ciblées

Les incidents récents montrent clairement qu’aujourd’hui les cybercriminels savent mener des attaques ciblées sur les fonctions sensibles de l’entreprise. Même s’ils sont connus, ces scénarios restent encore très efficaces. Une communication spécifique pour maintenir l’attention de ces populations en éveil est nécessaire. L’utilisation d’exemples concrets sera particulièrement efficace et il en existe de nombreux, des photos de Carla Bruni pour piéger des diplomates  à l’appel téléphonique pour pousser un utilisateur à réaliser des virements frauduleux.

Ces trois premières catégories ne sont pas nouvelles : les RSSI ont l’habitude de travailler avec elles. Leurs messages doivent néanmoins s’adapter.

Surtout, nous assistons à l’émergence de deux nouvelles cibles de communication, à qui les évènements récents ont conféré une forte importance.

La direction de la communication : préparer la crise pour en réduire l’impact auprès du public

La probabilité qu’un incident se produise dans les grandes organisations augmente singulièrement ces derniers temps, avec des cas dans tous les secteurs d’activités et de plus en plus d’occurrence en Europe et en France. Surtout, la conscience que de tels incidents peuvent se produire augmente, rendent les directions de la communication plus réceptives au discours des RSSI.

Une communication rapide, structurée clairement,  est nécessaire  dans des situations de crise. Bien souvent néanmoins, les crises liés à la cybercriminalité ne sont ni connues ni envisagées par les équipes de communication. C’est le bon moment pour le RSSI d’échanger avec ces entités (communication institutionnelle mais aussi de crise) et de les sensibiliser à ce qui pourrait se passer en cas d’attaques.

Quelques réunions de travail, permettront de réfléchir ensemble aux différents temps médiatiques et de définir les postures de base à adopter en cas de phishing (email frauduleux aux clients), de sites web modifié (défacement) ou encore en cas d’interruption de service (Dénis de service DDoS).

Direction de la relation clients : savoir activer les canaux en cas de crise

2014 va rendre cet interlocuteur incontournable pour le RSSI… cette année sera en effet celle du vote du règlement européen sur la protection des données à caractère personnel. Le texte devrait imposer la notification des incidents de sécurité aux clients concernés par un vol de données à partir de 2016.

Il s’agira d’une obligation majeure qui entraînera un changement de posture dans la relation client. Ce changement doit être anticipé dès maintenant. Les retours d’expérience  montrent qu’au-delà du coût important lié à ces notifications (entre 10 et 200 € par client suivant la gravité des fuites de données et les pays concernés), les effets sont réels sur les canaux de communication classique (agences, call-center, site web, réseaux sociaux…) qui peuvent se retrouver dépassés par l’afflux de demandes liés à l’incident. Il faudra donc anticiper ces communications, qu’elles soient requises par la loi ou rendues nécessaires en réponse à la publication par les attaquants des données. Comme avec les directions de la communication, des premières réunions de sensibilisation et de découverte du sujet pourront être organisées. La réalisation de fiches réflexes de communication ou encore d’exercices de crise est un bon moyen d’avancer ensuite.

L’aspect « communication » de la fonction du RSSI ne doit donc pas être négligé. Celle-ci connaît  aujourd’hui une évolution forte, passant d’un rôle de sensibilisation aux bonnes pratiques à une démystification de l’actualité jusqu’à un vrai rôle de communiquant opérationnel lors de gestion des crises.

Cet article RSSI, communiquez avec ceux qui communiquent ! est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

En effet, le processus de souscription constitue le pilier fondateur d’un transfert de risques réussi. Il est donc primordial pour toute entreprise désirant franchir le pas de la cyber-assurance de connaître toutes les caractéristiques d’une telle opération.

Quels sont les acteurs majeurs de ce processus ?

Les acteurs du processus de souscription sont peu nombreux et bien définis. Participent aux négociations :

• Le client : il s’agit d’une organisation ou d’une entreprise souhaitant disposer d’une prestation (généralement financière) en cas de survenance d’un incident. C’est lui qui exprime le besoin, que ce soit par ses Risk Manager, ses RSSI, sa Direction Générale ou encore ses acteurs métiers.
• Le courtier : il est l’intermédiaire entre le souscripteur et l’assureur, et joue de ce fait un rôle central tout au long du processus. Il base son travail sur une excellente connaissance du marché et du besoin remonté par son client.
• L’assureur : il crée les polices d’assurances, en définissant leurs périmètres de couverture, leurs plafonds de garanties ainsi que leurs primes ou franchises. Ces paramètres sont toutefois largement négociés et fortement corrélés avec la maturité du client.

Comment se déroule le processus de souscription à une cyber-assurance?

En premier lieu, le client doit faire le point sur son besoin et confronter les risques résiduels identifiés comme nécessaires à couvrir avec ceux déjà couverts par une assurance. Pour ce faire, une analyse de risques récurrente et un bilan assurantiel (évaluation de la couverture actuelle et des manques) impliquant toutes les parties de l’entreprise sont nécessaires.

Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes du client. Dans le contexte de grandes entreprises, il sera jugé sur son expertise sur le sujet cyber, sa capacité à offrir une couverture multi-assureurs et des modalités de son accompagnement au cours des différentes étapes, du choix à la vie du contrat.

Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité de ce dernier. Le courtier identifie ensuite, grâce à sa connaissance poussée du marché, les assureurs les plus à même de répondre au besoin.

Le client et le courtier présentent ensuite à l’assureur leurs exigences en termes de périmètre de couverture et de plafond de garantie. Dans le cas de montants très élevés, le courtier peut mettre en place des montages d’assurances qui permettent d’atteindre des plafonds plus élevés que ceux proposés dans les offres standards. En réponse, l’assureur évalue la maturité du client, par l’intermédiaire de questionnaires ou par une analyse de risques. L’assureur propose alors un montant de prime d’assurance en fonction de la maturité observée chez le client. Ce montant, qui varie généralement entre 1 et 5% du plafond de la garantie, est ensuite négocié entre les différents partis.

Le périmètre de couverture, le plafond de garantie et le montant de la prime constituent la police d’assurance.

Comment faire vivre le contrat ?

Le contrat reposant essentiellement sur le code des assurances français, le client est tenu à certaines obligations vis-à-vis de l’assureur, notamment sur le devoir d’information en cas de modification significative des risques sur son système d’information. Cette obligation se concrétise généralement par des réunions annuelles entre l’assureur, l’assuré et le courtier dans le but d’établir un bilan de l’évolution de la maturité du client et d’adapter le contrat en conséquence.

La souplesse dans l’évolution du contrat a deux principaux intérêts. Pour le client, il est de faire baisser le montant des primes en améliorant sa sécurité. Pour l’assureur, il est d’adapter le montant des primes en fonction de l’évolution du risque. Cette démarche encourage et valorise donc les travaux effectués en faveur de la sécurité du SI.

Comment déclencher les garanties ?

Les délais de notification en cas d’attaque constituent l’élément central du déclenchement. Le code des assurances rappelle : «L’assuré est obligé de donner avis à l’assureur, dès qu’il en a eu connaissance et au plus tard dans le délai fixé par le contrat, de tout sinistre de nature à entraîner la garantie de l’assureur. Ce délai ne peut être inférieur à cinq jours ouvrés » (Article L113-2). En cas de faute vis-à-vis de cette règle, le client peut se voir refuser ses garanties. L’enjeu est donc d’alerter au plus tôt l’assureur, même s’il n’y a que suspicion d’intrusion, mais aussi de cadrer les preuves à recueillir pour l’indemnisation – et ce dès l’établissement du contrat. Le déclenchement des garanties et le déblocage des fonds ne peuvent se faire que si  l’assureur a été notifié dans les délais, et l’évaluation du sinistre réalisée.

En fonction des assureurs, la mise à disposition d’experts peut relever d’une option ou ne pas être proposée. Le souscripteur doit par ailleurs veiller à bien préciser les modalités d’intervention de ces experts (obligation d’utiliser les prestataires de l’assureur, …).

Le processus de souscription est donc bien identifié et cadré. La connaissance la plus fine possible du marché ainsi que de ses propres risques sont des atouts indispensables pour bien choisir sa cyber-assurance. Cette dernière gagne considérablement en souplesse de négociation (périmètre, plafond, prime) de par la nouveauté de son marché, de son évolution rapide et de la concurrence naissante.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Souscrire une cyber-assurance : mode d’emploi est apparu en premier sur RiskInsight.

• Quels sont mes risques et parmi eux quels sont mes risques les plus critiques ?
• Sont-ils maîtrisés et dans le cas contraire quelle(s) décision(s) prendre ?

Au sein de l’entreprise, les acteurs à même d’apporter des réponses à ces questions sont nombreux (Risk Manager, Responsable des Risques Opérationnels, auditeurs…). S’agissant des risques de sécurité, au cœur de notre sujet, retenons, entre autres, la Direction des risques, le contrôle interne, l’audit interne et bien sûr le RSSI et ses équipes.

Si leur implication dans la gestion des risques SSI est évidente, les liens qui les unissent le sont moins. Apporter des réponses pertinentes aux deux questions ci-dessus passe donc nécessairement par la clarification des relations qui les lient – ou qui devraient les lier.

Quelles relations mettre en œuvre entre les différents acteurs de la gestion des risques SSI ?

À défaut d’organisation commune à toutes les entreprises, nous pouvons schématiser ainsi les principaux rôles de chacun de ces acteurs, ainsi que leurs interactions.

Pour gérer les risques de manière efficace et efficiente, il est nécessaire que les acteurs concernés partagent leurs informations.

Cette exigence de partage de l’information n’est pas toujours effective

Les différentes contributions à la gestion des risques SSI sont malheureusement peu souvent coordonnées voire parfois ignorées. Trois situations, trois questions reviennent en permanence, illustrant ce manque de communication :

• Quels contrôles relatifs à la sécurité des SI sont réalisés par le contrôle interne ? La fonction contrôle interne dispose-t-elle de l’expertise pour mener des contrôles de sécurité ?
• La politique de sécurité fait-elle partie du référentiel de contrôle ? Les contrôles réalisés permettent-ils d’en mesurer la mise en œuvre ?
• Les démarches, méthodes, référentiels, échelles…utilisés pour  gérer les risques sont-ils partagés

Mettre en œuvre des actions concrètes de rapprochement

Quelles solutions permettront un rapprochement ? À cette question il n’y a évidemment pas de réponse toute faite, pas d’organisation unique adaptable partout. Il existe néanmoins quelques bonnes pratiques qui vont faciliter l’atteinte de cet objectif.

1.    Évaluer les risques à couvrir ainsi que les contrôles à réaliser en s’appuyant sur  la même échelle de classification

Facteur de rapprochement essentiel, une échelle commune permet notamment de prioriser les contrôles à réaliser en se focalisant sur ceux liés aux situations les plus à risques.

Sans ce partage, il est très difficile d’obtenir une vision consolidée des risques. Une fois cette échelle commune établie, il est alors possible de mettre en œuvre les points suivants.

 2.    Travailler sur un catalogue de risque partagé

Tous les acteurs doivent pouvoir s’appuyer sur un catalogue commun de risques. Le contrôle interne pourra y ajouter les résultats des contrôles réalisés afin de mettre à jour le niveau de maîtrise des risques correspondants. Le RSSI pourra y contribuer en renseignant les risques dont il est le porteur et en intégrant notamment les vulnérabilités pesant sur les actifs SI.

 3.    Gérer conjointement la relation avec l’ensemble des acteurs métier et SI

Les Directions métiers comme les experts du SI sont aujourd’hui sur-sollicités par l’ensemble des acteurs de la gestion des risques. Aboutir à une gestion des risques plus efficiente passe donc nécessairement par l’harmonisation des différentes démarches. Harmoniser, ce n’est pas fusionner (chacun garde ses spécificités) mais se doter d’un discours, d’un calendrier, d’un outillage le plus homogène possible afin de présenter aux acteurs métier une démarche cohérente et optimisée.

 4.    Clarifier les périmètres de chacun et acter la délégation de responsabilité les cas échéant

Le domaine de la sécurité des SI est un bon exemple de périmètre au sein duquel la clarification des responsabilités de chacun est souvent nécessaire. Prenons l’exemple des contrôles de niveau 2 touchant la SSI. Ceux-ci peuvent être gérés par la fonction contrôle interne si elle dispose de l’expertise ad-hoc mais ils sont régulièrement suivis par le RSSI. Dès lors l’enjeu est de bien définir les actions de contrôle portées par le RSSI en délégation du contrôle interne pour la spécificité du domaine SSI.

 Améliorer l’efficacité de sa gestion des risques est d’abord un enjeu de Gouvernance

Nous l’avons vu, au-delà des questions de méthodologie et d’outillage, faciliter et améliorer sa gestion des risques passe essentiellement par une plus grande communication entre les différents acteurs. Cet objectif ne vise pas à gommer leurs spécificités mais à faire en sorte que les résultats des travaux des uns puissent servir à mieux cibler et prioriser les travaux des autres.

La Direction des risques a dans ce schéma un rôle essentiel dans la mesure où elle est la mieux placée pour orchestrer les actions des uns et des autres. Son positionnement global (vision de l’ensemble des risques de l’entreprise) doit lui permettre d’être le facilitateur

Cet article Les relations risquées entre les acteurs de la gestion de risques est apparu en premier sur RiskInsight.

Découvrez en vidéo notre vision de ces enjeux auxquels sont confrontés les RSSI.

Retrouvez toutes nos vidéos sur YouTube, sur la chaîne Solucom.

Cet article Quels sont les enjeux des RSSI ? est apparu en premier sur RiskInsight.

La direction générale doit être informée de cette évaluation de l’exposition. En parallèle, il s’agit également d’identifier les données les plus sensibles de l’entreprise. Sans viser une classification exhaustive de l’ensemble des informations, il est important de bien identifier les données les plus sensibles et/ou les plus exposées, mais aussi qui elles peuvent intéresser, que ce soit des personnes malveillantes internes ou externes pour les protéger de la manière la plus efficace possible. Ces éléments permettent à l’organisation d’évaluer le risque d’être visée par une attaque opportuniste ou ciblée. Ils permettent de mieux organiser les plans d’actions de protection.

Lutter contre les attaques opportunistes : retour aux fondamentaux

Les attaques opportunistes sont souvent simples. Elles utilisent des vulnérabilités évidentes dans le SI et visent les systèmes exposés publiquement. Il est facile de s’en protéger en investissant les moyens nécessaires pour mettre en place, concrètement, les bonnes pratiques de sécurité. Trois thèmes ressortent particulièrement :

• La sécurité applicative : les vulnérabilités web sont le vecteur principal d’attaque (injection SQL, mots de passe simples et stockés en clair, etc.). Il est crucial de rapidement renforcer la sécurité applicative en agissant en amont sur les développeurs et les métiers, et en aval sur les audits avant mise en production.

• Le maintien à jour de l’infrastructure : même si des efforts ont été réalisés, la gestion des correctifs, le durcissement des systèmes (y compris des comptes administrateurs) et l’utilisation de zone d’isolation (DMZ) ne sont encore parfois mis en oeuvre que partiellement.

• La mise en place de contrôles réguliers : que ce soit par l’intermédiaire d’audits, de tests d’intrusion ou par la mise en place de systèmes de détection d’intrusion ou de gestion des traces, des contrôles réguliers sont essentiels pour garantir le niveau de sécurité dans le temps.

Ces mesures matures et largement maîtrisées permettent aujourd’hui de lutter efficacement contre les attaques opportunistes. Aujourd’hui, elles sont efficaces car le système d’information repose sur un modèle de protection périmétrique, distinguant le réseau interne des réseaux externes, plus exposés. Dans le futur, ce modèle disparaîtra irrémédiablement et les applications internes seront de plus en plus exposées.

Nous détaillons dans le focus « 2015 : une révolution pour la sécurité ? », comment adapter sa stratégie pour répondre à ces évolutions et mettre en place une sécurité centrée sur les données en profondeur dans le SI.

Lutter contre les attaques opportunistes est possible en utilisant les moyens de sécurisation existant, mais comment réagir face aux attaques ciblées ? (Tribune n°3)

Cet article Comment réagir aux attaques ? Évaluer son exposition et adopter une stratégie de protection des données en fonction de leur sensibilité est apparu en premier sur RiskInsight.