Ces dernières années, les régulateurs ont régulièrement incité les assureurs à adopter des stratégies holistiques allant bien au-delà des approches traditionnelles de relance après un sinistre — en intégrant la résilience au cœur des opérations commerciales et tout au long du cycle de vie du développement des logiciels.

Ce document vise à offrir une perspective globale sur la résilience, en réunissant la continuité opérationnelle, la cybersécurité et la gestion des risques liés aux tiers. Il peut servir de guide stratégique pour les dirigeants (CxO), en expliquant comment identifier le Minimum Viable de l’Entreprise (EMV), en fournissant des analyses de marché sur la tolérance aux perturbations à l’échelle du secteur, et en anticipant l’évolution du cadre réglementaire et de la résilience cyber jusqu’en 2030.

Cadre du Minimum Viable de l’Entreprise (EMV)

La politique sur la résilience opérationnelle de la FCA (PS21/3) oblige les assureurs à identifier leurs Services d’Activité Importants (SAI) et à développer des stratégies pour les maintenir lors de perturbations sévères.
Bien que le concept d’EMV ne soit pas explicitement mentionné dans la PS21/3 (politique de la FCA sur le renforcement de la résilience opérationnelle, publiée en mars 2021), les organisations sont invitées à définir leur « empreinte opérationnelle minimale », ce qui s’aligne étroitement avec les principes de l’EMV.

Pensez l’EMV comme la bouée de sauvetage de votre organisation : ces services, processus, technologies et équipes indispensables qui maintiennent la confiance et la stabilité financière, même lorsque tout le reste doit être mis en pause.

La plupart des organisations maintiennent une légère EMV  — elle représente seulement 15 à 17 % de l’activité totale — soutenue par des listes solides d’applications critiques, d’infrastructures essentielles, de données clés et de relations tierces vitales.
Ce n’est pas qu’une simple question de conformité : il s’agit d’identifier une base modulaire et évolutive permettant à l’entreprise d’isoler les problèmes, de se rétablir rapidement et de continuer à opérer en période de risques systémiques.

Sur la base de notre vaste expérience auprès des principaux acteurs de l’assurance au Royaume-Uni et à l’international, voici une liste indicative des services essentiels généralement identifiés :

Analyse approfondie des tendances en matière de tolérance à l’impact, avec un examen détaillé des standards observés et des justifications stratégiques pour les services essentiels identifiés dans le cadre de l’EMV.

Remarque : Les plages de tolérance présentées ci-dessous sont fournies à titre indicatif, sur la base de notre étude de marché et de notre expérience en conseil réglementaire. Les tolérances réelles peuvent varier en fonction de plusieurs facteurs, tels que les juridictions concernées, le profil de risque de l’organisation et sa capacité financière.

Tendances réglementaires : perspectives 2025–2030

Alors que le secteur de l’assurance doit faire face à des exigences opérationnelles en constante évolution, il est tout aussi essentiel d’anticiper les mutations du paysage réglementaire qui marqueront les années à venir.
Les perspectives suivantes mettent en lumière les principales tendances réglementaires prévues pour la période 2025 à 2030, en exposant les exigences clés en matière de conformité ainsi que les évolutions attendues qui façonneront les cadres de gestion des risques et de reporting du secteur de l’assurance au Royaume-Uni.

Il est important de reconnaître qu’à mesure que la réglementation dans ce domaine continue d’évoluer, les régulateurs britanniques tels que la FCA et la PRA tendent à s’aligner davantage sur les grands cadres européens, notamment le Règlement européen sur la résilience opérationnelle numérique (DORA) et la directive sur la sécurité des réseaux et de l’information (NIS).

Cet alignement traduit une prise de conscience de l’interconnexion des marchés financiers et des services critiques au-delà des frontières, ainsi que de la nécessité d’appliquer des normes cohérentes et renforcées en matière de résilience opérationnelle et cyber.

La FCA et la PRA ont publié des consultations et des orientations indiquant leur intention d’intégrer les principes fondamentaux de DORA et de NIS — tels que la gestion renforcée des risques liés aux tiers, des obligations harmonisées de déclaration d’incidents, et des tests de résilience à l’échelle du secteur — dans le régime réglementaire britannique.
Cette convergence garantit que les institutions financières, les assureurs et les prestataires de services du Royaume-Uni soient préparés non seulement aux exigences réglementaires nationales, mais également aux impératifs d’un marché global et numériquement intégré.

Liste de vérification de la résilience pour les conseils d’administration

À la lumière de ces évolutions réglementaires à venir et des réformes stratégiques en cours, il est essentiel que les conseils d’administration évaluent et renforcent leurs cadres de résilience organisationnelle.
La liste suivante est conçue pour aider les équipes dirigeantes à évaluer de manière proactive leur niveau de préparation, à garantir une gouvernance solide et à intégrer la résilience au cœur des processus décisionnels.

• Couverture EMV : Votre Entreprise Minimum Viable (EMV) est-elle clairement définie, cartographiée et testée sous contrainte pour garantir la continuité des services essentiels ?
• Étalonnage de la tolérance à l’impact : Avez-vous validé des tolérances réalistes à travers des analyses de scénarios, et les avez-vous comparées à celles d’institutions similaires et aux exigences réglementaires ?
• Visibilité des risques liés aux tiers : Disposez-vous d’une visibilité en temps réel sur vos dépendances critiques externes, avec des plans de secours et des clauses de résilience dans les contrats ?
• Fonctions de résilience intégrées : Vos équipes en résilience opérationnelle, cybersécurité, gestion des tiers, gestion des risques et de communication au conseil d’administration sont-elles alignées sur le plan stratégique et cohérentes ?
• Préparation à la gestion des incidents : Disposez-vous de mécanismes robustes pour la déclaration multicanal des incidents (interne et externe), ainsi que d’un dialogue actif avec les régulateurs, soutenu par des plans d’action éprouvés ?
• Alignement de l’assurance cyber : Votre couverture d’assurance cyber est-elle adaptée à votre profil de risque spécifique, et testée face à des scénarios de menaces en évolution portant sur des actifs critiques ?
• Responsabilisation du conseil : Les membres du conseil d’administration ont-ils été formés à la surveillance de la résilience et de la cybersécurité, et reçoivent-ils des rapports réguliers des fonctions de gestion des risques intégrées pour garantir une gouvernance éclairée ?
• Culture de la résilience : Une culture de la résilience est-elle ancrée dans toute l’organisation — du comité exécutif aux équipes opérationnelles — pour encourager la prise de responsabilité proactive et l’amélioration continue face aux risques ?
• Veille réglementaire et anticipation : Suivons-nous de manière proactive les évolutions réglementaires locales et internationales (par ex. DORA de l’UE, FCA SS1/21, règles cyber de la SEC), tout en assurant la sensibilisation et la préparation au niveau du conseil d’administration ?

Le secteur britannique de l’assurance et de la réassurance est bien capitalisé, en pleine transformation numérique, et stratégiquement positionné pour la croissance.
Mais la résilience — qu’elle soit opérationnelle, cyber, ou liée aux tiers — reste le facteur déterminant du succès à long terme.

En harmonisant soigneusement leurs stratégies de résilience avec les normes internationales les plus avancées, les organisations peuvent non seulement renforcer leur position sur le marché, mais aussi gagner la confiance durable des parties prenantes.
Cette approche proactive permet de rester conforme dans un environnement réglementaire en constante évolution, tout en consolidant la capacité à atténuer les risques transfrontaliers et à réagir de manière décisive face à des perturbations imprévues.

Dans un monde où les menaces numériques et les vulnérabilités des chaînes d’approvisionnement dépassent les frontières géographiques, développer une résilience reconnue à l’échelle internationale n’est pas seulement une obligation réglementaire, mais un pilier fondamental d’une stratégie d’entreprise durable et tournée vers l’avenir.

En conclusion, les dirigeants doivent intégrer des cadres de résilience robustes et intégrés pour garantir une croissance et une stabilité à long terme. En cultivant une culture de gestion proactive des risques et de veille réglementaire, les institutions peuvent se positionner à l’avant-garde de l’excellence opérationnelle — prêtes non seulement à faire face aux défis, mais à les transformer en opportunités de succès durable.

Cet article Résilience par design : Les impératifs stratégiques pour les assureurs généraux et de réassurance au Royaume-Uni (2025 – 2030) est apparu en premier sur RiskInsight.

La menace toujours croissante des cyber-attaques pesant sur les organisations du monde entier et l’impact financier, opérationnel ou de réputation potentiellement dévastateur de ces dernières sur l’entreprise font qu’il est essentiel de faire de la cybersécurité une question majeure devant la direction des organisations. Ce sont les membres du Conseil d’Administration qui détiennent la responsabilité finale en matière de risques, à la fois en tant qu’ils définissent l’appétit de l’entreprise pour le risque cyber et qu’ils veillent à ce qu’un budget et des ressources suffisants soient alloués à la gestion de ce risque dans la limite de cet appétit. S’ils ne sont pas correctement informés des risques associés à la sécurité de l’information, l’organisation risque de ne pas mettre en place les mesures de réduction justes et appropriées permettant de la protéger des menaces et risques les plus importants.

L’absence de protection efficace contre ces cybermenaces peut avoir des conséquences à la fois organisationnelles et personnelles pour les cadres. Par exemple, la réglementation de la FCA Senior Managers and Certification Regime (SMR) attribue la responsabilité de la sécurité de l’information aux membres de l’exécutif, les rendant responsables de la bonne mise en place des protections cyber pour la Sécurité de l’Information.

Cet article propose une approche en quatre étapes sur la manière de mieux impliquer les cadres dirigeants de votre organisation dans la sécurité de l’information, pour construire un partenariat fructueux entre ces cadres, qui dirigent le budget et les ressources pour la sécurité de I’information, et les équipes cyber qui sont responsables du cadrage et de la mise en place de cette sécurité.

Étape 1 : Introduire les dirigeants à la cybersécurité

Dans cette première réunion avec les cadres dirigeants, il est impératif de commencer la discussion en se concentrant sur une introduction à la cybersécurité qui donne une vue d’ensemble des capacités et du modèle opérationnel de l’organisation en matière de cybersécurité, ce qui permettra des discussions plus approfondies par la suite.

Décrivez les responsabilités de l’organisation et des dirigeants en matière de sécurité de l’information et la manière dont celles-ci s’alignent avec les priorités stratégiques de l’organisation et de l’équipe cyber. Cela devrait inclure une présentation des principales menaces (à la fois internes et externes) pour l’organisation, les risques auxquels elles l’exposent, et la feuille de route existante pour limiter ces derniers. Cela donnera un aperçu général de la capacité cyber de l’organisation et donnera le ton pour les conversations à venir avec la direction.

Faites une synthèse présentant le schéma directeur de la sécurité de l’information et la manière dont la sécurité s’intègre et ajoute de la valeur au reste de l’activité. Il est important d’inclure des indicateurs qui puissent être utilisés pour comparer l’approche de l’organisation en matière de cybersécurité à celles du marché. Une différence dans le budget ou la taille des effectifs dédiés par rapport à un concurrent peut indiquer si l’organisation affecte à la problématique les ressources et le budget adéquats.

Étape 2 : Audit à 360°

Après avoir introduit avec succès les dirigeants à la sécurité de l’information, il est maintenant essentiel de prévoir une deuxième séance afin de présenter avec plus de granularité la capacité cyber de l’organisation, en mettant clairement l’accent sur les domaines où les ressources doivent être concentrées.

Les frameworks types du secteur, comme ISO et NIST, doivent être déployés pour mesurer la maturité cyber de l’organisation et fournir une analyse sur les améliorations potentielles qui pourra être présentée à la direction. Ces frameworks offrent un cadre auquel l’organisation peut se comparer afin d’identifier les domaines nécessitant une élévation de la maturité pour réduire les risques liés aux principales menaces pour l’organisation. Si ces outillages offrent en l’état une bonne mesure de la maturité, il est important de les affiner pour qu’ils soient adaptés à l’organisation, en tenant compte de son secteur d’activité et de son environnement réglementaire. Wavestone recommande de prendre le Framework NIST comme base et de l’adapter aux enjeux spécifiques de l’organisation pour dépasser les limites de l’outil et l’orienter vers les besoins de l’entreprise.

Wavestone a élaboré son propre framework, le Cyber Benchmark, qui s’appuie sur les meilleurs frameworks du secteur pour fournir une approche globale de l’évaluation de la maturité, perspectives organisationnelles et technologiques incluses.  Nous recommandons aux organisations de suivre une approche similaire afin d’accélérer les améliorations de leur outillage pour accroître leur maturité cyber.

Il peut être difficile de capter l’attention des cadres dirigeants pour qu’ils investissement du temps et des ressources dans le développement d’un framework visant à améliorer la maturité cyber. Une bonne méthode pour les interpeller consiste à fournir des preuves concrètes de leurs vulnérabilités en matière de sécurité, en montrant par exemple comment une « Red Team » interne a pu accéder à leurs boîtes mail, et en expliquant le peu de jours qui ont été nécessaires à cela.

Étape 3 : Programme et Framework

Une fois que cette vue détaillée aura été présentée, une des priorités majeures doit être de s’assurer que les dirigeants ont adhéré à la stratégie et à la feuille de route en matière de cybersécurité. Ces dernières doivent être élaborées sur la base des axes d’amélioration de la maturité identifiés lors de l’évaluation sur la base du framework. L’adhésion de la direction à la feuille de route garantira le financement et les ressources nécessaires à la mise en œuvre de ces améliorations.

À l’aide du framework personnalisé, élaborez une feuille de route axée sur les aspects qui réduiront le plus efficacement possible les risques liés aux principales menaces pesant sur l’organisation. Cette feuille de route servira de base au programme de sécurité. Elle doit être définie de manière à fournir des cibles claires à atteindre pour garantir la conformité aux attendus du framework personnalisé, en commençant par une approche de remédiation qui garantira une maturité cyber standard dans l’ensemble de l’organisation, suivie d’étapes permettant d’atteindre les objectifs de maturité cyber. La garantie d’une maturité standard dans l’ensemble de l’organisation atténuera le risque lié aux menaces à court terme, tandis que l’atteinte des objectifs de maturité réduira le risque potentiel lié aux menaces à plus long terme.

Le soutien du programme peut être assuré par un bureau de gestion de projet (PMO) spécialisé qui supervisera son exécution. Il est important que ce PMO promeuve de bonnes relations entre les services informatiques qui mettront en œuvre la feuille de route vers la maturité et les différents métiers, afin que les avantages soient compris et exploités dans l’ensemble de l’organisation.

Étape 4 : Quantification des risques et Accélérateurs commerciaux

La dernière étape dans l’implication de la direction consiste à démontrer le retour sur investissement (ROI) que la cybersécurité peut représenter, à la fois en réduisant les risques liés aux principales menaces et en tant qu’accélérateur commercial stimulant une expansion dans de nouveaux territoires, avec l’établissement de nouvelles relations clients.

L’implémentation du framework personnalisé adapté à l’organisation et le suivi de la feuille de route vers la maturité cyber ainsi établie nécessiteront une augmentation du budget alloué. Cependant, il est important de souligner au Conseil d’Administration que ce retour sur investissement dépassera de loin le coût initial en raison d’une diminution spectaculaire de l’ampleur et de la gravité des risques auxquels l’organisation est exposée. Utilisez des calculs pour démontrer de manière quantitative ce retour sur investissement et liez-le aux efforts et changements apportés par le programme de sécurité. Il s’agira également d’expliquer que cette dépense initiale, nécessaire à la mise en œuvre du programme de sécurité, reste bien inférieure aux répercussions potentielles qu’aurait une absence de protection adéquate lors d’une cyber-attaque sur les plans financier, de la réputation et le plan personnel (ex : SMR).

Non seulement la cybersécurité peut prévenir les graves répercussions d’une absence de protection des SI en cas d’attaque, mais elle peut aussi devenir un important catalyseur commercial. Une gestion efficace de la cybersécurité permettra, d’une part, la préservation des clients en cas d’une violation de sécurité correctement gérée et, d’autre part, de positionner l’organisation comme un gestionnaire des données et des informations des clients sûr. Une organisation sûre peut s’implanter rapidement dans de nouveaux environnements commerciaux et saisir des opportunités avec la certitude que sa maturité en matière de cybersécurité lui permettra de faire face aux nouvelles menaces potentielles qui pourraient découler de cette expansion, ouvrant ainsi la porte à l’élargissement de sa base de clients en toute sécurité.

Conclusion

En suivant les quatre étapes exposées dans cet article, vous pourrez établir une relation solide avec les cadres dirigeants en matière de sécurité de l’information, en vous assurant qu’ils soient conscients de leurs responsabilités en matière de cybersécurité dans le cadre du SMR et qu’ils allouent le budget et les ressources appropriés pour faire face aux menaces majeures qui pèsent sur l’organisation. Le framework personnalisé leur permettra de comprendre la posture actuelle de la cybersécurité et d’adhérer à la feuille de route pour une maturité future.  Une fois que cette cible de maturité de la cybersécurité aura été établie, les opportunités commerciales peuvent être un levier pour s’assurer que les dirigeants continueront d’investir dans le développement de la Sécurité de l’Information à l’intérieur de votre organisation.

Cet article Impliquer la direction dans la Sécurité de l’Information est apparu en premier sur RiskInsight.

Si la profondeur et la complexité de ces exercices varient, les capacités testées sont très souvent les mêmes. Elles se limitent presque exclusivement à savoir s’approprier des rôles, assimiler un fort flux d’information (de stimuli), et comprendre une situation à fort enjeux et haute intensité. Si ces exercices permettent de s’entrainer à la coordination et à l’évaluation d’impact, force est de constater qu’ils ne peuvent être considérés comme une fin en soi. Résoudre une crise ne se limite pas au fameux : « on isole, on coupe, on communique, on est sorti d’affaire ». Nous appelons ici à une évolution de paradigme dans la préparation à la gestion de crise d’origine cyber. 

Déplacer le curseur de la gestion de l’information à la faisabilité  

La plupart des exercices de crise proposés actuellement testent la capacité de gestion et de synthèse du flux d’information des joueurs. Ce n’est pourtant pas là que ce se concentre la qualité du pilotage d’une crise. D’aucun pourrait même dire qu’une cellule décisionnelle ne doit justement pas se trouver dans une situation où elle est sollicitée de manière erratique et incessante par ses parties prenantes. Une cellule décisionnelle doit être mise en situation de décider et pour cela doit respecter un rythme de travail sain, généralement asynchrone, en coopération avec d’autres instances plus opérationnelles. 

Ces exercices poussent trop souvent les joueurs, aspirés par la chronophage gestion de l’information, à prendre des partis opérationnels trompeurs. Ils prennent des hypothèses sur leur capacité à faire et les délais requis – le fameux « on isole, on coupe, on communique, on est sorti d’affaire ». Ces exercices donnent l’impression aux équipes décisionnelles qu’elles sont prêtes à faire face alors qu’elles ont limité leur préparation à la capacité de compréhension et de coordination des évènements. C’est une étape nécessaire, mais insuffisante.  

Le maître mot d’une stratégie de préparation en 2023 ? La faisabilité. Mais la faisabilité de l’ensemble des étapes d’une gestion de crise repose sur un spectre plus large que la seule gestion de l’information. Cette faisabilité doit être mesurable, spécifique et rendue possible par la documentation, l’équipage et la simulation et le séquençage de ces capacités. 

Se préparer sur l’ensemble du spectre : de la détection des menaces à la reconstruction  

Interroger et a fortiori s’entrainer à gérer une situation de crise suppose d’abord de prendre en compte la chronologie complète de la gestion de crise. Nous pouvons synthétiser cette chronologie en huit étapes majeures : 

1. Détecter les menaces pertinentes et avoir la capacité de les investiguer  
2. Mobiliser expert.es, décideurs.euses pour réagir 
3. Survivre durant le premier pic en garantissant des capacités de continuité d’activité  
4. Evaluer l’impact, ses ramifications et ses évolutions anticipables  
5. Contenir la menace et comprendre l’impact d’une isolation  
6. Coordonner ses forces et celles de son écosystème  
7. Communiquer avec ses parties prenantes internes et externes  
8. Restaurer et reconstruire de manière priorisée et sécurisée 

Préparer également les outils : je conçois, j’utilise  

Une stratégie de préparation pertinente doit englober chacune de ces huit étapes avec ce maître mot de faisabilité. Cela nécessite donc de répondre à cette question : serons-nous véritablement capables de mener ces actions quand nous devrons le faire ?  

La réponse à ce questionnement capacitaire s’appuie sur trois axes :  

1. Assurer la formalisation de processus brefs, à jour et connus (ex : avoir une matrice des flux indiquant comment isoler, sous quels délais, les conséquences opérationnelles)  
2. Assurer l’équipement, la formation et la mise en responsabilité des équipes ayant la charge de ces actions (ex : avoir un débat sur le processus de validation d’isolation – ou licence to kill, et permettre techniquement un red button sur des périmètres pertinents)  
3. Entrainer spécifiquement les équipes concernées via des mises en situation, des simulations spécifiques de déploiement de ces capacités (ex : tester le processus de décision menant à l’utilisation de ce red button, puis tester techniquement le bon fonctionnement du red button)  

Ainsi, si certains se limitent exclusivement à ce dernier axe qu’est la simulation, il est essentiel de concevoir sa préparation avec plus de recul et de commencer par un véritable effort de mise en capacité. L’exercice doit être un jalon de vérification, d’ajustement et de promotion des capacités. Au pire, il peut être une date butoir pour préparer la capacité voire servir d’événement pour la construire en séance (ex : chronologie de reconstruction, identification des interdépendances techniques, …). 

Dépasser une logique opportuniste et entrainer le séquencement de ses capacités 

Actuellement, les principaux leviers de complexité sont l’augmentation de la durée, de l’intensité et du nombre d’acteurs mobilisés. Là aussi, nous appelons à un changement de paradigme.

D’abord, nous appelons à nourrir une culture de la préparation reposant sur les huit piliers détaillés plus haut. Autrement dit, d’outiller, de formaliser des capacités à faire et d’entrainer unitairement ces capacités tout au long de l’année – sans nécessairement les événementialiser dans un exercice en grande pompe (ex : atelier en ComEx sur les 10 premières actions à lancer en cas de cyber crash, tester l’isolation des sauvegardes ou la restauration de postes de travail).  

Par ailleurs, en cohérence et en conséquence d’une logique d’entrainement verticalisée (i.e. permettre puis simuler), il est important d’entrainer la capacité de séquencement rapide et efficace des différentes capacités, des différents piliers. Ainsi, il convient de proposer des exercices plus larges, communs aux équipes métiers, forensic, décisionnelles, pour orchestrer leurs différentes simulations dans un seul exercice. En entrainement, par exemple, tester la capacité de détection avec une Purple Team puis la capacité de mobilisation du dispositif de crise avec une mobilisation surprise via les outils alternatifs prévus. Un second exemple : travailler la capacité de coordination des nombreuses cellules de crise sur un temps long puis, celle d’ajuster un message de communication à l’ensemble de ses parties prenantes (interne et externe).  

S’inscrire dans la durée  

Pour être pertinente, cette approche doit être supportée par une réflexion stratégique, globale, pluriannuelle. Parce que plus ambitieuse, impliquant plus de parties prenantes (SOC, RPCA, Résilience, Infra, CISO, ComEx, Tiers, …), elle peut gagner sa légitimité par une évaluation empirique préalable des moyens : 

1. Evaluez l’état actuel de votre niveau de préparation en adoptant une approche centrée sur la faisabilité des huit piliers.  
2. Etablissez une cible de maturité à atteindre et une feuille de route dont vous saurez rendre compte dans le temps de manière empirique. 
3. Partagez enfin à vos équipes dirigeantes une vision plus robuste de votre maturité en gestion de crise.  

Une telle approche, plus empirique, plus personnalisée permettra non seulement d’identifier des manques capacitaires mais surtout de s’entrainer véritablement aux actions qui seront indispensables au moment du pire.  

Cet article Repenser sa stratégie de préparation à la gestion de crise d’origine cyber est apparu en premier sur RiskInsight.

Pour transformer, il faut savoir d’où l’on part…

Avant toute transformation, il est important de définir le point de départ et de partager les constats avec le comité exécutif. L’utilisation de standards internationaux pour s’évaluer est évidemment la base, l’ISO 27001/2 et le NIST CSF sont les deux références internationales : l’une plutôt européenne, l’autre plus anglo-saxonne.

Mais ce qui comptera le plus aux yeux des dirigeants, c’est un benchmark basé sur la posture de leurs concurrents et du marché dans lequel il se situe. A ce titre, nous avons développé chez Wavestone, un outillage spécifique et construit une base de comparaison qui regroupe actuellement plus de 50 grandes organisations, majoritairement internationales et basées en Europe. La qualité de cette base est essentielle pour convaincre les dirigeants, qui lors des debriefings demanderont, avec précision et souvent beaucoup de prise de recul, ce qui est fait ailleurs.

Premier élément clé d’une évaluation : poser les bonnes questions et obtenir des réponses utiles ! Dans une grande organisation, il est complexe d’évaluer finement le niveau de conformité aux règles de sécurité. L’utilisation d’une simple notation, sur une échelle classique de maturité – de 1 à 4 par exemple – atteint rapidement sa limite. Ce que nous avons choisi de faire et qui a fait ses preuves sur le terrain, c’est de répondre aux questions en exprimant un pourcentage de périmètre couvert. Par exemple,  il est possible d’avoir 80% des postes de travail avec un anti-virus simple et 20% avec un outillage moderne type EDR. La même approche est réplicable sur les questions plus organisationnelles, 50% des utilisateurs sensibilisés par l’envoi d’emails, 30% par le suivi d’un webinar et 20% par des séances en présentiel.

Dans l’inconscient collectif, cette phase d’interrogations paraît souvent longue et très consommatrice d’énergie. Elle peut en effet l’être si l’on souhaite un fort niveau de détail, la collecte de preuves ou des vérifications techniques : cela peut être utile lorsque l’organisation a déjà un fort niveau de maturité. Mais au début d’une démarche, une approche plus simple et efficace, typiquement sur une période courte d’un mois avec une charge d’une vingtaine de jours peut être suffisante pour se donner une vision concrète de la situation et suffisamment d’arguments pour obtenir des décisions et lancer le changement.

Durant la phase de préparation, il sera également important d’identifier en amont les attentes du comité exécutif. Echanger avec les membres les plus concernés autour de leurs attentes, recueillir leur avis sur la bonne manière d’aborder le sujet et les priorités de l’organisation sera essentiel pour garantir la pertinence des phases de questionnement et de restitution. Rien de pire que de faire un hors sujet le jour de la restitution !

… Et partager la réalité de la situation

Après la phase de collecte, viendra ensuite l’heure de l’analyse des résultats. Notre retour d’expérience montre qu’il est efficace de combiner plusieurs vues pour donner du sens et obtenir de l’engagement. Les classiques rosaces de conformité à l’ISO ou au NIST sont évidemment des incontournables mais s’avèrent souvent peu efficaces : trop d’axes, trop d’éléments mélangés qui donnent finalement toujours des notes moyennes.

Comme évoqué dans le billet précédent, deux indicateurs feront mouche au début de l’échange : le budget dédié à la cybersécurité et les effectifs mobilisés sur la cybersécurité. L’indicateur de budget est toujours délicat à manipuler (forte variation annuelle et méthode de comptabilisation non homogène), nous préférons souvent utiliser celui des effectifs plus stables et plus fiables). Ensuite, il est selon nous efficace de dérouler l’analyse sur 3 axes :

• Le 1^er, c’est la résistance de l’organisation aux dernières attaques connues. Elément clairement le plus efficace en debriefing avec le comité exécutif, il permet aussi d’attirer l’attention au début de la restitution. Pour réaliser cette vue, nous utilisons les retours opérationnels du CERT-W pour savoir quelles sont les dernières méthodes d’attaques des cybercriminels et nous réalisons une analyse des mesures qui sont concernées.
• Le 2^ème, c’est la posture face au marché, en croisant le niveau de conformité par rapport aux référentiels internationaux (type : « je vise 75% de conformité à l’ISO ») avec l’écart à la moyenne du marché pour l’organisation concernée (« sur la sécurité du poste de travail, je suis 3 points en dessous du marché. Sur la sécurité physique, je suis 2 points au-dessus »). Croiser ces deux axes permet d’identifier les zones prioritaires (celles où vous êtes en dessous des standards internationaux mais aussi en dessous du marché) de celles où il ne faut pas s’acharner (tout le marché est en dessous des référentiels internationaux, mais vous êtes au-dessus de la moyenne du marché).
• Le 3^ème, c’est une vue orientée « acteurs » de la transformation, organisée par les grandes entités qui seront en charge de la transformation (par exemple : au sein de la DSI, le réseau, les postes de travail, les serveurs, au sein de la direction des risques…). Cette vue est très utile pour conclure l’échange car elle met dans l’action et permet de montrer qui va devoir le plus s’investir.

Bien sûr, ces différentes vues peuvent être segmentées en fonction des pays ou des grandes unités organisationnelles pour refléter d’éventuelles disparités ou attentes de la direction.

Dans cette phase de restitution, notre retour d’expérience montre que les comités exécutifs sont de plus en plus sensibles aux sujets liés à la cybersécurité et vont poser des questions très précises et concrètes. Il faut donc s’armer de preuves et d’éléments factuels concernant l’organisation. Avoir à disposition des résultats d’audits récents, de chiffres concrets sur la durée requise pour réussir une intrusion voire même des vidéos de démonstration d’attaques peut faire basculer un comité exécutif qui prendra conscience du risque.

Entamer dès maintenant l’étape 3: la transformation de l’organisation

Décrire la situation, les difficultés et les axes de progression ne doit pas être une fin en soi. Il faut préparer des premiers arguments sur la conduite du changement. Qui doit porter la transformation ? Quelles sont les volumes financiers à prévoir ? Quel planning envisager ? Quel reporting effectuer ? Et surtout quel sponsor dans le comité exécutif pour suivre ce sujet ! Sans être une partie formelle de la restitution, amener ces éléments à la fin de l’échange permet de préparer l’étape suivante et de collecter des premières orientations.

Ces questions sont évidemment très dépendantes de l’organisation mais nous voyons des tendances se dessiner. Aujourd’hui, c’est majoritairement le RSSI au sein de la DSI qui porte la transformation, souvent épaulé par un directeur de programme expérimenté connaissant bien la structure. Concernant les budgets, pour des programmes de remédiation majeurs, les sommes oscillent dans le secteur financier entre 200 et 800 millions d’euros, et dans l’industrie entre 50 et 100 millions. Ces sommes sont engagées usuellement sur des programmes de 2 ou 3 ans et sont suivies par le comité exécutif à l’échelle trimestrielle au lancement puis un rythme semestriel peut être pérenniser.

Pour conclure la session, le plus important reste de définir la prochaine étape. Même si toutes ces restitutions n’amènent pas le lancement de programme d’investissement immédiatement, il peut être utile d’évoquer que la revue des risques prend en compte ces résultats ou proposer la réalisation d’un benchmark à nouveau l’année suivante.

Cet article Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions est apparu en premier sur RiskInsight.

Paradoxalement à cela, seulement 35 % des organisations considèrent comme efficace leur processus de gestion de la sécurité des fournisseurs (selon une étude menée par l’institut Ponemon).

Alors, comment définir une stratégie efficace de gestion de la sécurité de vos fournisseurs ? Quels sont les facteurs clés de succès ?

Adopter une stratégie de gestion des fournisseurs par les risques

Qu’il s’agisse de partenaires métier, de sous-traitants ou de prestataires de services informatiques, nombre de vos fournisseurs gèrent ou ont accès à vos actifs. Ils constituent une source de risques pour votre organisation et il est donc clé de vous assurer qu’ils s’engagent à respecter un niveau de sécurité conforme à vos exigences.

Selon le périmètre métier sur lequel vos fournisseurs interviennent et le type de service qu’ils fournissent, le niveau de risque pour votre organisation est plus ou moins élevé. Notre recommandation est donc de classifier vos fournisseurs afin d’adapter la manière de gérer la sécurité selon le niveau de risque qu’ils portent.

Vos fournisseurs pouvant se compter en milliers, cette classification vous permettra également de prioriser et de garder une charge de travail acceptable pour vos équipes.

Pour ce faire, notre premier conseil est de cartographier vos fournisseurs. Nous remarquons sur le terrain que peu d’organisations possèdent une cartographie exhaustive et que sa réalisation constitue un projet fastidieux qui nécessite l’intervention de nombreux acteurs (achats, département juridique, métier…). Ainsi, nous vous conseillons de commencer par définir un processus pour capter vos nouveaux fournisseurs ainsi que de recenser en priorité vos fournisseurs intervenant sur des activités métiers identifiées comme critiques dans vos BIA (Business Impact Assessment). Ensuite, vous pourrez élargir progressivement aux autres fournisseurs.

À partir de cette cartographie, vous pourrez évaluer la criticité sécurité de vos fournisseurs et les classifier selon une échelle à plusieurs niveaux. Pour cela, nous vous suggérons de notamment prendre en compte les critères suivants :

• La criticité métier du projet ou de l’actif sur lequel le fournisseur intervient ;
• Le degré d’interconnexion du fournisseur à votre SI ;
• L’accès du fournisseur à des données sensibles ou confidentielles ;
• L’exposition du service fourni sur Internet.

Cependant, nous constatons auprès de nos clients qu’il n’est pas toujours évident d’appliquer ces critères par manque d’informations sur certains fournisseurs. Ainsi, nous vous suggérons de faire valider « à dire d’expert » votre classification par vos équipes sécurité, vos responsables informatiques et votre métier.

Exemple de classification sécurité des fournisseurs, selon une échelle à 3 niveaux

Intégrer la sécurité tout au long du cycle de vie

Nous constatons sur le terrain que la plupart des organisations évaluent leurs fournisseurs avant de contractualiser et intègrent des clauses de sécurité dans les contrats. Toutefois, la sécurité des fournisseurs n’est pas toujours prise en compte par la suite.

Nous recommandons d’intégrer la sécurité tout au long du cycle de vie des fournisseurs en les responsabilisant et en adoptant une position de contrôle.

Cycle de vie de la gestion des fournisseurs

Durant la contractualisation

Durant la contractualisation, l’objectif est de s’assurer que le fournisseur choisi par votre métier réponde à vos exigences de sécurité. Pour ce faire, nous vous conseillons d’intégrer la sécurité lors de chaque étape du choix d’un fournisseur :

• Inclure la sécurité dans vos appels d’offres, c’est-à-dire expliciter vos exigences de sécurité et vos modalités d’évaluation ;
• Évaluer le niveau de maturité sécurité des fournisseurs dans le cadre de l’analyse des réponses à l’appel d’offres ;
• Fournir une recommandation de sécurité à votre métier en fonction de la sensibilité du projet et du risque porté par le fournisseur ;
• Inclure dans le contrat avec le fournisseur choisi des clauses de sécurité adaptées à sa criticité et au service fourni.

Pendant la durée du contrat

Afin de s’assurer que vos fournisseurs garantissent un niveau de sécurité conforme à l’état de l’art et respectent vos exigences de sécurité pendant toute la durée du service fourni, nous suggérons de :

• Intégrer vos fournisseurs dans vos méthodologies d’analyse de risques lorsqu’ils interviennent sur un projet. Ceci est d’ailleurs mis en place dans la méthodologie EBIOS RISK MANAGER qui permet de recenser l’ensemble des parties prenantes intervenant sur un projet puis d’établir un plan d’actions de mise sous contrôle de l’écosystème. Un suivi de l’implémentation de ces mesures doit être mené auprès du fournisseur ;
• Mettre en place des revues de sécurité à des fréquences adaptées aux risques et donc au niveau de classification du fournisseur. Ainsi, les fournisseurs les plus critiques pourront être revus a minima annuellement tandis que les moins critiques le seront uniquement lors du renouvellement du contrat ;
• Définir au sein de votre organisation un processus dédié à la gestion des incidents de sécurité impliquant un fournisseur et disposer de fiches réflexes sur les incidents avec des tiers ;
• Auditer le fournisseur en cas de besoin (par exemple à la suite d’un incident de sécurité majeur ou de l’identification d’un risque critique).

À la fin du contrat

Un renouvellement de contrat constitue une occasion pour réaliser une nouvelle évaluation de la posture sécurité du fournisseur et éventuellement mettre à jour les exigences contractuelles.

En cas d’arrêt du contrat, vous pourrez activer vos clauses de réversibilité et il est important de vous assurer que la sécurité est bien prise en compte dans le décommissionnement du service fourni.

Industrialiser l’évaluation des fournisseurs grâce à des solutions du marché

Nous constatons sur le terrain que beaucoup d’organisations évaluent et contrôlent la sécurité de leurs fournisseurs à l’aide de questionnaires propriétaires, non automatisés et qui nécessitent de nombreuses ressources externes. De plus, les fournisseurs de taille importante peuvent refuser de remplir ces questionnaires tandis que les plus petits ne répondent pas toujours correctement.

Par ailleurs, nous remarquons également que très peu d’organisations ont pour le moment adopté une approche d’évaluation massive.

Afin de rationaliser l’approche, nous vous suggérons donc d’abandonner ces solutions d’évaluations historiques pour adopter des solutions adaptées au niveau de criticité des fournisseurs et pouvoir passer à l’échelle.

Pour les fournisseurs les plus critiques

Nous conseillons d’opter pour une démarche d’évaluation co-constructive avec vos fournisseurs les plus critiques, tout en adoptant une position de contrôle. Ceci se traduit par les actions suivantes tout au long du cycle de vie :

• Evaluer vos fournisseurs les plus critiques sur la base de leurs certifications cybersécurité et de leurs rapports de conformité sur le périmètre du service fourni ;
• Etablir un Plan d’Assurance Sécurité contractuel afin de définir la gouvernance sécurité de la prestation ;
• Organiser des revues de sécurité (a minima annuelles) pour contrôler le niveau de sécurité de vos fournisseurs sur la base des indicateurs définis dans le Plan d’Assurance Sécurité (maintien des certifications, incidents de sécurité, audits, roadmap sécurité…). Ces comités sont également l’occasion d’instaurer une relation de confiance avec vos fournisseurs, par exemple en discutant des actualités et évènements de sécurité ainsi que des conférences que vous pourriez faire en commun.

Pour les fournisseurs présentant une criticité moyenne à faible

Afin d’adopter une approche massive dans l’évaluation et la revue de la sécurité de vos fournisseurs non critiques, des solutions du marché peuvent être utilisées.

En effet, des éditeurs et des startups (tels que CyberVadis, CyberGRX, Risk Ledger) sont positionnés sur l’industrialisation des évaluations de sécurité des fournisseurs. Ceci fera l’objet de l’un de nos prochains articles.

Leurs solutions sont basées sur des questionnaires de maturité dont les résultats sont partagés entre l’ensemble de leurs clients. Plus concrètement, ces plateformes fonctionnent de la manière suivante :

Fonctionnement des solutions d’évaluation de la maturité d’un fournisseur

Bien que ces solutions soient pour le moment peu personnalisables selon des exigences spécifiques à votre organisation, elles vous permettront notamment de :

• Obtenir des évaluations de sécurité adaptées à des fournisseurs non critiques ;
• Réduire la charge de vos équipes sécurité ;
• Partager les évaluations fournisseurs avec d’autres clients et donc pouvoir disposer très rapidement d’évaluations déjà réalisées ;
• Adopter une approche gagnant-gagnant avec vos fournisseurs qui partageront un unique questionnaire pour l’ensemble de leurs clients et se verront proposer des plans d’actions afin de remédier aux écarts constatés ;
• Vulgariser la sécurité des fournisseurs auprès de votre métier ou de vos équipes achat grâce à des scores didactiques sur différentes thématiques.

S’assurer de l’efficacité de votre processus de gestion de la sécurité des fournisseurs

Des interlocuteurs métiers aux chefs de projets informatiques et en passant par les équipes achats et juridiques, la gestion de la sécurité des fournisseurs implique un nombre important d’acteurs de votre organisation. Elle ne peut être un succès que si votre processus est connu et appliqué par tous. Ainsi, il est clé de former et sensibiliser l’ensemble des parties prenantes.

Afin de s’assurer de la bonne mise en application de votre processus, il est important de définir et mettre en place des contrôles couvrant l’ensemble des étapes du cycle de vie de gestion des fournisseurs. Dans un premier temps, nous vous recommandons de définir des cibles réalistes en vous concentrant sur vos fournisseurs les plus critiques. Au fil du temps, ces cibles pourront évoluer pour prendre en compte vos fournisseurs présentant des niveaux de criticité plus faibles.

Vos contrôles peuvent notamment porter sur la classification de vos fournisseurs, leur évaluation ainsi que leur revue à une fréquence adaptée pendant la durée du contrat.

Inscrire la sécurité des fournisseurs dans une démarche « Know Your Supplier »

A la manière de la démarche KYC (Know Your Customer) dans le B2C, nous suggérons d’inscrire la sécurité des fournisseurs dans un esprit KYS (Know Your Supplier) où l’objectif est de prendre en compte l’ensemble des risques fournisseurs de manière consolidée.

Les évaluations de sécurité et notamment les plateformes d’évaluation de maturité pourront être intégrées au sein des outils de gestion des fournisseurs (source to contract), au même titre que notamment les évaluations financières, RSE, impact environnemental, anti-corruption et anti-blanchiment d’argent. Ceci permettra de faciliter l’intégration de la sécurité dans vos processus de sourcing et de revues des fournisseurs.

Rendez-vous au prochain épisode pour un article sur les solutions du marché permettant d’automatiser l’évaluation de la sécurité de vos fournisseurs.

Cet article Comment définir une stratégie efficace de gestion de la sécurité des fournisseurs ? est apparu en premier sur RiskInsight.

Il y a 15 ans, lors de nos premiers travaux sur la mise en place de SOC chez nos clients, la définition d’une feuille de route était simple : mise en place d’un outillage puis collecte et analyse des logs des équipements de sécurité et des actifs critiques/exposés.

Cependant, de nouveaux enjeux liés à la décentralisation du SI, à l’évolution d’une menace toujours plus évoluée et également à la crise que nous traversons (généralisation du télétravail, baisse des budgets de cybersécurité…) doivent nous faire prendre conscience que le SOC doit se réinventer !

Impliquer (vraiment) tout le monde !

En refaisant l’histoire par le début, le SOC est géré par une population SSI qui a donc mis en place des mécanismes de surveillance sur des équipements SSI avec des use-cases SSI. Le résultat est mitigé, cela fonctionne plus ou moins bien et les chiffres de notre benchmark CERT sont là pour en attester : 167 jours en moyenne pour détecter un incident !

Les premières stratégies de détection étaient bien évidemment définies, challengées et validées par la filière SSI. Elles avaient pour objectif d’étendre de plus en plus le périmètre de surveillance via la collecte de toujours plus de logs (pares-feux, WAF…) et la mise en place de nouveaux équipements de surveillance (SIEM, sondes…).

Ce premier constat s’est fatalement retrouvé dans la majorité de nos conclusions d’audits de SOC : les objectifs sont mal définis et non alignés avec les attentes des clients du SOC (RSSI, DSI, métiers), entrainant une perte de confiance et de crédibilité.

Des exemples frappants permettent d’expliquer ce sentiment : manque de SLAs, périmètre mal défini, reporting trop bruts, non contextualisés et contenant des informations erronées…

Si vous ne voulez pas redéfinir une nouvelle fois votre stratégie SOC de manière peut-être partiale, l’organisation d’un séminaire est le bon exercice pour établir un nouveau point de départ. Toutes les parties prenantes doivent être présentes (équipes sécurité, DSI, clients du SOC…) et le but est d’adresser les principales problématiques :

• Redéfinition des objectifs : concentrer la surveillance sur des périmètres beaucoup plus restreints et faisables tant techniquement qu’humainement
• Clarification de la gouvernance : redéfinir le positionnement et le rôle du SOC dans l’organisation
• Refonte du reporting : partager les incompréhensions et les irritants des clients afin de remonter le bon niveau d’information

Nous avons pu constater que cette étape, indispensable au renouveau du SOC, permet de fédérer tout un ecosystème autour d’une cible commune.

Privilégier la qualité à la quantité !

Paradoxalement, bien que la surface d’attaque du SI ait augmenté de manière significative, la priorité est bien de restreindre le périmètre de surveillance pour se concentrer sur ce qui a réellement de la valeur.

Premièrement, dès lors que le périmètre fonctionnel de surveillance a été redéfini et validé par tous, la mission du SOC est de traduire techniquement ces nouveaux objectifs en scénarios de détection dans les outils. Pas besoin de réinventer la roue car de nouveaux Framework tels que MITRE ATT&CK permettent maintenant de recenser et matérialiser de manière claire les différents types d’attaques (techniques utilisées, exemples/références et suggestions pour la détection). L’objectif n’est bien évidemment pas de pouvoir couvrir toutes les techniques utilisables (330 au total) mais de prioriser les efforts sur ce qui permettra d’atteindre les objectifs.

De plus, un constat RH a également été remonté dans la plupart de nos audits : les équipes manquent de motivation, recul et autonomie pour apporter de la plus-value dans les opérations.

Ce constat entraine un fort turn-over car certaines tâches sont jugées peu intéressantes. L’objectif est de concentrer l’effort humain sur ce qui apporte réellement de la valeur ajoutée. Nous avons accompagné de nombreux clients dans l’implémentation d’outils de type SOAR (Security Orchestration, Automation and Response) permettant d’automatiser les tâches répétitives des équipes en charge de l’analyse et de la réaction. Ces outils sont extrêmement efficaces pour automatiser le traitement des attaques courantes, très rébarbatives (ransomware, phishing…) qui représentent une grande part des alertes.

Une fois ces mesures en place, les équipes peuvent alors être mobilisées sur des activités ayant une plus forte valeur ajoutée telles que la mise en place des tâches d’automatisation, les activités de Threat Hunting…

Et maintenant… s’améliorer et se challenger en continu !

Dès lors que toutes les fondations sont mises en place pour donner un nouveau souffle à son SOC, comment fait-on pour rester à la page ?

La réponse à cette question aurait été complexe il y a encore 5 ans mais de nombreux standards reconnus permettent dorénavant de pouvoir évaluer la maturité de son SOC dans une logique d’amélioration continue. SOC CMM est le parfait exemple car ce référentiel permet de pouvoir s’auto-évaluer à partir d’un ensemble de questions précises adressant toutes les problématiques en termes d’outillages et d’organisation. Cette méthodologie nous a permis d’accompagner des clients sur de nombreuses comparaisons avant/après.

Les opérations de Red Team ou Purple Team sont également d’excellents moyens permettant de challenger les dispositifs mis en place par rapport aux objectifs définis. Ces exercices permettent de mettre en avant des exemples concrets de vulnérabilités ainsi que des recommandations précises pour y remédier. De plus, le Framework MITRE ATT&CK peut être utilisé pour consolider les tests effectués par type d’attaque, ainsi que leurs résultats.

Ces différentes initiatives ne permettent pas de traiter l’exhaustivité des problématiques que rencontrent le SOC actuellement mais permettent de souligner nos principaux constats : un SOC isolé, des outils mal configurés et des équipes démobilisées.

L’exercice de redéfinition d’une stratégie SOC est une formidable opportunité permettant de remobiliser tout un ecosystème sous une même bannière. Cette initiative permet de redonner du sens à la fois aux équipes opérationnelles mais également à toutes les parties prenantes de l’activité du SOC… Bref, il n’y a plus qu’à !

Cet article Le SOC est mort d’ennui, de fatigue, de mauvais positionnement ? Découvrez comment le réanimer ! est apparu en premier sur RiskInsight.

L’identification et la cartographie des processus clés

Commençons par une définition du régulateur : la Banque Centrale Européenne définit la cyber-résilience comme la capacité à se protéger et à reprendre rapidement les activités en cas de succès d’une cyber-attaque. Cette définition a amené de nombreuses entreprises à adopter une vision à 360° sur le sujet (prévention, gestion de crise, reconstruction, continuité d’activité, etc.) à travers le prisme d’une cyberattaque concrète sur les processus clefs de l’entreprise. La nouveauté réside surtout dans le fait de centrer toute l’analyse sur les chaines métier critiques, encore faut-il les connaitre. L’identification et la cartographie des processus clés représentent souvent la partie la plus complexe d’un Programme de cyber-résilience. Et il n’y a malheureusement pas de méthode systématique : liste établie par la Direction des risques, décision du Directeur des opérations, recyclage des analyses d’impact sur l’activité, critères établis lors d’audits régulateurs, etc. Une chose est certaine, cette liste ne peut être établie par l’équipe cybersécurité dans son coin et nécessite d’impliquer les métiers au plus tôt dans la démarche.

Analyser la cyber-résilience d’une chaine métier : la méthode A.R.M.

La cyber-résilience d’une chaine métier peut être « améliorée » en agissant sur plusieurs paramètres : 1/ l’évitement de l’attaque, 2/ la reconstruction rapide, 3/ le maintien d’activité métier pendant l’attaque. Par conséquent de nombreuses entreprises ont structuré leur Programme de cyber-résilience autour des indicateurs A (AVOID), R (RECOVER) et M (MAINTAIN), permettant de cibler une menace à la fois. Bien évidemment, la plupart des initiatives actuelles travaillent sur des scénarios Ransomware (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID [Eviter la cyber-attaque]

Il s’agit tout d’abord d’évaluer le niveau de résistance des chaines métier face aux menaces cyber redoutées. Le Framework ATT&CK est de plus en plus souvent utilisé ici et cet indicateur peut tout simplement correspondre au pourcentage de techniques utilisées par l’attaquant contre lesquelles la chaine métier est protégée (par exemple : la chaine est protégée contre 60% des techniques d’attaque utilisées par les groupes ransomware du moment). Le niveau d’assurance exigé diffère d’une entreprise à l’autre : même si la plupart des entreprises travaillent encore via auto-déclaration, il est possible d’intégrer dans la démarche une revue de preuves ou des audits Redteam pour fiabiliser les résultats.

R – RECOVER [Savoir reconstruire vite]

Il s’agit ensuite d’évaluer le temps de reconstruction de la chaine métier en cas d’attaque (par exemple : la chaîne peut être remontée en 9h après une attaque de type ransomware). Ce temps peut évidemment être différent d’une attaque à l’autre : destruction souvent restreinte aux systèmes Microsoft, possibilité d’utiliser les sauvegardes ou non, vérifications d’intégrité nécessaires après reconstruction, etc. Cela nécessite une analyse fine des impacts de chaque attaque étudiée. Attention, lors de la cartographie, il faut considérer la reconstruction de TOUS les assets impactés par l’attaque. On constate souvent que quelques assets spécifiques peuvent doubler ou tripler le délai de reconstruction global. Ici aussi, le niveau d’assurance exigé diffère d’une entreprise à l’autre : il est possible de travailler sur papier, mais le test de reconstruction réel est clairement la meilleure option pour se rassurer.

R – MAINTAIN [Maintenir l’activité métier]

Il s’agit enfin d’évaluer les capacités du métier à travailler en dégradé avant le retour à la normale. C’est un indicateur purement métier, évidemment différent d’un secteur et d’une chaîne à l’autre : il peut s’agir de transactions, de réception de colis ou d’un nombre de passagers en fonction du secteur et de la chaine choisie. Pour le calculer, il est nécessaire de travailler avec le métier sur l’hypothèse d’une indisponibilité long-terme de la chaine critique et d’évaluer le pourcentage de l’activité pouvant être délivrée d’une autre manière. Pour comprendre l’approche de manière théorique, et volontairement provocatrice : un processus métier vulnérable à une attaque cyber, mais dont l’activité peut être maintenue sans SI pendant quelques jours, nécessite-t-il réellement d’augmenter les investissements en cybersécurité ? C’est le type de sujet qu’un Programme de cyber-résilience doit permettre d’arbitrer.

La plupart des stratégies et Programmes de cyber-résilience sur le marché embarquent évidemment cette phase récurrente d’évaluation, en ajoutant au fil des années des menaces cyber et des chaines métier à analyser. Elles pilotent en parallèle un ensemble de projets de cybersécurité, IT et métiers permettant d’augmenter le niveau de résilience. Les Programmes les plus matures maintiennent également des catalogues de solutions permettant d’accélérer la démarche et d’améliorer le scoring des différents métiers (coffres-forts de données, sauvegardes standardisées, partenariats de place, solutions de repli métier mutualisées, etc.).

Nous l’avons vu, une stratégie de cyber-résilience embarque de multiples compétences : la filière cybersécurité pour sélectionner les menaces et évaluer la robustesse des chaines, les métiers pour choisir les chaines critiques et travailler sur la continuité d’activité, l’IT et le Plan de Continuité d’Activité (PCA) pour la gestion de crise et l’évaluation des capacités de reconstruction. La meilleure solution est d’héberger ce type de Programme directement au niveau de la Direction des Opérations, afin d’influer sur toutes ces filières. Or, en réalité, ces Programmes se structurent plutôt actuellement au niveau au niveau du RSSI ou de la Direction des Risques. La clé dans ce cas est de déployer une gouvernance efficace qui permette à toutes les parties-prenantes de rester dans leur domaine d’expertise.

Cet article La Cyber-Résilience, une opportunité pour rapprocher la cybersécurité et les métiers est apparu en premier sur RiskInsight.

Après avoir réalisé plusieurs dizaines d’interventions auprès de comité exécutif, de comités d’audit ou de conseil d’administration, je souhaitais partager avec vous les étapes essentielles pour faire progresser la relation dans la durée. La première phase de ce voyage devra permettre de créer un premier contact et à sensibiliser le comité exécutif aux enjeux de cybersécurité. Première étape, la sensibilisation ! L’objectif pour ces séances est souvent d’arriver à attirer l’attention pour pouvoir déclencher une réflexion plus approfondie dans l’organisation. Nous verrons plus tard les étapes suivantes : présenter un bilan, obtenir un budget, suivre la progression du niveau de sécurité…

Un pré-requis essentiel, savoir d’où l’on part et avec qui l’on va échanger !

Cela peut apparaitre comme un poncif, mais cet élément est certainement le plus important avant d’aller rencontrer un comité exécutif ou un conseil d’administration. Grâce à sa large couverture médiatique, le sujet de la cybersécurité est souvent déjà présent dans l’esprit des exécutifs. Mais leur degré de connaissance du numérique et leur niveau d’appétence pour le sujet peuvent changer complètement la manière d’aborder le sujet. Faudra-t-il être très didactique (en allant jusqu’à réexpliquer le principe de données, d’applications, si si) ou alors faudra-t-il tout de suite aborder des points complexes comme les dernières attaques observées et leurs méthodologies ? Vous seriez surpris de voir la diversité des niveaux entre les entreprises, mais aussi au sein d’un même COMEX. Et il est nécessaire d’intéresser chacun des acteurs, au prix d’avoir des commentaires peu amènes pendant l’intervention.

Il s’agit donc de bien préparer cette première réunion en échangeant avec d’autres membres du COMEX, leurs adjoints ou avec des personnes familières de cette enceinte pour déterminer le ton à adopter et le niveau du discours à tenir. Evidemment, les règles de fonctionnement devront aussi être connues : est-il courant que les questions soient posées au fil de l’eau ? Peut-on interpeller un membre ? Doit-on évoquer dès le début les sujets relatifs à l’entreprise ? Prévoyez de déminer le terrain en amont ! Et même s’il n’y a pas de recette parfaite, je vous livre ci-dessous les éléments que j’utilise le plus souvent pour faire de ces rencontres des moments utiles et efficaces.

Pour commencer, attirer l’attention en dévoilant les coulisses d’une attaque

Les sujets s’enchaînent rapidement durant les COMEX, les directeurs réfléchissent très très vite, il faut donc très rapidement être dans le concret et donner de la matière à réflexion, du vécu. L’élément que je trouve le plus efficace consiste à présenter une attaque récente, parue dans la presse ou ayant touché le secteur, et en décrypter les enjeux et les coulisses : quelle temporalité ? quelle motivation pour les attaquants ? quelles faiblesses dans l’entreprise ? quelle réaction en interne ? publique ? avec les autorités ? Cela aura pour effet de projeter mentalement les directeurs concernés dans leur rôle s’ils vivaient la même chose. Nous avons la chance chez Wavestone de gérer fréquemment des grandes crises cyber et nous utilisons ces éléments, à la fois sous forme de benchmark mais aussi en les anonymisant ou en accord avec les victimes, pour donner un sens très concret à nos retours d’expérience.

Enchaîner avec une généralisation sur la cybercriminalité

Une attaque, c’est bien mais ça n’explique pas tout ! Il s’agit après avoir zoomé sur un cas de le généraliser en expliquant quels sont les ressorts du fonctionnement de la cybercriminalité. Nous analysons alors les motivations des groupes criminels, leurs organisations, mais aussi et peut être surtout comment ils gagent de l’argent !

Expliquer concrètement où en est l’entreprise

C’est le bon moment pour présenter la posture IT de l’entreprise et son organisation actuelle en terme de sécurité. Il s’agit alors de la présenter simplement, avec des images claires et parlantes : êtes-vous plutôt dans un modèle « château fort » à l’ancienne ? Ou avez-vous déjà ouvert vos portes suite à la transformation numérique et avez-vous adopter un modèle porche de l’aéroport ou la sécurité est renforcée plus on va vers des systèmes critiques ? Cela permettra de concrétiser la situation.

Après cette phase de mobilisation et d’explication, vient naturellement la phase d’interrogation par les membres du comité exécutif. « Mais alors nous, nous en sommes ou face à ce risque de cyberattaque ? ». Face à cette question, soit vous avez la chance d’avoir un bilan de maturité fin et vous pouvez tout de suite le présenter, soit vous pouvez amener des premiers éléments qualitatifs voire quantitatifs partiels et expliquer qu’aujourd’hui vous avez besoin d’avoir plus de visibilité. Les éléments qui parlent sont les derniers rapports d’audits, les derniers incidents, des éléments budgétaires.

 

S’il est difficile au début de la démarche de parler budget et de se comparer car les données manquent, il est possible d’utiliser un indicateur simple et efficace, celui de vos effectifs dédiés à la cybersécurité. Nous disposons d’une base de données sur ce point et nous pouvons rapidement montrer à un COMEX où il en est rien que par sa mobilisation sur le plan RH. C’est simple et efficace pour les convaincre !

Ne pas repartir bredouille

Le risque majeur de cette sensibilisation, c’est que tout se passe bien mais que rien ne bouge ! En effet, vous pouvez avoir un message positif, « merci et rendez-vous dans un an pour une mise à jour », vous serez content mais vous n’aurez pas débloqué pour autant la situation. Il faut alors bien préparer l’étape d’après en indiquant dès cette présentation les principaux points de faiblesses ou de force ressenti et de quelle manière vous souhaiteriez les évaluer de manière plus précise.

En effet la deuxième étape est souvent la réalisation d’un bilan de maturité dédié pour bien savoir comment se positionner ! Si à ce moment, la réunion s’est déroulé, le COMEX intrigué et intéressé par le sujet voudra en savoir plus et donnera un accord de principe. Attention cela ne sera peut-être pas directement un budget, il vous renverra certainement vers le DSI ou le directeur des risques pour l’obtenir, mais vous aurez avec leur accord un levier formidable pour passer à l’étape d’après ! Rendez-vous au prochain épisode.

Cet article Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation ! est apparu en premier sur RiskInsight.

Il y a 10-15 ans, la vie était simple.

Un schéma directeur pouvait se construire en quelques entretiens avec le RSSI et son équipe, « à dire d’experts ». Pour apporter une logique, on se basait sur un modèle imagé type château fort ou aéroport qui servait de (bon) prétexte à la mise en place des fondamentaux et permettait d’expliquer les choix… Les attaques semblaient encore lointaines, la cyber était moins dispersée qu’aujourd’hui et tous les schémas directeurs se ressemblaient plus ou moins (une manière plus élégante de dire que tout le monde partait à peu près de zéro). Rappelez-vous, c’était la grande époque des PKI, des premiers SOC, du cloisonnement Datacenter, des débats IDS vs IPS, du BYOD… pour ne citer que ces sujets. Bien sûr, les chantiers étaient in fine justifiés par une couverture de risques (fraude, fuite d’information, propagation de malware…), mais soyons honnêtes : cette justification était souvent effectuée a posteriori, pour rassurer. Avec un peu de recul, ces stratégies cyber ont surtout eu un vrai rôle de sensibilisation / formation du top management, progressivement impliqué dans les choix et les discussions.

En 2020, le contexte a beaucoup changé. Le simple « dire d’expert » ne suffit plus : certains grands comptes investissent désormais des centaines de millions d’euros par an pour la cybersécurité, et les comités exécutifs exigent davantage de preuves quant à l’efficacité de la stratégie déployée. D’autant plus que les « fondamentaux » (patching, bastion…) sont désormais complétés par un arsenal de mesures toutes plus spécifiques les unes que les autres qui interrogent sur la pertinence d’une stratégie unique, pour une grande entreprise. Il est clair par exemple qu’entre une banque de détail focalisée sur la fuite de données client, et une banque d’investissement craignant surtout des indisponibilités sur certaines chaines de trading… les priorités sont différentes. La crise actuelle risque très certainement de renforcer cette tendance : les stratégies doivent désormais s’adapter beaucoup plus finement aux métiers.

Une stratégie pragmatique et agile, alignée sur les priorités business

Les premiers mois de travail sont toujours consacrés à la méthode qui amènera rigueur et crédibilité auprès du management et des régulateurs. Très concrètement, il s’agit de définir le Framework cyber de l’entreprise et une méthode permettant à chaque entité de définir son Target Profile (cible à atteindre sur le Framework). Terminée la stratégie trop monolithique, place à une stratégie différenciée par entité !

Les grandes entreprises ne se posent plus trop de questions sur le Framework : NIST et ses 110 contrôles s’impose définitivement comme le leader du marché. Les 5 fonctions (protect, detect…) sont très parlantes auprès du management, le rythme de mise à jour (3 ans) est acceptable… et surtout sa popularité favorise le Benchmark. Mais après tout, peu importe le Framework retenu : ISO ou CIS peuvent très bien faire l’affaire… l’essentiel est de se caler sur une référence du marché. Notons que la plupart des entreprises ne se privent pas de préciser les contrôles pour les rendre plus pragmatiques : EDR, SOAR, sécurité AD, anti-fraude… le Framework agit tout simplement comme une bibliothèque de contrôles potentiels sur laquelle l’entreprise va s’appuyer pour établir sa stratégie.

Il est maintenant temps de définir la cible à atteindre sur le Framework ! Dans les grandes entreprises, le Groupe impose souvent un premier niveau de sécurité pour tous, correspondant à la poursuite des fondamentaux : SOC, bastion, patching… La plupart des attaques systémiques exploitent encore ces faiblesses, et le risque de propagation inter-entités doit être géré de manière transverse. Cette cible commune est assez similaire d’une entreprise à l’autre, et est en général établie à partir de benchmarks fournis par le marché du conseil. Plus challenging, chaque entité est ensuite amenée à définir sa propre cible, selon ses enjeux propres. Attention, la mécanique de mapping et de pondération entre les contrôles du Framework et la cartographie des risques peut s’avérer complexe… ce n’est pas pour rien que certaines start-ups comme Citalid se positionnent sur ce marché. La clé est souvent de sortir de la filière cyber et travailler conjointement avec la Direction des Risques !

Ça y est… le plus dur est fait : le Framework est construit et les entités ont défini leur cible. Il s’agit maintenant de prendre du recul pour identifier les grands projets à lancer et rendre la stratégie compréhensible par tous !

Les incontournables du moment : sécurité de l’AD et IAM

Les chiffres issus des stratégies cyber des grandes entreprises françaises ont de quoi donner le tournis : 10-20M d’investissement en moyenne par an dans le secteur de l’industrie, et jusqu’à 100-150M par an pour les Services Financiers. Chaque stratégie est différente – c’est tout l’objet de l’approche par les risques – mais les retours d’expérience récents montrent que les budgets s’équilibrent plutôt équitablement entre 4 natures de chantiers : 1. Les fondations sécurité (patching, sensibilisation, sécurité des admins…) 2. La protection des environnements sensibles (LPM, sécurité AD, data protection…) 3. La convergence zero-trust (inventaires, IAM, risk-based authentification, conformité…) 4. La cyber-résilience (détection, gestion de crise, reconstruction, continuité métier…). Il y a quelques années, le SOC et la LPM ressortaient définitivement comme les sujets les plus prioritaires. Ils sont aujourd’hui très largement concurrencés par la sécurité de l’Active Directory et l’IAM… Il suffit de se pencher sur les modes opératoires des attaques récentes pour obtenir une explication à cette tendance.

Nous en sommes tous convaincus : une stratégie cyber est un outil essentiel pour donner le cap, fédérer les actions et impliquer le management. Mais pas seulement ! Établir un schéma directeur pluriannuel est une formidable opportunité pour embarquer les équipes autour d’un objectif commun. Certaines filières sécurité sont passées de quelques dizaines de personnes, à plusieurs centaines voire milliers en l’espace de quelques années, et de nombreux employés sont actuellement en quête de sens (cela fera probablement l’objet d’un prochain blogpost). Je ne peux que vous recommander de profiter de ce « moment » qu’est la création de la stratégie pour créer une aspiration, un enthousiasme, un vrai esprit d’équipe dans la filière… c’est le moment idéal : multipliez les groupes de travail, impliquez un maximum de collaborateurs, adoptez une démarche transparente, faites challenger les équipes par le top management… bref, transformez cette construction de stratégie un événement de filière ! Vous verrez, c’est encore plus sympa comme çà

Cet article Définir une stratégie cybersécurité dans une grande entreprise – Retours d’expérience est apparu en premier sur RiskInsight.

Différentes stratégies pour se prémunir des deepfakes

En parallèle du cadre légal, les organisations publiques et privées s’organisent pour proposer des solutions permettant de détecter et d’empêcher la diffusion malveillante de deepfakes. On peut distinguer quatre stratégies pour s’en prémunir.

1/ La détection d’imperfections

Détecter les deepfakes par leurs imperfections est l’une des principales méthodes existantes. Certaines irrégularités restent présentes dans les contenus générés, comme le manque de clignements des yeux et de synchronisation entre les lèvres et la voix, les distorsions du visage et des accessoires (branches de lunettes), ou encore l’inexactitude du contexte (météo, localisation).

Les deepfakes sont cependant construits pour apprendre de leurs erreurs et générer un contenu de plus en plus proche de l’original, rendant les imperfections moins perceptibles. Les outils utilisant cette stratégie de détection des deepfakes peuvent être efficaces mais nécessitent d’être sans cesse améliorés pour détecter des anomalies de plus en plus légères.

On peut citer dans cette catégorie de protection Assembler, un outil à destination des journalistes développé par Jigsaw (branche d’Alphabet, maison-mère de Google). Il permet de vérifier l’authenticité des contenus en les analysant via cinq détecteurs dont les anomalies de motifs et de couleurs, les zones copiées et collées, et les caractéristiques connues d’algorithmes de deepfakes.

2/ Le screening et l’analyse comparative

Comparer les contenus à une base de données de vrais ou en cherchant des contenus similaires sur les moteurs de recherche pour voir s’ils n’ont pas été manipulés (par exemple, en trouvant la même vidéo avec un visage différent) est une autre stratégie permettant de se prémunir des deepfakes.

En 2020, la AI Foundation devrait rendre disponible un plug-in, Reality Defender, à intégrer aux navigateurs et à insérer à terme aux réseaux sociaux. Celui-ci permettra de détecter les manipulations des contenus, ciblant dans un premier temps les politiciens. Les utilisateurs seront amenés à régler la sensibilité de cet outil, selon les manipulations qu’ils voudront détecter ou non pour ne pas être notifiés à chaque manipulations de média, notamment pour les manipulations les plus courantes (retouches d’une photo de la page Web faite sur Photoshop par exemple).

3/ Le tatouage numérique (watermarking)

Une troisième méthode consiste à marquer les contenus d’un tatouage numérique pour faciliter le processus d’authentification en en renseignant la source et en suivant les manipulations réalisées sur ces contenus.

Une équipe de l’Université de New York travaille sur un projet de recherche de création d’un appareil photo embarquant une technologie de watermarking destinée à marquer les contenus photographiés, afin non seulement d’authentifier la photographie d’origine, mais aussi de marquer et suivre toutes les modifications opérées sur la photographie pendant son cycle de vie.

4/ L’implication du facteur humain

Impliquer les utilisateurs dans le processus de détection permet à la fois de mitiger les impacts des deepfakes en faisant prendre conscience que l’altération des contenus accédés est possible, et de réduire leur occurrence en leur permettant de reporter leurs suspicions de deepfakes.

Le plugin Reality Defender déjà évoqué offrira la possibilité aux utilisateurs de signaler les contenus qu’ils jugent faux pour en informer les autres utilisateurs – qui en plus de l’analyse réalisée par l’outil verront si les contenus ont été signalés par d’autres utilisateurs, offrant un second niveau de signalisation.

Des initiatives portées par des coopérations d’acteurs multisectoriels combinent ces quatre stratégies pour une efficacité maximale contre les deepfakes. Certaines sont déjà utilisées ou testées par des journalistes. C’est le cas de InVID, initiative développée dans le cadre du programme de l’Union Européenne Horizon 2020 de financement de la recherche et de l’innovation, utilisé par l’Agence France-Presse.

Des solutions et stratégies émergent donc, le marché se construit, et de nouvelles solutions innovantes devraient apparaitre très prochainement avec les résultats du Deepfake Detection Challenge. Ce concours anti-deepfake a été lancé par Facebook à l’approche des élections présidentielles américaines, et plus de 2600 équipes s’y sont inscrites. Résultats le 22 avril !

Ci-dessous un tableau présentant des exemples d’initiatives combinant différentes stratégies pour se prémunir des deepfakes.

Différents moyens pour protéger son activité

Le risque présenté par les deepfakes pour les entreprises est bien réel et voici quelques actions clés à lancer pour s’en protéger et mitiger ses impacts dès maintenant.

• Evaluer son exposition : Les cas d’usage des deepfakes et le worst-case scenario de leur utilisation doivent être déterminés sur les périmètres de l’entreprise, en considérant les risques de fraude et de déstabilisation, et en identifiant la ou les stratégies de sécurité adaptées.

• Sensibiliser : Les collaborateurs doivent être sensibilisés à la détection des deepfakes (pour éviter les cas de fraudes) mais aussi à la limitation des contenus partagés sur les réseaux sociaux pouvant être réutilisés pour produire des deepfakes (pour éviter la déstabilisation). A l’image des campagnes de faux phishing, cette sensibilisation porte à la fois sur la détection des défauts techniques (forme) des deepfakes (bien qu’elles seront amenées à disparaître avec le perfectionnement des techniques), mais surtout sur la détection du caractère suspect des informations (fond), invitant à la méfiance, au recoupement des informations et à la notification de suspicions aux équipes compétentes (que faire si je vois une vidéo suspecte de mon responsable communication sur les réseaux sociaux pendant le week-end ? Que faire si je reçois un message vocal de mon chef me demandant de réaliser une opération ponctuelle un peu hors de mon périmètre ?).

• Adapter ses processus de vérification : Les plans anti-fraude existants peuvent être repensés pour s’appliquer aux deepfakes. Par exemple, pour une fraude au président via deepfakes, une des recommandations est de proposer à son interlocuteur de raccrocher et le rappeler (si possible sur un numéro déjà connu, et après des vérifications internes). Pour les scénarios de fraudes les plus sensibles, ces processus de réactions doivent être définis très finement et les collaborateurs concernés régulièrement formés aux réflexes à adopter. Des outils tels que définis précédemment peuvent également être utilisés pour vérifier tout ou partie des médias consommés par les collaborateurs.

• Protéger ses contenus : Les contenus représentant des collaborateurs partagés en interne et en externe par l’entreprise peuvent être contrôlés pour éviter qu’ils ne soient réutilisés pour produire des deepfakes. Les entreprises peuvent limiter la diversité des données potentiellement utilisables par des personnes malintentionnées (angles de vues des personnes et types de médias) et jouer sur la qualité numérique (définition) des contenus partagés. En effet, plus les attaquants bénéficient de contenus divers et de bonne qualité représentant des collaborateurs, plus il est facile de les réutiliser pour générer des deepfakes. De plus, les entreprises peuvent limiter leurs moyens de communication à une chaine officielle, des réseaux sociaux vérifiés et leurs sites web officiels – ce qui crée des habitudes de consommation de contenus par l’audience, qui verra sa méfiance éveillée par toute diffusion sortant de ces habitudes.

• Anticiper les crises : Les besoins de communications en cas d’incident avéré lié aux deepfakes doivent être prévus, et la gestion du cas du deepfake doit intégrer les scénarios de communications « génériques » adressés dans les plans de communication de crise.

Cet article Cybersécurité à l’heure du deepfake – Comment agir face à de fausses informations de plus en plus crédibles ? (2/2) est apparu en premier sur RiskInsight.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

2018 a évidemment vu s’élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (LPM, NIS) ou sectorielles (NYS DFS, HKMA, MAS…) ont également rythmé l’année.

Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :

• Le maintien des ransomware en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;
• La multiplication des incidents de plus faible intensité que les ransomware massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;
• Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques MageCart touchant le cœur du fonctionnement des sites Internet.

Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.

Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2…), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes :  l’agilité, le cloud et l’API-fication des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.

Les 3 axes de la révolution du SI en 2019

Agilité : plus réactif, plus rapide, plus simple

Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité.  Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.

Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les Feature Teams pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des Product Owners portant des services de sécurité apparaîtront pour délivrer de la cybersécurité as a service au sein de l’organisation.

Cloud : sécurisé par défaut, multiple, automatisé

Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le Cloud-first, voire pour nos clients les plus avancés le Cloud-Only. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’Active Directory.

Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.

Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.

Le cloud, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, MFA, Identity Governance, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le cloud. Le multicloud basé sur 2 fournisseurs deviendra une priorité pour permettre la continuité des services.

API-fication : de multiples nouvelles portes d’entrée pour le SI

Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation DSP2, l’API-fication touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.

Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si l’API-fication pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme Google ou Facebook parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.

Si le RSSI veut reprendre en main le terrain de jeu de l’API-fication, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.

Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences

Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :

• Refondre la PSSI et la gouvernance. Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le cybersecurity framework du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;
• Revoir en profondeur les processus d’intégration de la sécurité dans les projets. Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS Risk Manager» par une approche combinant conformité et scénarios d’attaque ;
• Anticiper et s’adapter à une pénurie de talent récurrente. Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le cloud, l’instauration d’un cadre fort instaurant les principes de security by design permettront des limiter les efforts. De même, la création d’offres de services sécurité, le near voire offshoring pour des services standardisés peuvent être des solutions.

Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’empowerment (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.

Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI

• La cyber-résilience bâtie sur le cloud : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;
• Le SOC est mort, vivent les Fusion Centers regroupant des savoir-faire techniques et métiers, permettant d’appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de machine learning, le SOC pourra détecter les attaques plus finement et plus rapidement ;
• Le début de la fin pour les mots de passe : des initiatives comme le 0-password, le déploiement de FIDO2, la biométrie dans le cadre du 2FA ou encore la généralisation des coffres-forts permettent de l’envisager ;
• L’IA et le machine learning représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement…) dans les projets métier incluant de l’IA ;
• Les tiers et les fournisseurs sous microscope : de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme CyberVadis ou Risk Ledger abordent ce problème sous un angle neuf.

Faire de la sécurité un différenciateur vis-à-vis des clients de l’entreprise

Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.

En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le core-business.

Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :

• L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;
• Les opérateurs télécom, dont certains promeuvent leur nouvelle box avec des services de cybersécurité comme la détection de vulnérabilités ;
• Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.

Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.

Alors pourquoi pas vous ?

Cet article 2019 : Le RSSI au cœur de la révolution du SI est apparu en premier sur RiskInsight.

Muscler la gestion de crise

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc nécessaire d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer la dimension cyber.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agira donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction de plan de défense.

Au-delà de l’aspect organisationnel, il faudra s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs ou de « vaccin », isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés sur le SI, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La définition d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Repenser les dispositifs de continuité

Les dispositifs de continuité doivent également évoluer pour s’adapter aux menaces cyber. Les solutions possibles sont nombreuses et peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certains établissements ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les délivrer rapidement en cas de destruction physique.

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyberattaque. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir, mais qui est envisagée pour certaines applications critiques dans le monde de la finance (notamment les infrastructures de paiement à caractère systémique).

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative (« multi-level controls »). Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau (« floodgate ») que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilience n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager (RM) – ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) – sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RM ou son RPCA prendra tout son rôle.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (2/2) est apparu en premier sur RiskInsight.

Face à une cyberattaque majeure, qu’elle soit destructive ou qu’elle entraîne une perte de confiance dans les systèmes clés, le premier réflexe pour une majorité d’entreprises est d’activer le plan de continuité d’activité (PCA). Celui-ci est un élément majeur de la stratégie de résilience des organisations ; afin d’en assurer la survie lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs.

Or les cyberattaques majeures, destructives comme Wannacry ou NotPetya ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) comme les attaques ciblées en profondeur (APT), n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers, focalisés sur un enjeu de disponibilité, n’appréhendent pas les problématiques de la destruction simultanée et de la perte de confiance dans le SI induites par les cyberattaques.

En effet, les dispositifs de continuité du SI, le plus souvent liés aux ressources qu’ils protègent, sont également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyberattaques.

Quelles vulnérabilités pour les dispositifs de continuité ?

À titre d’exemple, lors d’une intervention de crise suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée. Malheureusement ceux-ci avaient été détruits de la même manière que les sites nominaux car ils partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé à ce moment très vains.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI.

Malheureusement, en cas de compromission en profondeur, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments malveillants : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants. De plus, la continuité en tant que telle des systèmes de sauvegarde est souvent négligée. Lors de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes ont eux-mêmes été détruits. Les restaurer a pris plusieurs jours vu leur complexité et leur imbrication dans le SI (nécessité de disposer d’un ActiveDirectory pour lancer des restaurations alors que la sauvegarde de l’AD était nécessaire pour le reconstruire, reconstruction de l’index des bandes de sauvegardes détruit avec le reste…).

S’agissant des SI industriels, les constats sont tout aussi manifestes. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ne disposent souvent pas de mécanismes de sécurité avancés. Du reste, leur cycle de vie long (plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités parfois anciennes. Enfin l’indépendance des chaînes de contrôle (Systèmes Instrumentés de Sécurité, cf. encadré ci-après) vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours appliquée.

Des scénarios d’attaques majeures illustrés par des attaques récentes

La destruction logique ou l’indisponibilité d’une grande partie du système d’information.

Concrétisé par les attaques de vrai-faux rançongiciels Wannacry et NotPetya, ce type d’attaque entraîne une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par ce type d’attaque (Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h. La situation au démarrage de la crise est très difficile car il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes de plusieurs centaines de millions d’euros suite à ces attaques.

La compromission et la perte de confiance dans le système d’information

Il s’agit d’attaques ciblées qui ne remettent en pas en cause le bon fonctionnement du système mais qui visent à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…), leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi exfiltrer tout type de données ou réaliser des actions métiers demandant plusieurs validations successives. Ces attaques ont touché de très nombreuses entreprises dans tous les secteurs avec comme conséquences des fraudes massives, comme celles ayant touché la banque du Bangladesh, ou des vols de données financières et de paiements comme celles ayant touchés plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot. La situation au démarrage de la crise est complexe en raison d’une conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il s’agit alors d’investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes touchées par ces attaques ont fait état d’impacts financiers de plusieurs centaines de millions d’euros.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (1/2) est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

La transformation numérique : entre enjeu stratégique et menaces

La transformation numérique actuelle des entreprises se manifeste par une concentration et une circulation accrue de données. Ces dernières sont de plus en plus manipulées par des systèmes généralement non maîtrisés de bout en bout (big data, cloud, réseau social d’entreprise, etc.). Cette transformation numérique s’inscrit de plus dans un contexte d’allongement de la chaîne de prestataires et de partenaires (entreprise étendue), d’une mobilité et d’usages facilités (BYOD) et d’une attente forte d’immédiateté et de disponibilité de la part des clients et des collaborateurs. Concrètement cela engendre la mise en place d’outils transverses permettant de répondre à des enjeux d’agilité et de collaboration en cassant les silos entre les entités, mais avec des collaborateurs ou des clients peu formés aux nouveaux usages apportés.

Cette évolution rapide à laquelle aucun secteur d’activité n’échappe, entraine des risques qu’ils s’avèrent nécessaire d’identifier et de maitriser. Ces risques, loin d’être limités aux systèmes d’information, sont éminemment transverses et représentatifs de l’interconnexion existante entre les différents métiers.

Dans ce contexte, l’enjeu pour les directions en charge des risques (Juridique, Conformité, Risque, Contrôle Interne, Sécurité IT et Audit, etc.) est d’évaluer les risques liés à la transformation numérique et de garantir la continuité, la disponibilité ainsi que la protection des données et des applications.

La transformation numérique : révélateur et catalyseur des risques

La transformation numérique ne va pas générer de nouveaux risques mais va agir comme un catalyseur des problématiques déjà existantes. En effet, un tel programme va nécessiter de prendre en compte les besoins des métiers et de regarder les impacts potentiels (outils, processus métiers, etc.). Une lecture par les risques va permettre de faire resurgir toutes les problématiques et de réévaluer les risques et les dispositifs de couverture à la lumière du nouveau contexte.

L’identification des risques doit être accompagnée par la réalisation d’une cartographie des risques afin d’y intégrer les différentes problématiques concernées. En d’autres termes cela revient à regarder l’ensemble des risques qui pèsent sur la « donnée » dans ce nouveau contexte : compliance/juridique, sécurité, RH. À cela, peuvent également s’ajouter des risques d’image ou liés à la gouvernance.

Trois typologies de risques doivent être regardées avec une attention toute particulière :

Les risques réglementaires : l’identification des contraintes réglementaires sur la donnée

Depuis plusieurs années, les régulateurs ont commencé à s’intéresser à la manière dont les entreprises manipulent et sécurisent les données, ce qui a eu pour conséquence un renforcement croissant des contraintes réglementaires autour de ce sujet : nouveau règlement européen, durcissement du droit Russe, etc.

Compte tenu de cet environnement, les entreprises doivent identifier les réglementations auxquelles elles sont assujetties, les contraintes potentielles qu’elles peuvent générer et qui éventuellement ne sont pas respectées (partage de données bancaires ou de données industrielles hors du pays propriétaire, partage non encadré de données à caractère personnel hors de l’Union Européenne, etc.).

Une fois les contraintes identifiées, il est nécessaire de mettre en place les dispositifs adéquats pour y répondre : par exemple les Binding Corporate Rules (BCR) qui assurent une protection et une manipulation conforme des données à caractère personnel.

Les risques de sécurité SI : la sécurisation des données et des outils

Dans un monde digitalisé, les données peuvent être volatiles passant d’un outil à un autre facilement (emails, outils collaboratifs, applications mobiles, etc.). Il est donc nécessaire de formaliser un cadre clair (principes, règles, etc.) pour sécuriser l’information de bout en bout.

Au-delà du volet organisationnel et fonctionnel, il est également important de prendre en compte les contraintes d’architecture des systèmes d’information afin d’être en adéquation avec les enjeux de sécurisation (serveurs locaux, synchronisation ou non des données, enregistrement de population, etc.).

Les risques liés à la « conduite du changement » : l’évolution des dispositifs RH

La conduite du changement ne doit pas être limitée à la sensibilisation des collaborateurs sur les nouveaux outils ou les nouvelles modalités de travail. En effet, la transformation numérique peut avoir un impact profond sur le fonctionnement même d’une entreprise (management 2.0, mobilité, télétravail, Flex office, etc.). Il convient donc d’adapter les dispositifs RH existants et d’accompagner le collaborateur.

Par conséquent, un travail de formation et de sensibilisation doit être mené d’une part auprès des collaborateurs et des managers, mais également auprès des instances représentatives du personnel en les impliquant dès le départ dans le projet.

Traitement des risques liés à la transformation numérique : adopter une approche collaborative

Les risques liés à la transformation numérique embarquent une transversalité qui peut entrainer une difficulté lors de l’identification des porteurs et des actions à réaliser pour traiter lesdits risques. Cette difficulté est due à un périmètre des risques très large qui peut s’étendre sur plusieurs métiers ou sur plusieurs fonctions risques. Ainsi, il est nécessaire d’organiser une collaboration entre tous les acteurs pour prendre en compte cette transversalité et pour s’assurer in fine qu’il ne réside pas de zones de vulnérabilités pouvant être exploitées (cyber-attaque, fraude, indisponibilité, non-respect de la réglementation, etc.).

Cette collaboration doit être organisée à l’aide de quatre principes structurants :

• S’appuyer sur les programmes de transformation pour lancer les travaux sur les risques. En effet, les différents acteurs à mobiliser ont souvent peu l’habitude de travailler ensemble. Le « prétexte » d’un programme sur un sujet d’actualité doit permettre de créer une véritable dynamique,

• Réunir une équipe pluridisciplinaire composée de différentes fonctions et domaines d’expertises afin de confronter l’ensemble des points de vue,

• Accepter la remise en cause des dispositifs existants. La transformation numérique peut entrainer de profondes modifications dans l’organisation de l’entreprise, par conséquent, il peut également s’avérer nécessaire de faire évoluer le cadre normatif (dispositif de contrôle interne, nouvelles règles de gestion, etc.),

• Mettre en place une instance transverse afin de partager les avancements sur les travaux et disposer d’un niveau de validation nécessaire pour entériner les productions.

Aujourd’hui les entreprises s’appuient sur de nombreux référentiels pour aider l’identification et le traitement des risques (méthodologies internes, ISO 27005, ISO 31000, etc.).  Toutefois, le nouveau cadre que vient imposer la transformation numérique montre les limites de ces modèles qui ne prennent pas ou peu en compte la transversalité et les nouvelles connexions entre les métiers et les technologies. L’un des objectifs à venir pour les acteurs de la maitrise des risques est de faire évoluer rapidement les dispositifs et méthodologies existants afin de faire face à ces nouveaux enjeux.

Cet article Quels risques pour la transformation numérique ? est apparu en premier sur RiskInsight.

Un modèle de sécurité en château fort qui a atteint ses limites

Historiquement, le système d’information a été construit de manière à être isolé de l’extérieur via une muraille constituée des équipements de sécurité (pare-feu, reverse-proxy, DMZ etc.). Il repose  sur un espace de confiance quasiment unique, à l’intérieur du périmètre, avec un accès facile aux ressources de l’entreprise.

Par analogie, ce modèle historique est associé à un château-fort : entouré de murs renforcés, il dispose d’un seul point d’entrée surveillé mais ensuite le circulation est libre dans la la cité.

Ce modèle ne peut plus accompagner l’évolution des cyberattaques, plus précises et pointues. Elles savent viser directement le cœur du SI en pénétrant directement les ordinateurs des collaborateurs sans être arrêtées par la muraille, tel le cheval de Troie de la Grèce antique.

Ce modèle ne permet pas non plus de tirer tous les fruits de la transformation numérique. Celle-ci a amené les entreprises à changer fondamentalement leur conception du Système d’Information : elles sont passées d’un modèle fermé  vers l’extérieur à ouvert. D’un point de vue client et partenaires, certaines informations sont directement accessibles via Internet et les applications mobiles.  D’un point de vue du SI, l’externalisation est une réalité du quotidien, poussé encore plus aujourd’hui par le mouvement vers le cloud. D’un point de vue utilisateur, les collaborateurs utilisent de plus en plus d’outils personnels : BYOD, webmails personnels et applications personnelles sur les smartphones s’invitent dans l’environnement de travail. Toutes ces évolutions inéluctables rendent caduque la notion de périmètre.

Place à un nouveau modèle : l’aéroport

L’évolution du modèle de sécurité est donc nécessaire. Pour répondre à ces nouveaux enjeux, le modèle qui est aujourd’hui le plus adapté est celui de l’aéroport. Un aéroport est composé de zones d’accueil ouvertes au public permettant d’informer les clients ou encore de réaliser des ventes avec un niveau de contrôle minimum et adapté au contexte du pays. L’aéroport contient aussi des zones beaucoup plus sécurisées et en accès limité comme le tarmac ou les avions. Les contrôles sont de plus en plus poussés au fur et à mesure que l’on accède à des zones plus sensibles.

En sécurité de l’information, cela se traduit par des mesures de sécurité telles que des contrôles d’authentification plus ou moins élaborées (authentification forte, usage de la biométrie…), des contrôles d’intégrité et de bons usages (IDS/IPS, DLP…) afin de maitriser les accès aux zones contenant les informations sensibles de l’entreprise, et maîtriser leur manipulation.

Dans le modèle de l’aéroport, en plus des mesures de protection, il est essentiel de pouvoir détecter les éventuelles anomalies ou incidents et d’être en capacité de réagir rapidement et efficacement. C’est le rôle de la tour de contrôle, qui a pour mission de regarder au plus près (ce qui se passe dans le périmètre de l’aéroport) mais aussi au loin (les avions en approche). La tour de contrôle est capable réagir rapidement en cas de problème et d’apporter une réponse adaptée, voire d’appeler des renforts si besoin. Dans l’entreprise, ce rôle de surveillance doit être tenu par le SOC (Security Operation Center), avec si besoin le d’équipes dédiées  à la gestion de crise cyber.

Pour que ce modèle reste viable dans le temps et afin d’être efficace face à l’évolution de la menace, la revue régulière de ces mesures de sécurité est essentielle. Les avions avant de décoller subissent un contrôle de leur niveau de sécurité et les pannes sont anticipées avec la maintenance préventive, il doit en être de même pour les mesures de sécurité : habilitations, contrôles, mise à jour doivent être en continuelle évolution.

Un projet de transformation à part entière

L’enjeu majeur de cette évolution ne sera par l’acquisition de nouvelles solutions de sécurité, bien souvent les pierres du château-fort pourront être utilisées pour bâtir l’aéroport. L’enjeu sera avant tout de structurer un vrai programme de transformation pour la sécurité du SI.

Programme mêlant des évolutions technologiques (souvent principalement autour de la détection des attaques), organisationnelles (responsabilisation des équipes en particulier de maitrise d’ouvrage et de développement, intégration des nouveaux processus de contrôle…) mais aussi qui devra diffuser dans tous les projets SI les principes d’évaluation des risques et d’architectures associés. La tentation est parfois grande de mettre des systèmes sensibles mais non sécurisés directement dans le hall de l’aéroport accessibles à tous…

Le pilotage irréprochable de ce programme et la démonstration de son efficacité par la réduction des risques seront les facteur clé de la réussite de cette transformation !

Cet article L’évolution du modèle de sécurité : du château-fort à l’aéroport est apparu en premier sur RiskInsight.

Comment construire sa stratégie de repli ? Quelles solutions retenir ?

Connaître ses Métiers critiques

Il est tout d’abord nécessaire de réaliser un Bilan d’Impact d’Activité (Business Impact Analysis ou BIA), qui permettra de cartographier les activités Métiers (notamment en les localisant géographiquement), quantifier l’impact de l’interruption de ces activités dans le temps sur un référentiel partagé (Le BIA permet donc la définition d’un chronogramme de reprise des activités du site en cas de sinistre), et enfin de connaître les spécificités opérationnelles des Métiers afin d’identifier les contraintes techniques qui devront être prises en compte lors d’un éventuel repli (poste de travail spécifique, téléphonie enregistrée, équipement call-center pour les centres de relation client, lecteur de chèques, …)

Identifier exhaustivement les solutions à envisager

Une multitude de solutions permettant un repli de collaborateurs existent à l’heure actuelle :

• Site de repli interne dédié : bâtiment possédé par l’organisation et dédié au PCA
• Site de repli externe, au travers de positions de travail louées et utilisées en cas de crise, selon 2 modèles de location : positions dédiées au souscripteur, positions mutualisées entre plusieurs clients (cette dernière soulevant le risque de non obtention du volume de position souscrites en cas de choc extrême touchant simultanément plusieurs structures)
• Repli croisé entre les sites de l’organisation : réquisition de bureaux disponibles et des salles de réunion des bâtiments non sinistrés et déploiement de postes de travail aux collaborateurs repliés par l’organisation.
• Le Nomadisme ou travail à distance, grâce à des solutions appropriées permettant aux collaborateurs de travailler de chez eux (postes nomades, accès distants au SI, etc.). Cette solution de repli est relativement bien adaptée aux métiers « prédisposés » au travail à distance, avec une faible spécificité opérationnelle (par ex. les populations commerciales.

La stratégie de repli : un portefeuille de solutions à orchestrer

La confrontation des solutions de repli (capacité d’activation dans le temps, contraintes techniques) au BIA (chronogramme de reprise, spécificités opérationnelles) va permettre la conception d’une stratégie globale constituée de la combinaison de solutions unitaires, adaptées à un contexte, des contraintes Métiers et des contraintes de l’organisation. Cette association en un portefeuille de solutions permet de répondre efficacement aux enjeux de la reprise d’activités.

On peut donc, par exemple, envisager une « fusée à 2 étages ».

Les activités critiques, dont la reprise très rapide est vitale (reprise en moins de 48h)

En général, la reprise de ces activités s’envisage sur un site dédié et déjà préparé (postes de travail, raccordement réseau, téléphonie), sur un site de l’organisation ou chez un prestataire.

On peut notamment penser à des activités de front office, de call center, ou encore de fonctions supports très sensibles, alliant au besoin de reprise fort des contraintes opérationnelles complexes à mettre en œuvre rapidement (stations de travail scientifique, téléphonie enregistrée).

Les activités moyennement critiques (reprise à partir de 48h) et les activités non critiques (reprise au-delà de 1 à 2 semaines

Le panel de solutions est large : si le repli chez des prestataires reste d’actualité, on peut dorénavant penser à des solutions moins couteuses, mais nécessitant un certain temps de déploiement opérationnel : repli croisé, nomadisme ou encore déport d’activité. Il est toutefois important de prendre en compte un certain nombre de contraintes lorsque l’on se tourne vers des solutions « internes »  (accès réseau, fourniture de postes de travail, …).

Cette première réflexion permettra de donner naissance à plusieurs scénarios de repli, qu’il conviendra d’évaluer selon des critères choisis : coûts de la solution de continuité (investissement, coût récurrent de maintenance annuelle), capacité à répondre au besoin (reprise des activités techniques, capacité d’activation, …), couverture de risque : capacité à être utilisable sur plusieurs scénarios de risques (par ex. perte d’un bâtiment, pandémie, …), complexité de mise en œuvre de la solution de repli, maintien en conditions opérationnelles (MCO) (complexité et charge du MCO, maintien de la situation dans le temps, …), testabilité de la solution (bascule, ouvertures des accès, …)

A titre d’exemple, on peut imaginer les analyses comparatives représentées ci-dessous :

Enfin, dans le cadre de la mise en place d’une solution s’appuyant sur du repli, un point d’attention est à prendre en compte : la définition de modalités RH. En effet, les conditions de travail des collaborateurs se trouvant modifiées, il est nécessaire de définir un cadre dans lequel s’inscrire en situation de crise.

Cet article Indisponibilité d’un site utilisateur : quelle(s) stratégie(s) de repli ? est apparu en premier sur RiskInsight.

Des choix tactiques à court terme assez homogènes…

Il n’est pas surprenant aujourd’hui de voir bon nombre de DSI s’orienter vers les mêmes services Cloud, comme la mise à disposition de machines virtuelles ou de plateformes web, ou encore la messagerie en mode SaaS. Les travaux déjà réalisés en matière de virtualisation des infrastructures, d’externalisation des opérations IT et de standardisation des architectures web simplifient du reste l’évolution vers ce type de services.

Déployer de tels services relève plutôt d’une approche tactique, qui permet à la DSI d’obtenir des succès rapides et de démontrer sa capacité à offrir des services de type Cloud, tout en commençant à se confronter à ses impacts et à la réalité des offres du marché.

 …en attendant une stratégie Cloud plus spécifique

Ces services ne constituent toutefois qu’une 1^ère étape, la stratégie Cloud de chaque entreprise devant se bâtir sur une analyse plus fine du patrimoine SI de l’entreprise, application par application, comme l’illustre notre « arbre de décision Cloud » (voir schéma).

 Cette analyse peut se faire dès à présent par le biais de l’incubateur Cloud qui, au fur et à mesure qu’il identifiera les périmètres éligibles, sera en mesure de bâtir un catalogue de services cibles et une roadmap permettant de rythmer l’adoption des services Cloud. Voici les grandes étapes de la démarche à suivre pour y parvenir :

• Identifier les applications et services IT éligibles au Cloud en évaluant la valeur apportée à l’entreprise, le niveau de confidentialité des données manipulées et le niveau de spécificité du système ;
• Rechercher des services SaaS pour les applications ou services dont l’usage peut être standardisé et dont la criticité (business ou sécurité) n’est pas bloquante pour envisager une évolution vers le Cloud ;
• Envisager le passage au PaaS ou au IaaS lorsqu’aucun service SaaS n’existe sur le marché ;
• Renforcer le niveau de standardisation des socles logiciels et techniques des applications aujourd’hui trop spécifiques à l’entreprise pour pouvoir trouver leur équivalent dans le Cloud.

Le marché étant dans une dynamique d’évolution rapide et perpétuelle, cette approche est à réitérer régulièrement et à enrichir d’une veille permanente sur les acteurs et les offres Cloud. Au-delà de la maturité des offres du marché, des critères plus spécifiques à l’entreprise peuvent influer sur son rythme d’adoption du Cloud. Ainsi, un niveau élevé d’industrialisation et d’externalisation facilitera et accélérera la transition vers des offres Cloud. De même, l’arrivée à échéance de contrats existants ou l’obsolescence de certaines solutions ou applications seront des opportunités d’évolution vers le Cloud, sans oublier bien sûr des ruptures plus fortes dans la stratégie de l’entreprise (forte réduction des coûts, fusion ou désimbrication de pans entiers du SI…).

Autant de facteurs qui, bien pris en compte, permettront d’aboutir à une stratégie Cloud spécifique et efficace !

Une cible hybride à anticiper

De même qu’il n’existe pas de stratégie Cloud unique applicable à toute entreprise, il est impossible d’identifier l’intégralité des services qui s’appuieront sur des offres Cloud à moyen terme, tant le marché est dynamique aujourd’hui. En revanche, une chose est sûre : le SI cible sera hybride et les services Cloud devront être parfaitement intégrés au SI traditionnel.

Alors préparez-vous ! En parallèle du déploiement des premiers services Cloud, plusieurs chantiers techniques et organisationnels transverses sont à lancer dès maintenant. Ces chantiers doivent permettre de maîtriser la prolifération des services Cloud et de faire face à un SI de plus en plus éclaté, tant géographiquement qu’en termes de responsabilité. Il s’agit en premier lieu de définir un cadre d’adoption des services Cloud (règles d’éligibilité, politique de sécurité, clauses juridiques et contractuelles) et de bâtir un socle d’intégration et de pilotage de ces services (architecture d’interconnexion, portail(s) self-service, Cloud Management Platform…). Ces évolutions majoritairement technologiques doivent s’accompagner d’une redéfinition des modalités de pilotage économique des services IT et de la définition d’un plan d’évolution des compétences, pour que la transition vers des services IT à l’usage s’opère en douceur au sein de l’entreprise, tant pour la DSI que pour les Directions Métiers.

Ainsi, la DSI se positionnera peu à peu comme un Cloud broker, proposant à ses utilisateurs (clients finaux, collaborateurs de l’entreprise ou équipes projet IT) des services accessibles au travers d’un ou plusieurs portails et offrant les moyens techniques (intégration, sécurité, pilotage) et humains (conseil, support, accompagnement au changement) nécessaires pour garantir l’usage de ces services dans de bonnes conditions.

Ces chantiers transverses doivent faire partie intégrante de la stratégie Cloud, au risque de ne pouvoir garantir la cohérence du SI à moyen terme…

Cet article Les clés d’une bonne stratégie Cloud : combiner approche tactique et vision stratégique est apparu en premier sur RiskInsight.

Après 9 mois d’existence, force est de constater que Windows 8 peine à convaincre le grand public. Pour les grands comptes, l’arrivée de Windows 8 suscite des réactions diverses.

Pour ceux qui n’ont pas encore fait le pas vers Windows 7, l’éventualité d’un passage vers Windows 8 a été écartée. Les raisons de ce rejet tiennent en deux points majeurs. D’une part, des surcoûts sont induits par la nouvelle interface utilisateur ModernUI, déroutante et nécessitant une conduite du changement renforcée. D’autre part, l’absence de support de la part des éditeurs et la faible visibilité sur sa mise en place génèrent un risque important pour la bonne tenue du planning.

Quant aux Grands Comptes ayant déjà déployé Windows 7 (ou qui sont en train de le faire), la plupart choisissent d’expérimenter Windows 8 auprès de populations nomades, majoritairement des profils commerciaux, en vue de les doter d’un terminal unique couvrant à la fois les usages de type poste de travail et tablettes (matériel dit « transformable »).

En effet, l’intérêt majeur de Windows 8 concerne le développement des usages mobiles et tactiles. Pour autant, si la DSI est enthousiaste à l’idée de gérer son parc de PC et tablettes de façon unifiée, la réaction des utilisateurs est quant à elle plus mitigée : en effet, les tablettes Windows 8 Pro restent encore à l’heure actuelle nettement plus lourdes que des matériels équivalents sous iOS ou Androïd.

Au final, les grands comptes ne se sont pas empressés pour adopter Windows 8. A l’heure où nombre d’entre eux accélèrent leurs chantiers de migration vers Windows 7 pressés par l’échéance de fin de support de Windows XP, seuls quelques-uns envisagent un déploiement tactique de transformables Windows 8 sur des populations ciblées.

Windows 8.1 : trois pas en arrière, un pas en avant

Fort de ce constat, Microsoft revient avec une nouvelle version : Windows 8.1. Cette version est marquée avant tout par une vraie remise en question des choix ergonomiques de Windows 8 : le bouton « Démarrer » est de retour, il est possible de démarrer directement sur le bureau et plus généralement de se passer complètement de l’interface ModernUI ! Il devient ainsi possible de « brider » le terminal pour lui donner une ergonomie beaucoup plus proche de Windows 7.

Les apports fonctionnels sont – quant à eux – plus mesurés. À noter toutefois la fonctionnalité de Workplace Join qui permet à un collaborateur d’intégrer ses devices personnels (smartphone et poste de travail) au SI de l’entreprise. Une fois joint, le device est reconnu en tant que périphérique personnel et peut se voir attribuer des accès aux applications de l’entreprise. De plus, il est possible de  synchroniser du contenu professionnel (Work Folders) directement sur le device personnel. Les données sont marquées comme étant du contenu professionnel, via une gestion des droits numériques (type DRM), et peuvent être effacées à distance par un administrateur.

Avec Windows 8.1, Microsoft cherche donc avant tout à répondre en urgence aux inquiétudes des grandes comptes déroutés par ModernUI. Et en cela Windows 8.1 atteint son but. Reste la problématique du support des applications et le form factor peu avantageux des matériels Windows 8 : sur ces 2 points, éditeurs et constructeurs progressent, et il est raisonnable de penser qu’à horizon d’un an, ces freins auront été levés.

Un nouveau cycle de vie…oui, mais lequel ?

Mais avec Windows 8.1, Microsoft inaugure aussi une nouvelle stratégie de mise à jour de son OS. Finis les services packs : Windows sera désormais revu complètement sur un rythme annuel.

Si l’intention de Microsoft est claire – aligner le rythme d’évolution de Windows sur celui des concurrents (Apple et Google) – la firme de Redmond n’a pour l’instant donné que peu d’éléments concrets permettant d’en appréhender l’impact sur l’organisation des DSI.

Or, cet impact pourrait être majeur. En effet les DSI ont jusqu’à présent fait évoluer leur parc de poste de travail par paliers (migration de Windows 2000 vers XP, de XP vers 7) opérés à l’occasion de migrations majeures tous les 6 à 7 ans et nécessitant des chantiers très lourds de design, d’inventaires, et de mise en compatibilité du parc applicatif.

Les DSI devront-elles demain être capables de conduire ces chantiers en continu ? Et donc pérenniser des activités qui aujourd’hui sont menées en mode projet ? Pourront-elles maîtriser le cycle de vie de leur OS ? Ou seront-elles « forcées » à suivre le nouveau rythme imposé par Microsoft ?

Là encore, les grands comptes s’inquiètent… et attendent de Microsoft des réponses claires avant de s’engager plus loin. Un point c’est tout.

[Article écrit en collaboration avec Arthur Georges, consultant]

Cet article Windows 8.1 : un point c’est tout ? est apparu en premier sur RiskInsight.

Cependant, cette opportunité entraîne un changement de grande ampleur. Il est donc important de s’assurer au préalable de la pertinence et de la faisabilité d’une telle action. Nous avons ainsi identifié différents critères qui, une fois validés par la direction de votre entreprise, sauront maximiser vos chances de réussir cette transformation en profondeur !

Un changement culturel et organisationnel réalisable

Les DSI sont traditionnellement positionnées comme des fonctions « support ». En commercialisant leurs services sur le marché, elles vont bouleverser leur positionnement stratégique. Les obligations de marketing, de rentabilité ou encore de service après-vente auxquelles elles sont soumises vont être renforcées par ce nouveau positionnement.

Au-delà du changement des modes de fonctionnement (processus, gouvernance, rôles…), il faut s’assurer que le gap culturel entre l’ancien positionnement et le nouveau est franchissable. Les équipes des DSI doivent être motivées et prêtes à voir leur métier évoluer et leurs clients changer. Par exemple, il faut s’assurer qu’il est culturellement envisageable de vendre des services aux concurrents de la maison-mère !

Par ailleurs, une analyse de la capacité à filialiser la DSI doit être anticipée pour permettre des évolutions tant organisationnelles (ex : allocation de ressources dédiées) que juridiques (ex : évolution de la convention collective).

Des produits non stratégiques, à valeur ajoutée différenciante

Il est important de s’assurer que les services qui seront commercialisés sur le marché se différencieront de ceux des concurrents. Les leviers sont ici multiples : valeur ajoutée, prix, business model… Cependant, il est surtout primordial de s’assurer que ces produits ne sont pas pour autant des actifs « stratégiques ».

En effet, un produit de la DSI doit être considéré comme « stratégique » s’il représente un avantage concurrentiel clé pour l’entreprise-mère, comme par exemple un logiciel de gestion du risque dans le domaine des assurances.

Enfin, la veille concurrentielle s’impose comme une activité indispensable pour garantir un rapport valeur ajoutée / prix du produit qui reste cohérent avec le marché dans la durée.

Une offre en phase avec les attentes du marché

Tout d’abord, il est essentiel d’asseoir un « prix », relativement à la qualité des offres, qui soit cohérent par rapport au positionnement des concurrents et à la stratégie de pénétration du marché. Par exemple, si une DSI souhaite vendre un produit significativement plus cher qu’une SSII, elle doit le justifier !

N’oublions pas que la présence sur le marché ne pourra perdurer que si les clients sont satisfaits des produits achetés. Un client externe peut s’avérer plus exigeant qu’un client interne. La DSI doit par conséquent se mettre en capacité d’assurer le niveau de qualité et de productivité nécessaire. Anticiper les enjeux de service après-vente et de relation client et garantir la capacité de production sont essentiels.

Une offre en lien avec l’activité de la maison-mère

Les services commercialisés par la DSI seront d’autant mieux accueillis par le marché qu’ils ont un lien avec l’activité de la maison-mère. Dans le cadre de la commercialisation et de la promotion des produits, il s’agira de faire valoir la fiabilité des produits et de bénéficier de l’image de marque de la maison-mère.

Par exemple, Thales Services, en raison de son expertise dans le domaine de la défense, aura plus de crédibilité pour répondre à des exigences avancées de sécurité qu’une SSII non spécialiste.

Somme toute, la commercialisation des services d’une DSI sur le marché est une opération complexe, mais porteuse de multiples opportunités. Les critères présentés ci-dessus sont autant de facteurs clés de réussite. Avant de se lancer, il s’agira alors d’identifier les enjeux stratégiques, économiques et IT pour mener au mieux la transformation qui, selon le contexte, peut prendre plusieurs années. Pour en maîtriser le rythme, obtenir et maintenir l’adhésion, le pilotage et la gouvernance sont de vrais incontournables. Alors, êtes-vous prêts à vous lancer ?

Cet article Êtes-vous prêts à commercialiser les services de votre DSI ? est apparu en premier sur RiskInsight.

La montée en maturité des DSI crée l’opportunité de franchir le pas, comme l’ont déjà fait plusieurs leaders comme Areva, Amazon ou encore Dassault.

Augmenter et diversifier l’activité de la maison-mère et de sa DSI

Areva, leader mondial de l’énergie nucléaire, a fait le choix de capitaliser sur les actifs de sa DSI pour en commercialiser les services sur le marché. Preuve du succès de la transformation, cette DSI, maintenant filialisée sous le nom d’Euriware, a généré près de 294 millions d’euros de chiffre d’affaires en 2011 ! [1]

Ainsi, la commercialisation des offres de services des DSI sur le marché est une occasion pour les entreprises d’accroître leur chiffre d’affaires. Grâce à la pénétration de nouveaux marchés, il est alors possible de diversifier le portefeuille de clients ainsi que les activités : Euriware propose des prestations d’infogérance ou encore d’intégration de systèmes pour des clients de l’énergie, mais aussi de l’industrie et de la défense.

Faire de la DSI une entité génératrice de profit

Cette transformation est l’occasion pour la DSI de se positionner comme réel actif stratégique (en devenant un centre de profit). Pour garantir la rentabilité, il faut commercialiser les services permettant de capitaliser sur les investissements de la DSI, tout en mutualisant les compétences et expériences de la maison mère. Les produits ou services commercialisés peuvent tout autant être des savoir-faire spécifiques qu’une surcapacité de production (sur un datacenter par exemple). Cette commercialisation est une opportunité pour l’entreprise de générer du cash… sans trop avoir à en débourser !

Ainsi, Dassault Systèmes génère du profit en commercialisant le logiciel Catia, qui avait été initialement conçu pour les besoins propres de Dassault.

La formalisation d’un catalogue de services tarifé ainsi que la définition d’une stratégie de pénétration du marché sont des enjeux clés pour assurer le succès de la transformation. Une fois les premiers produits commercialisés, la DSI génère du chiffre d’affaires et doit rentabiliser son activité. Elle le fera en ajustant sa politique commerciale et en optimisant sa présence sur le marché tout en pilotant ses investissements.

Développer et fiabiliser l’expertise de la DSI

Amazon, qui est originellement un site d’achat et de vente en ligne, a pourtant été parmi les premiers à lancer des offres cloud, via leur entité Amazon Web Services. Amazon a profité de son expertise de l’infrastructure SI et de sa maîtrise des besoins des acteurs du web pour commercialiser son Infrastructure as a Service (IaaS) sur le marché.

L’augmentation de l’activité SI permet d’investir et de fiabiliser les services utilisés par la maison-mère. Confrontée à de nouvelles demandes et de nouvelles exigences, la DSI est incitée à monter en compétence et à développer son expertise. L’industrialisation de l’activité et la croissance du portefeuille de clients permettent aussi d’asseoir la crédibilité et la légitimité de la DSI en interne.

La commercialisation des services d’une DSI sur le marché représente une transformation de grande ampleur, se déroulant sur plusieurs années. Du positionnement prix à la structure de coût en passant par l’infrastructure SI ; les enjeux stratégiques, financiers ainsi que ceux liés au système d’information doivent être maîtrisés ! Il faut également se poser la question de l’évolution de l’organisation avec, bien souvent, celle de la filialisation de la DSI. Des problématiques clés doivent alors être pilotées, comme l’évolution culturelle ou la mutation des activités. En résumé, la commercialisation des services IT est une opportunité aux enjeux forts. Mais comment s’assurer que le profil de votre entreprise présente les caractéristiques nécessaires ? Réponse dans un prochain article !

Cet article Et pourquoi ne pas commercialiser les services de ma DSI ? est apparu en premier sur RiskInsight.

Un modèle de sécurité qui atteint ses limites

La protection des informations avec les moyens conventionnels (pare-feu, antivirus, correctif, contrôle d’accès…) comporte de nombreuses limites  ;  les attaquants les connaissent et surtout, savent les contourner efficacement. Les attaques par ingénierie sociale permettent d’accéder aux informations d’utilisateurs légitimes et ce malgré de nombreuses sessions de sensibilisation en entreprise, les failles « zero-day » permettent d’attaquer des systèmes même maintenus à jour, l’encapsulation ou encore le chiffrement de trafic qui permettent de traverser les pare-feux sans être inquiétés.

Doit-on pour autant baisser les bras et reculer face aux menaces? Non, certainement pas ! Il s’agit de réorienter ses efforts différemment, accepter les risques,  et se doter des moyens permettant de limiter l’impact des attaques. La détection des attaques et l’identification de réactions appropriées sont donc à prioriser pour 2013.

 Détecter et réagir : les priorités de 2013

Ce changement d’orientation nécessite de nombreuses évolutions, tant en termes technique qu’organisationnel. Il faut réfléchir à la mise en place de nouveaux moyens, internes ou externes, afin de mieux observer le SI et d’en tirer des alertes pertinentes. Nous pensons bien évidemment aux solutions de surveillance de journaux classiques mais pas uniquement ! De nouvelles solutions, spécialisées dans les analyses statistiques permettent d’obtenir des vues pour détecter les fameux signaux fiables relatifs aux attaques. D’autres produits permettent de détecter dans les flux de données des comportements étranges, en simulant l’ouverture des pièces jointes ou des fichiers. Même si cela peut paraître démesuré, certaines organisations ont mis en place ces solutions sur 2012 et en tirent aujourd’hui des bénéfices concrets.

Et comme l’outil ne résout rien seul, certains processus seront aussi à revoir, en particulier sur la surveillance du SI et la gestion de crise. La création, ou le renfort, d’une cellule dédiée en charge de ces problématiques, le fameux CERT ou SOC, pourra être une solution. Cette cellule sera à même de piloter les crises, de prendre les bonnes décisions pour limiter les impacts et d’empêcher les propagations.

Différents scénarios de crise sont à envisager en fonction du métier et de l’exposition : attaque en déni de service, vol d’information, défacement de site, vols de données sensibles, mais aussi et peut être surtout compromission du SI… Ils devront être testés par les équipes opérationnelles mais également les métiers et la direction générale, acteurs essentiels en cas d’attaques cybercriminels.

Bien évidemment, il n’est pas question d’abandonner toutes les mesures de protection. Bien souvent, elles retarderont la réussite de l’attaque, voire même sur certains périmètres très protégés et face à des attaquants de niveau intermédiaire, elles les bloqueront. Mais aujourd’hui, se baser uniquement sur une protection est illusoire, il est indispensable de revoir sa stratégie sécurité et en 2013 d’orienter sa réflexion vers la détection et la réaction !

Cet article Une nouvelle année pour une nouvelle stratégie sécurité : priorité à la détection et la réaction est apparu en premier sur RiskInsight.

Après l’énorme campagne de communication déployée par Microsoft depuis quelques mois sur la nouvelle version de l’OS (Operating System) le plus répandu au monde, la sortie de la Consumer Preview de Windows 8 (le 19 février dernier) permet d’en apprécier les nouveautés et d’alimenter le débat sur toutes les problématiques posées par cette nouvelle mouture. Un changement stratégique et ergonomique, annoncé comme le plus important depuis l’avènement de Windows 95.

Pour l’utilisateur, les nouveautés sont de taille, et la plus marquante est certainement la coexistence de deux interfaces : le « Bureau », similaire à Windows 7, et « Metro », orientée vers un usage tactile, pour le web et les applications. Et c’est l’arrivée de Metro qui aujourd’hui fait débat, par le changement qu’il implique dans la manière d’utiliser son poste.

En effet, la suppression du bouton Windows et la philosophie d’utilisation « tablette » vont certainement surprendre la majorité des utilisateurs et la prise en main risque de prendre un certain temps. Et si cette interface a été pensée pour faciliter la consommation d’informations, usage majeur dans la sphère privée, sera-t-elle pour autant adaptée à la production de contenus en entreprise ? Toujours est-il que, malgré l’aide que pourra apporter la généralisation de l’OS dans le monde grand public, toute apparition de Metro en entreprise nécessitera une importante conduite du changement, dont l’ampleur sera fonction de la politique adoptée par l’entreprise (promotion, autorisation ou blocage de l’interface).

Quels changements pour l’entreprise ?

Outre une nouvelle interface, avec Metro arrive aussi une nouvelle génération d’applications, basées sur un nouveau framework (WinRT) et destinées au monde tactile.

En effet, si les applications compatibles Windows 7 devraient également l’être pour le « Bureau » de Windows 8, il sera nécessaire de les repenser entièrement pour les adapter à l’interface Metro. Et si Microsoft a voulu proposer un OS véloce, c’est au détriment de certaines fonctionnalités, comme le non support d’add-ons sur la version Metro d’internet explorer. Cette adaptation, dans laquelle l’entreprise se trouvera confrontée à l’introduction du HTML 5, pourrait constituer un chantier supplémentaire après la difficile migration des applications de XP vers Windows 7. Concernant les éditeurs, très peu d’éléments ont été rendus publics sur leur stratégie, mais ils vont vraisemblablement devoir s’adapter et proposer une version pour chaque « monde ». Parallèlement, le développement vers Metro est aujourd’hui encore très peu documenté.

Mais au-delà de Metro, on retrouve également une meilleure intégration des solutions de connectivité (Wi-Fi Direct, NFC, USB 3.0…), une gestion native du cloud (Microsoft) et de la virtualisation, ainsi qu’une optimisation des performances permettant notamment un démarrage en 8 secondes. On peut noter quelques innovations comme « Windows To Go », permettant d’avoir une version personnalisée et exécutable de l’OS sur une clé USB, et une migration annoncée « transparente pour l’utilisateur » depuis Windows 7. Mais la force majeure de Windows 8 est de proposer un OS unique pour PC et tablettes (et très similaire pour smartphones), à l’heure où l’augmentation des tablettes est inéluctable dans le SI des entreprises (forces de vente, commerciaux, relation client…).

De par son approche moderniste et sa présence en standard sur de nombreux matériels neufs, Windows 8 devrait progresser rapidement sur le marché grand public. Le tout est maintenant de savoir ce qu’il va en être de son adoption par les entreprises. Après l’échec de Vista et le succès toujours grandissant de Windows 7, la version 8 va-t-elle respecter la règle de « une version performante sur deux » généralement constatée au sein des grandes entreprises ?

L’approche « user-centric », une grande nouveauté Microsoft

L’objectif de Windows 8 est également de replacer l’utilisateur au centre de l’environnement de travail. Il lui permettra de retrouver son environnement personnalisé et ses données sur n’importe quel poste grâce à SkyDrive[1], et de télécharger ses applications favorites via la boutique en ligne Windows Store. Tout ceci à travers l’utilisation de son compte personnel Windows Live. Une façon de rassembler les services en ligne Microsoft autour de l’utilisateur, et de normaliser leur usage. En d’autres termes, Microsoft réinvente l’Apple world.

Cette approche « user-centric » pourra nécessiter la revue des modalités d’intégration des machines au sein d’un SI d’entreprise, de par la nécessité de s’authentifier avec un compte personnel. Faudrait-il alors considérer les terminaux Windows 8 comme forme de BYOD[2] ?

Une actualité à suivre de près

De nombreuses questions restent donc ouvertes, et vont encore faire débat dans les mois qui viennent au fil des annonces de Microsoft et des autres grands acteurs. Faut-il migrer vers Windows 8 ? Est-il préférable de migrer au fil de l’eau ou de mettre toutes les applis en conformité Metro avant de migrer ?

À l’heure où les annonces et les spéculations vont bon train, il faudra suivre de près les débats publics d’un côté et les réflexions stratégiques des entreprises de l’autre, afin de savoir qui sera dans le wagon de tête pour migrer vers Metro.

Cet article Windows 8 – Metro, boulot, perso ? est apparu en premier sur RiskInsight.