LE GUIDE DE LA CYBERSÉCURITÉ POUR LES DIRIGEANTS … · 2016. 10. 11. · Gouverner à l’ère...

L E G U I D E D E L A C Y B E R S É C U R I T É P O U RL E S D I R I G E A N T S D ’ E N T R E P R I S E

F R A N C E

E N C O L L A B O R AT I O N AV E C

GO

UV

ERN

ER À

L’ÈRE D

U N

UM

ÉRIQ

UE | FR

AN

CE

SecurityRoundtable.org/FR


AUTEURS

• Gregory Albertyn

PwC

• Avi Berline

PwC

• Alain Bouillé

Groupe Caisse des Dépôts

• Greg Day

Palo Alto Networks

• Ahmad Hassan

Heidrick & Struggles

• Maître Olivier Iteanu

Iteanu Avocats

• Alan Jenkins

IBM

• Olivier Ligneul

EDF

• Jean-Paul Mazoyer

Crédit Agricole Pyrénées-Gascogne

• Mark McLaughlin

Palo Alto Networks

• Jérôme Saiz

OPFOR Intelligence

• Michel Van Den Berghe

Orange Cyberdéfense

• Ian West

OTAN (Communications and Information Agency)

• Laure Zicry

Avocate

LivreBlancPaloAlto_COUV_DefQuad-2.indd 1LivreBlancPaloAlto_COUV_DefQuad-2.indd 1 23/09/16 11:4023/09/16 11:40

GOUVERNER À L’ÈRE DU NUMÉRIQUE : Le gu ide de la cybersécur i té pour

les d i r igeants d ’entrepr i se

EN COLLABORATION AVEC

Gouverner à l’ère du numérique : Le guide de la cybersécurité pour lesdirigeants d’entreprise

Gouverner à l’ère du numérique : Le guide de la cybersécurité pour les dirigeants d’entrepriseEdité par : K-Now SARL, 21 rue de Fécamp 75012 Paris, pour le compte de Palo Alto NetworksResponsable éditorial : Jérôme SaizEditeur: Jean KaminskyImprimé en France par Point 44

Les opinions exprimées dans la présente publication sont celles des auteurs. Elles ne prétendent pasnécessairement refléter les opinions ou les vues de Palo Alto Networks.Cet ouvrage est un guide généraliste à but d’information. Il n’est pas destiné à se substituer à un conseilpersonnalisé en cybersécurité.

Gouverner à l’ère du numérique : Le guide de la cybersécurité pour les dirigeants d’entrepriseDépôt légal septembre 2016© Septembre 2016 Palo Alto Networks

n 2

Pourquoi un guide sur la cybersécuritépour les dirigeants d’entreprise ?

Les dirigeants d'entreprise et les membres des Comitésde Direction prennent quotidiennement des déci-sions stratégiques. Que celles-ci soient d'ordre finan-cier, commercial ou industriel leurs conséquencesauront toujours un impact considérable sur l'avenirde leur entreprise.

Mais il s'agit là de domaines historiques bien maî-trisés pour lesquels les dirigeants disposent d'une ex-périence considérable.

Ces derniers sont toutefois désormais amenés àprendre des décisions tout aussi stratégiques, et auxconséquences tout aussi sérieuses, dans un domainemouvant et en création permanente pour lequel ilsn'ont bien souvent aucune expérience significative :le numérique. Or si ignorer l'évolution numérique se-rait risqué pour l'entreprise, s'y engager aveuglémentpourrait l'être tout autant.

Ce guide a été conçu comme un outil pratique des-tiné à aider les dirigeants à acquérir les connais-sances stratégiques essentielles en matière de cyber-sécurité, afin qu'ils soient en mesure de prendre lesbonnes décisions dans le cadre de leur stratégie nu-mérique.

Il ne s'agit toutefois pas d'un manuel de cybersécu-rité. Notre objectif en créant ce guide est tout autre.Nous avons souhaité :- Que chaque dirigeant d'entreprise y trouve un éclai-

rage synthétique sur les points stratégiques decybersécurité qu'il ne peut se permettre d'ignorer.

- Que pour chacun de ces points il dispose d'élé-ments concrets pour faire avancer le sujet à l'issued'une réunion du Comité de Direction.

Ce guide est rédigé par des experts français reconnusdu monde de la cybersécurité, dont l'activité profes-sionnelle les conduit à intervenir au plus près desdirigeants d'entreprise.

3 n

Chaque chapitre couvre un domainestratégique, allant des aspects juridiquesjusqu'à la transformation numérique enpassant par la cyberassurance, le recrute-ment ou l'usage du Cloud.

Chacun est destiné à donner au diri-geant une vision synthétique du sujet etlui permettre de répondre aux questionsessentielles : de quoi parle-t-on exacte-ment ? En quoi cela est-il stratégique pourmon entreprise ? Quels sont les risques ?Quel est le lien avec la cybersécurité ?

Chaque chapitre se conclut par un élémentactionnable : soit une liste d'actions-clésafin d'anticiper sur la problématique enquestion (des missions à lancer, des projetsà mettre en oeuvre afin de préparer leterrain...), soit une série de questionspertinentes à poser aux équipes afin decontrôler que la thématique est bien suivieau sein de l'entreprise.

C'est d'ailleurs le scénario d'utilisationque nous avons imaginé lors de la concep-tion de ce guide : nous souhaitions qu'undirigeant s'apprêtant à animer une réu-nion du Comité de Direction dans la-quelle un sujet de cybersécurité va êtreabordé puisse ouvrir ce guide au chapi-tre concerné, le parcourir durant son tra-jet et arriver avec une connaissance syn-thétique des enjeux et des éléments concretspour faire avancer le sujet (à qui confierla mission ? Quels sont les points de vigi-lance ? Comment préparer le terrain ?)

Alors si vous lisez ces lignes en routepour rencontrer votre Comité de Direc-tion, nous espérons que ce guide vous ai-dera à alimenter votre réflexion, saura ré-pondre à vos interrogations et vouspermettra de jouer pleinement le rôle quiest le vôtre : celui du capitaine de votreentreprise. Bon vent ! n

Palo Alto Networks

POURQUOI UN GUIDE SUR LA CYBERSÉCURITÉ POUR LES DIRIGEANTS D’ENTREPRISE ?

n 4

5 n

SOMMAIRE

3 Pourquoi un guide sur la cybersécurité pour les dirigeants d’entreprise ?Palo Alto Networks.

Introduction9 1. Paysage des menaces à l’ère numérique

Greg Day, Palo Alto Networks.

I. Législation et réglementation17 2. Cybersécurité et droit : que faut-il retenir ?

Olivier Iteanu, avocat à la Cour d'Appel de Paris.

23 3. Engagements et responsabilités de l’équipe dirigeanteGregory Albertyn et Avi Berliner, PwC.

29 4. Qu’est-ce que l’ «état de l’art» en matièrede cybersécurité, et pourquoi doit-ons’y intéresser ?Greg Day, Palo Alto Networks.

II. Tendances35 5. La cybersécurité, ingrédient majeur de la transformation

numérique. Olivier Ligneul, EDF.

41 6. Définir le profil du RSSI 3.0Ahmad Hassan, Heidrick & Struggles.

45 7. La prévention peut-elle être efficace ?Mark McLaughlin, Palo Alto Networks.

53 8. Le Cloud : vous y êtes déjàAlain Bouillé, Groupe Caisse des Dépôtset Club des Experts de la Sécurité de l’Information et du Numérique (CESIN).

III. Actions61 9. Faute de pouvoir empêcher toutes les cyberattaques,

les entreprises doivent être en mesure de riposter.Michel Van Den Berghe, Orange Cyberdefense.

67 10. L’avenir de la cyberassurance.Laure Zicry, avocate, CEFCYS.

73 11. « Messieurs les dirigeants, vous saviez que cette attaque allait arriver… Qu’avez-vous fait pour l’empêcher ? »Jean-Paul Mazoyer, Crédit Agricole Pyrénées-Gascogne.

79 12. Horizon 2020 : les priorités du CODIR.Jérôme Saiz, OPFOR Intelligence.

IV. Témoignages85 13. Les stratégies de cyberdéfense de l’OTAN

Ian West, Agence de l'OTAN pour la Communication et l'Information (NCI).

91 14. Comment mesurer l’efficacité de votre programme de cybersécurité ?Alan Jenkins, IBM Security & Greg Day, Palo Alto Networks.

Fiches Auteurs101 Biographies.

SOMMAIRE

n 6

Introduction

Les cybermenaces, à l’ère du numérique

1 Paysage des menaces à l’ère numérique

Par Greg Day

Greg Day est Vice-Président et CSO EMEA chez Palo AltoNetworks, responsable de la stratégie de cybersécurité etdu développement de la Threat Intelligence.

Depuis cinq ans, les autorités sanitaires commencentà reconnaître la dépendance à la technologie commeune véritable addiction. Il suffit de voir le tempspassé par un utilisateur moyen sur son smartphoneet l’utilisation qu’il en fait. En général, le smartphoneest affecté à un usage à la fois personnel et profes-sionnel : de l’achat en ligne au suivi des mesures desanté, tout passe par des systèmes interconnectés,des applications et des données. De cette tendanceont émergé de nouveaux modes de vie. Mais surtout,l’extension du réseau et la numérisation de la sociétéont amené les responsables du monde entier à recon-naître la place prépondérante qu’occupe désormaisl’hyperconnectivité, une tendance qui n’est pas prêtede s’inverser et devrait même s’accélérer.

Face à ce constat, l’Union européenne a introduitdeux changements majeurs qui prendront effet enmai 2018. Le premier est la révision des exigences deprotection des données garantissant à tout citoyenque les informations qu’il fournit sont traitées confor-mément aux normes en vigueur et qu’en cas d’inci-dent notable, il sera averti du problème dans un délairaisonnable. Ces dispositions sont celles du Règle-ment général sur la protection des données.

Le second reconnaît que le fonctionnement desservices publics au sens large, comme les servicesfinanciers, les transports, la santé et les services dedistribution de l’eau, entre autres, est devenu indis-sociable de la technologie et qu’en cas de cyberat-taque, les conséquences pourraient être désastreuseset affecter le PIB de tout un pays. La Directive sur lasécurité des réseaux et de l’information reconnaît cedanger et oblige chaque pays à identifier les services

9 n

« La cybersécurité peut, et doit, fonctionner à la même vitesseque la technologie qu’elle vise à protéger »

concernés, à garantir qu’une cybersécu-rité tenant compte de l’état de l’art soitmise en place (voir le chapitre 4, « Qu’est-ceque l’état de l’art en matière de cybersécu-rité ») et à travailler avec les autoritésnationales compétentes pour garantir lacontinuité de ces services et préserver laconfiance des ménages.

n Les États ont pris conscience du caractèrevital des technologies. Et votre entreprise?

Si les Nations ont conscience de l’impor-tance de la technologie, en est-il de mêmede votre côté ? Et quid de votre entreprise ?

Le problème pour beaucoup d’entre-prises est que la technologie évolue avecune telle rapidité qu’elles peinent à suivrele rythme. Et puis, le monde numériqueet la cybersécurité utilisent ce que beau-coup considèrent comme une langue étran-gère : des nouveaux termes, des abrévia-tions à foison qui changent aussi vite quela technologie. Au final, beaucoup ont lesentiment d’être perdus et de ne pas tirerentièrement profit de l’avantage concur-rentiel que pourraient leur offrir les nouvellestechnologies.

En tant que responsable, vous pouvezdifficilement éviter d’aborder cette ques-tion, car elle peut avoir d’importantesretombées, positives ou négatives, survotre activité.

En outre, les modifications introduitespar la législation européenne marquentun tournant majeur dans l’univers de lacybersécurité, et pourraient avoir desimplications pour les équipes de cybersé-curité. Emparez-vous donc de l’occasionpour révolutionner vos connaissances dela cybersécurité, mais aussi votre approchede la question.

Pourtant, emportés dans le tourbillon

du quotidien, beaucoup ont atteint unpoint de rupture, souhaitant désespéré-ment marquer une pause. Mais le momentest enfin venu. Les entreprises vont pouvoirréévaluer non seulement ce que doit êtreune cybersécurité au niveau de l’état del’art, mais aussi la manière dont nousorganisons le traitement de nos données,vouées à se multiplier de manière expo-nentielle.

n Un plan cybersécurité en trois voletsPar où commencer ? La cybersécuritécomprend trois volets majeurs.

(1) La dépendance de votre activité aunumérique ; il s’agit en l’occurrencedes systèmes technologiques utilisésen interne et dans le Cloud. Et les donnéesque vous stockez sur ces systèmes,qu’il s’agisse d’informations client, deprocessus métier, de propriété intel-lectuelle ou autre. Ces éléments peuventêtre très différents selon votre cœur demétier (prestataire de services, détail-lant ou organisation financière).

(2) Les risques encourus du fait de cettedépendance technologique, dont certainssont plus faciles à qualifier que d’au-tres, comme le délit d’initié. Ils peuventprovenir d’une erreur humaine, d’unemployé mécontent ou encore d’unesource externe. Les menaces externessont les plus difficiles à qualifier, carplus volatiles du fait d’une grande variétéde techniques, d’acteurs et de motiva-tions. Cela nous conduit trop souventà nous perdre dans un flot de détailsde bas niveau relatifs au fonctionne-ment, alors que nous devrions nousconcentrer sur les conséquences et les

INTRODUCTION – LES CYBERMENACES, À L’ÈRE DU NUMÉRIQUE

n 10

probabilités de ces attaques, ainsi quesur les scénarios optimistes et pessi-mistes en cas d’incident avéré. Mais ennous appuyant sur l’expérience mili-taire et celle du secteur des assurances,qui abordent différemment ce qui restepourtant le même problème, nouspouvons essayer d’y voir plus clair. Ce qui nous amène au dernier point dece triptyque sur la cybersécurité : quelleforme de résistance adopter face auxrisques ?

(3) La cyber-résilience est une lutte perma-nente opposant esprit du bien contreesprit du mal dans laquelle chacuntente de prendre le pas sur l’autre.Nous devons prévoir le meilleur, maisaussi nous préparer au pire. Ce quipose quelques difficultés au vu dunombre d’adversaires, tandis que leslimites de ce qu’on pourrait appeler lechamp de bataille sont sans cesse repous-sées. Ce que je veux dire, c’est que latechnologie poursuit son évolution etles menaces font de même.Pour beaucoup, cette instabilité estdevenue notre talon d’Achille. En nousadaptant perpétuellement aux nouvellesmenaces, nous avons fini par créer unensemble complexe de solutions à desproblèmes spécifiques ayant des niveauxde maturité différents. La cybersécu-rité implique généralement une inter-vention humaine poussée. À l’instard’une voiture de sport haut de gamme,la cybersécurité peut repousser leslimites tout en montrant une très grandefragilité. C’est un peu comme vouloir lire simul-tanément de la musique sur cassette,CD, VHS, DVD et support numérique

HD et attendre du lecteur qu’il gèretout cela de manière transparente pournous.

n Observer l’existant avant de déciderAvant de procéder à un changement quel-conque, il est impératif de faire un pointsur la situation réelle de votre entreprise.Pour cela, plusieurs méthodes s’offrent àvous.

Vous pouvez demander à un tiers d’ef-fectuer une analyse différentielle, vouspouvez étudier les données de mesuresfournies par votre équipe de cybersécu-rité ou tout simplement tester l’efficacitéde vos capacités actuelles. De plus enplus d’entreprises appliquent un vieiladage : la connaissance vient avec l’expé-rience.

Faire procéder à des simulations d’in-trusion par ceux que l’on appelle parfoisla Red Team (l’équipe en charge des testsd’intrusion) est un excellent moyen detester ses capacités de protection et deréponse aux incidents. Ces tests portentbien évidemment sur les capacités tech-niques, mais aussi sur les compétencesindividuelles, les compétences inter-équipeset même sur la capacité de la direction àprendre des décisions stratégiques à lalumière des informations disponibles, encas d’attaque.

En cybersécurité comme dans la vie,rien n’est garanti. La technologie est unalignement de uns et de zéros que beau-coup estiment parfaitement prévisible.Bien au contraire, en réalité, des chosesinattendues peuvent se produire ; et c’estmême inéluctable. Accepter cette fatalitéest une première étape. Décider descompromis que l’on sera prêts à accepterlorsqu’un incident se produit, est la

PAYSAGE DES MENACES À L’ÈRE NUMÉRIQUE

11 n

« Il devient impossible d’éviter le débat sur notre dépendance à la technologie »

« Les directives Européennes sur la protection des données représententune rare opportunité d’amélioration pour les entreprises »


deuxième étape. Cela nous ramène autriptyque de la dépendance des entre-prises à la technologie, aux risques et àleurs conséquences sur l’activité. Il fautdécider en toute connaissance de causeoù placer le curseur entre risques accep-tables et investissements pour parvenir àlimiter les risques.

n La cyberassurance à la rescousseLorsque vous répondrez à cette question,vous devrez également identifier leséléments sur lesquels porteront ces inves-tissements. Pendant plusieurs décennies,nous avons mis l’accent sur la défensedans le but d’éviter tout incident de cyber-sécurité. Mais ces dernières années, leslignes ont bougé et nous avons commencéà accepter l’inéluctable à savoir que certainesattaques ne pourront être évitées et que,le cas échéant, l’important est de se concen-trer sur la réponse à apporter pour limiterles risques. Cette prise de conscience apermis le développement phénoménal,quoique précoce, du marché de la cybe-rassurance (lire à ce sujet le chapitre 10,« L’avenir de la cyberassurance »).

Cette tendance consiste à transférerune partie du risque, notamment l’aspectfinancier, à un tiers. Ce faisant, la gestiondu risque permet d’atténuer nettementles conséquences des incidents (commepour de nombreux aspects de la vie courante,d’ailleurs).

Par ailleurs, en s’appuyant sur les compé-tences et l’expérience d’experts en assu-rance, une entreprise pourra bénéficierd’informations précieuses à la fois sur lesrisques encourus et sur les meilleurespratiques pour les combattre.

Lorsque vous prenez en considération

ces meilleures pratiques et procédez àvos exercices de simulation, demandez-vous si vous allez mettre en place votrepropre équipe d’intervention ou faireappel à un service externe.

Les équipes d’intervention d’urgencesont généralement des professionnels quiutilisent des connaissances et des outilscoûteux que, idéalement, nous n’appe-lons que ponctuellement.

n Prévenir, détecter et répondre : où placer le curseur ?

La législation européenne (la Directive surla sécurité des réseaux et de l’informationet le Règlement général sur la protectiondes données – lire le chapitre 2, « Cybersé-curité et droit : que faut-il retenir ? ») exigedes organisations qu’elles informent lesautorités nationales concernées, dans unlaps de temps donné, lorsque des inci-dents précis se produisent. Vous ne pouvezdonc pas vous passer d’une telle équiped’intervention d’urgence.

Mais cela soulev̀e une autre question detaille : quel est le juste milieu entre investirdans la prévention et la détection, et investirdans une capacité de réponse aux inci-dents ? Comment trouver le juste équi-libre entre protection et cyberassurance ?

Pour trouver ce juste milieu, vous devrezdonc être capable d’arbitrer en fonctionde l’état de l’art du moment et des coûts.

n Recrutement difficile et coûtsd’exploitation élevés

Pour reprendre l’analogie du lecteur demusique évoquée plus haut, dans la réalité,un tel système aurait besoin pour fonc-tionner de convertir les différents formatssur un support unique commun qui pourraêtre lu par un seul lecteur.

n 12

PAYSAGE DES MENACES À L’ÈRE NUMÉRIQUE

Et il en va souvent de même pour lacybersécurité : de nombreuses capacitésou solutions différentes nécessitent uneintervention humaine pour fonctionnercomme un ensemble cohérent. Dans unmonde toujours plus numérique cela peutsembler être (et je pense que ce n’est pasqu’une impression) une solution archaïque.

En outre, la dimension humaine se révèleêtre particulièrement coûteuse dans ledomaine de la cybersécurité, et ce à doubletitre : d’une part parce qu’elle représentedes coûts d’exploitation élevés (sans mêmeévoquer la pénurie d’experts sur le marché)et d’autre part elle ralentit la capacité deréaction numérique. Dans ces conditions,comment trouver le bon équilibre ?

De nombreuses entreprises se tournentalors vers des tableaux de bord de cyber-sécurité pour connaître l’état dans lequelse trouvent leurs capacités de protection.Selon l’activité, cela peut aller de l’affi-chage de données triviales à collecter, jusqu’àdes mesures incroyablement détaillées.

Hélas beaucoup se concentrent sur les indicateurs de performances médiocres,qu’il s’agisse d’un retard au niveau descontrôles de sécurité ou du nombre d’évé-nements qui se sont produits sur un tempsdonné.

n Unifier les capacités de cybersécuritéNous devrions réfléchir aux moyens d’ex-ploiter la technologie afin de rendre lacybersécurité plus efficace. Pour cela,nous devrions nous pencher sur l’archi-tecture d’une plateforme commune, permet-tant aux différentes capacités requises decoexister tout en limitant au maximuml’intervention humaine.

Mais surtout, cette plateforme devraêtre tournée vers l’avenir. Pour reprendrel’analogie du lecteur, celui-ci pourra lirele nouveau format sans que personne

n’ait besoin de le convertir dans un formatcompatible.

Malheureusement, la cybersécurité, toutcomme la technologie qu’elle protège, estplus complexe qu’un lecteur multimédia.Mais plus l’automatisation prend le dessuset plus nous pouvons passer d’un systèmede détection/réponse à un système deprévention (lire le chapitre 7, « La préven-tion peut-elle être efficace ? »).

La cybersécurité peut, et doit, fonc-tionner à la même vitesse que la techno-logie qu’elle vise à protéger. Cette tech-nologie va continuer à progresser à grandpas, et pendant que les responsables dela cybersécurité seront occupés à suivrele rythme, ils perdront du terrain.

Les changements juridiques de l’Unioneuropéenne qui entreront en vigueur en2018 sont une rare opportunité. Grâce àleur portée, la question de la cybersécu-rité pourra enfin, si ce n’est déjà fait, s’ins-crire à l’agenda du comité de direction(lire à ce sujet le chapitre 12 : « Horizon2020 : les priorités du comité de direction »).Ils offrent l’occasion d’impliquer les membresde l’entreprise qui doivent l’être et detrouver un langage commun avec lequeltous pourront communiquer.

De même, les exigences spécifiquesrelatives à la prise en compte des risques,à l’état de l’art et à l’obligation de notifi-cation fournissent à chaque entreprisel’occasion unique de prendre du recul etd’échapper au tourbillon des activitésquotidiennes. Elles pourront ainsi repenserleur approche afin de suivre le rythmedes exigences actuelles et à venir, et trouverainsi un meilleur équilibre entre détec-tion, protection et réponse. Elles pour-ront le faire en fonction de leur appé-tence au risque, en appliquant une approcheaxée sur l’état de l’art, aussi dynamiqueque le monde dans lequel nous vivons. n

13 n

1. Familiarisez-vous avec les principes debase de la cybersécuritéRome ne s’est pas faite en un jour, et sivous ne vous êtes pas jusqu’à présentintéressé directement à la question de lacybersécurité, vous allez découvrir ununivers qui vous est probablement – pourl’instant – opaque. La lecture de ce guideest un bon début, mais n’en restez pas là !

2. Entamez une réflexion au plus hautniveau sur votre dépendance à la techno-logieDe qui êtes-vous dépendant parmi vosfournisseurs de technologie ? Quels sontles systèmes dont vous ne pourriezentièrement vous passer ? Qu’arriverait-ilsi vous en étiez soudain privés ?

3. Lancez un recensement des informationsstratégiques et des systèmes numériquesqui les traitentOn ne protège bien que ce que l’onconnaît. Si un tel recensement n’a pas déjàété réalisé, initiez le projet. S’il a été fait(ce qui devrait être le cas), prenez letemps de parcourir sa synthèse afin devous familiariser avec votre paysageinformationnel.

Pour anticiper


n 14

I Législation etréglementation

1- Règlement n° 2016/679 du 27 avril2016 du Parlement européen et du Conseilrelatif à la protection des personnes physiquesà l'égard du traitement des données àcaractère personnel et à la libre circulationde ces données, et abrogeant la directive95/46/CE.

2 Cybersécurité et droit, que faut-il retenir ?

Par Maître Olivier Iteanu.

Maître Olivier Iteanu est Avocat à la Cour d’Appel de Parisdepuis Décembre 1988, arbitre et médiateur agréé par leCentre de Médiation et d’Arbitrage de Paris (CMAP). Il estégalement chargé d’enseignement à l’Université de Paris XI(Faculté Jean Monet) et à l’Université de Paris I Sorbonne.

Les juristes considèrent que le sujet de la cybersécu-rité concerne toutes attaques ayant pour objectif bienévidemment un système d’information, mais égale-ment toutes infractions commises au moyen d’unsystème d’information. Le terme de cybersécurité ad’ailleurs fait son apparition il y a quelques annéespour remplacer celui de cybercriminalité parce que lacybersécurité intègre des dimensions nombreuses etautres que la seule politique pénale que traduisait lemot « criminel ».

Le contrat par exemple, participe à la cybersécurité(lire à ce sujet le chapitre consacré à l’usage du Cloud), demême que toutes les formes de prévention touchant àl’organisation jusqu’à la formation des personnels.Par l’adoption de ce terme, les professionnels duDroit ont pris acte que la lutte contre la cybercrimina-lité prend place bien en amont de l’incident ou del’attaque, et que ces actes préventifs entrent dans lephénomène rebaptisé plus globalement cybersécu-rité.

Ce phénomène, les législateurs nationaux et com-munautaires, ainsi que les Tribunaux, ont été amenésà se pencher dessus et conduits à prendre des déci-sions depuis plusieurs années déjà.

Et si au fil du temps de nombreux textes ont étévotés et promulgués, pour le dirigeant d’entreprisel’attention doit aujourd’hui se porter en priorité surles deux derniers en date, qui sont le fait de l’UnionEuropéenne. Il s’agit du Règlement Général sur la

17 n

Protection des Données (RGPD) à carac-tère personnel publié au Journal Officielle 4 mai 20161 et la Directive sur la sécu-rité des réseaux et des systèmes d’infor-mation dite Directive NIS adoptée par leParlement européen le 6 Juillet 20162.

Mais ces textes communautaires, commela plupart des textes de Lois d’aujourd’hui,sont d’une grande complexité et difficilesd’accès. Ainsi, le RGPD comporte pasmoins de cent soixante-treize « considé-rants » pour le seul préambule du texte,qui donnent suite à quatre-vingt-dix-neuf articles. Dans ces conditions, pourassimiler ces nouvelles règles impéra-tives, comprendre quelles sont ses nou-velles obligations, il faut tenter d’appré-hender le sens de l’histoire, le mouvementdonné par la Loi. Dans le cas de la cyber-sécurité, cela peut se résumer par la for-mule « toujours plus ».

n Toujours plus de sanctionsLes sanctions se multiplient et gagnenten volume depuis maintenant près dedix ans. Ainsi, un délit comme celui « d’accèsou de maintien frauduleux à un système detraitement automatisé de données » qui corres-pond à la violation de domicile dans lemonde physique, sans qu’aucune pertur-bation du système, aucun « vol » ou destruc-tion de données n’ait été commis, a vuses peines doublées par la Loi relative aurenseignement du 24 juillet 2015, passantaux peines maximales de deux ans d’em-prisonnement et de 60.000 euros d’amende.

Mais le plus spectaculaire n’est pas là,il se trouve dans le RGPD et ses sanctionsen matière de données à caractère personnel.La réglementation en matière de donnéespersonnelles connaît un système de doublepeine. Le responsable d’un traitement de

données personnelles, s’il manque à uneobligation de la Loi informatique et libertés,peut être lourdement sanctionné à la foispar une sanction pénale pouvant toucherson dirigeant à titre personnel et par unesanction pour non-conformité prononcée,en France, par la CNIL. Or dans les faitstoute entreprise est responsable d’untraitement de données personnelles neserait-ce que pour ses salariés et l’élabo-ration des fiches de paie, tout e-marchandl’est vis-à-vis de ses clients et de ses pros-pects, etc. Cette obligation concerne donc,potentiellement, toutes les entreprises.

Ainsi le respect de la confidentialitédes données personnelles collectées connaîtce double régime de sanctions. l’article226-22 du Code pénal prévoit que « Lefait, par toute personne qui a recueilli, à l’oc-casion de leur enregistrement, de leur classe-ment, de leur transmission ou d’une autreforme de traitement, des données à caractèrepersonnel dont la divulgation aurait pour ef-fet de porter atteinte à la considération del’intéressé ou à l’intimité de sa vie privée, deporter, sans autorisation de l’intéressé, cesdonnées à la connaissance d’un tiers qui n’apas qualité pour les recevoir est puni de cinqans d’emprisonnement et de 300 000 €d’amende. »

La sanction est la même en cas d’accèspar des tiers non autorisés à des donnéespersonnelles en raison d’un manque-ment aux règles de sécurité, ce que la Loiprévoit par le fait de ne pas avoir pris« toutes précautions utiles »3. Cela signifieque l’accès aux données personnelles a

2- Directive 2016/1148.3- Article 34 de la Loi modifiée n°78-27 du 6 Janvier 1978

relative à l’informatique, aux fichiers et aux libertés.

« En matière de cybercriminalité on peut se trouver à la fois victime et responsable »

LÉGISLATION ET RÉGLEMENTATION

n 18

CYBERSÉCURITÉ ET DROIT : QUE FAUT-IL RETENIR ?

pu avoir lieu parce que les mesures desécurité - techniques et organisationnelles -ne reflétaient pas au jour de l’attaque, lesrègles de l’art attendues en pareille situa-tion (voir le chapitre sur la difficulté à tra-duire les « règles de l’art » en mesures concrètes).

Or, de son côté, la CNIL ne disposaitjusqu’alors que de la possibilité, d’unepart, de sanctionner jusqu’à 150.000 euros(300.000 en cas de réitération), d’autre part,de publier la décision rendue. Des sanc-tions plutôt faibles... Mais dans le RGPD,qui est applicable au 25 mai 2018, ces sanc-tions passent à 20 millions d’euros ou 4%du chiffre d’affaires annuel et mondial ducontrevenant si ce chiffre est supérieur. Lemoins que l’on puisse dire est que la sanc-tion paraît ainsi plus dissuasive.

n Plus de diligencesLes Lois prévoient également plus dediligences à la charge des responsablesde système d’information. Cela signifiepar exemple la généralisation de ce quel’on a appelé la notification d’une faillede sécurité. Prévue pour la première foisdans le dernier Paquet Télécom européentransposé en droit français par une Ordon-nance n°2011-1012 du 24 aout 2011, cetteobligation ne concernait à l’origine queles violations de données à caractèrepersonnel et les seuls « fournisseurs deservices de communications électroniques ».Ces fournisseurs semblaient correspondreaux opérateurs de communications élec-troniques (les ex-opérateurs télécoms) età tous ceux qui offrent un accès aux réseauxnumériques (boutiques avec un accèsWi-fi offert aux clients et accès publicsnotamment). On se demandait bien pour-quoi une telle obligation ne concernaitqu’une seule catégorie d’acteurs écono-miques. Cette anormalité est désormais

corrigée. Désormais, le RGPD prévoitque tout responsable de traitement dedonnées personnelles est concerné parcette notification d’une violation de donnéespersonnelles. Et comme nous l’avons évoquéprécédemment, toute entreprise est désor-mais potentiellement « responsable detraitement de données personnelles », neserait-ce que dans le cadre de l’élabora-tion des salaires…

Bien évidemment pour rendre cetteobligation de notification obligatoire, ledéfaut de notification est puni de 5 ansd’emprisonnement et de 300.000 eurosd’amende4.

S’agissant de la Directive NIS, elle pré-voit que cette notification est même éten-due au-delà des seules données person-nelles, lorsque l’attaque concerne un« opérateur de services essentiels » ayantsubi une cyberattaque.

Dans la même idée, le RGPD a promude nouveaux concepts juridiques auxdoux noms d’accountability et de privacydesign. Là encore, le responsable de trai-tement doit montrer très tôt qu’il a faitdiligence.

Le premier des deux concepts signifie« L’obligation pour les entreprises de mettreen œuvre des mécanismes et des procéduresinternes permettant de démontrer le respectdes règles relatives à la protection des don-nées » selon la définition donnée par laCNIL, tandis que le second concept signi-fie que dès la conception de son systèmed’information les questions de protectionde la vie privée ont été prises en compte.

La multiplication de ces obligations dediligence signifie que l’on est passé d’unesimple obligation de moyens à une obli-

19 n

« L’esprit de la Loi en matière de cybersécurité : toujours plus ! »

4- Article 226-17-1 du Code pénal.


gation de moyens dite renforcée. Nousne sommes finalement plus très loin del’obligation de résultat, bien que celle-ciserait ridicule en matière de sécurité.Toutefois les législateurs exigent désor-mais des acteurs économiques qu’ilsmontrent en permanence une diligencedans leurs actes anticipant les questionsde cybersécurité et qu’ils soient en mesurede le prouver en cas d’attaque ayant desconséquences néfastes.

n Plus de responsablesEnfin, la notion de responsable juridiqueprend une toute autre ampleur avec lesderniers textes promulgués. On savaitdéjà, par une jurisprudence constantedes tribunaux depuis plusieurs années,qu’en matière de cybercriminalité on pouvaitse trouver à la fois victime et responsablesur le plan juridique. Le cas de figuretypique est celui d’un système d’infor-mation auxquels des attaquants avaienteu frauduleusement accès. Le respon-sable de ce système est alors dans ce casbien évidemment la victime. Mais il setrouve que les attaquants ont rebondipour attaquer un second système ciblequi, lui, a connu des dégâts importants.Or, l’attaque n’a été possible que parceque le premier système était défaillant enmatière de sécurité. Dans un cas commecelui-là, bien que victime, le responsabledu premier système d’information peutêtre jugé responsable juridiquement.

Cette mésaventure est devenue un clas-sique en la matière. Orange l’a d’ailleursconnu dans une affaire jugée par la CNIL5.En l’occurrence, 1,3 million de données

clients d’Orange s’étaient trouvées dansla nature. L’enquête menée par la CNILavait révélé un certain nombre de man-quements du sous-traitant de l’opérateur.

Ça n’était donc pas Orange le respon-sable d’un point de vue technique de ladéfaillance, mais en quelque sorte la victime.Pourtant, la CNIL avait relevé notam-ment, que l’opérateur avait communiquéles données concernées à son sous-trai-tant « de manière non sécurisée », c’est-à-dire non chiffrée. C’est donc Orange quela CNIL a choisi de sanctionner sévère-ment.

Aujourd’hui toutefois le RGPD est envoie de permettre également de sanction-ner le sous-traitant. Ainsi, le Règlementeuropéen élargit ainsi le nombre de per-sonnes pouvant être jugées responsablesdans le cadre d’une même affaire.

n En conclusionLe message clair adressé par les législa-teurs, notamment le législateur euro-péen, à tous les acteurs économiques nousparaît être le suivant : la technique et l’or-ganisation sont le préalable de la cyber-sécurité. La Loi s’intéressera désormais àsavoir si vous, organisations de toutessortes, de droit privé comme public, avezmis en place à temps les mesures tech-niques et organisationnelles suffisantespour anticiper les attaques informatiques.A défaut, non seulement vous ne bénéfi-cierez pas de la protection de la Loi maisvotre responsabilité juridique pourraitêtre engagée. Autant donc entendre auplus tôt ce message et s’organiser en consé-quence. n

n 20

5- Délibération 2014-298 du 27 aout 2014.

« De nouvelles sanctions jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel et mondial »

CYBERSÉCURITÉ ET DROIT : QUE FAUT-IL RETENIR ?

1. Préparez la nomination d’un DPOSi l’activité de l’entreprise l’exige, celle-cidevra nommer un Data Protection Officer(DPO) à partir de 2018. S’il n’y a à ce jourpas de Correspondant Informatique &Libertés dédié au sein de l’organisation,ou si ce poste est confié au RSSI en sus deses missions de sécurité des systèmes d’in-formation, il est conseillé d’anticiper ensanctuarisant la fonction de protection desdonnées personnelles et en la faisantévoluer à terme vers un profil de DPO.

2. Documentez clairement les mesures deprotection appliquées aux données àcaractère personnelL’entreprise doit pouvoir prouver

rapidement et de manière claire qu’elleapplique les bonnes pratiques du momenten matière de protection des données àcaractère personnel. Cela peut être exigépar la Justice ou demandé par unauditeur.

3. Renforcez les exigences de protection del’entreprise vis-à-vis de ses sous-traitantset partenaires, et les moyens d’échangeavec ces derniersLa jurisprudence Orange montre que souscertaines conditions l’entreprise peut êtrejugée responsable d’une fuite de donnéespersonnelles de ses clients même si celle-cia eu lieu chez un partenaire.

Pour anticiper

21 n

Engagements et responsabilités del’équipe dirigeante

Par Avi Berliner et Gregory Albertyn

Gregory Albertyn est Directeur Senior et Avi Berliner est responsable Financial Services, Application Strategy & Integration, tous deux chez PwC.

Le Conseil d'administration prend régulièrement desdécisions et fonde ses choix sur le jugement des« gardiens » : des personnes clairement identifiéeschargées de protéger les données les plus straté-giques de l'entreprise. Or, le Conseil ne peut pas sepermettre de tout examiner en détail ; il doit consa-crer son temps à des aspects plus stratégiques.

Pourtant, avec l'évolution permanente des cyber-risques en termes de complexité réglementaire ettechnique, et leur caractère constant, le Conseil d'ad-ministration est amené à élargir de plus en plus sonchamp d'intervention.

Pour l’aider à répondre à la future législation euro-péenne (pour plus d'informations, voir le chapitre« Cybersécurité et droit : que faut-il retenir ? »), vous de-vrez « envisager d'adopter les technologies les plus ré-centes en termes de cybersécurité », dit en substance letexte.

Face à cette définition laissée volontairement vaguepar les législateurs européens, une définition plusprécise devrait se dessiner pour votre propre organi-sation dès que cette dernière aura une meilleure vi-sion de la nature, de l'étendue et du positionnementdes cybermenaces auxquelles elle est confrontée.

n Définir concrètement « Les technologies les plus récentes »?Or, l'intégration des « technologies les plus récentes »mentionnées par le législateur passe impérativementpar la mise en place d'une structure de gouvernancedurable en matière de cybersécurité et de respect de lavie privée. Cette structure, supervisée par la Direction,est chargée de surveiller les cyber-risques et les risquesrelatifs au respect de la vie privée, et l'adéquation des

23 n

3

mesures correctives prises par l'entreprise.Traditionnellement, la protection et laconfidentialité des données poussaient àla mise en œuvre d'un ensemble de modèlesde gouvernance aux objectifs divers: matu-ration des possibilités de gouvernance dedonnées, réalisation d'évaluations en vuede définir un point de référence, créationd'un modèle cible destiné à la hiérarchisa-tion et à la gestion des risques.

A partir de ces approches, des outilsde surveillance et de génération de rap-ports en réaction aux menaces ont ainsivu le jour.

Or cela ne suffit plus : de par l’évolu-tion de la nature même de l’adversaire, lacybersécurité de dernière génération sedoit d'être dynamique afin de tenter nonseulement d'identifier et de répondre à latotalité des nouvelles menaces, mais sur-tout de le faire quasiment en temps réel.

n L'architecture de protection de la vieprivée évolue au gré des nouveauxsystèmes.

Nous assistons en outre aujourd'hui àune nouvelle évolution avec l'apparitionde l'architecture de protection de la vieprivée. Cette architecture regroupe unensemble de recommandations et de prin-cipes qui sont directement intégrés dansles processus technologiques et métiers,et non plus rajoutés après coup (il s’agitdu concept de « Privacy by Design » selon leterme consacré).

La cyber-résilience fait désormais partieintégrante de votre structure opération-nelle. Les coûts de mise en conformité etles besoins en ressources sont donc réduits.Vous pouvez ainsi inscrire une gouver-nance contre les cyber-risques et les risquesliés à la vie privée directement dans vosplans stratégiques, à l'instar de vos acti-vités quotidiennes.

Par ailleurs, les technologies les plus

récentes exploitent également les possibi-lités exponentielles du Big Data. Elles tirentparti non seulement de ses capacités destockage et d'analyse visant à améliorerconstamment les écosystèmes applicatifs,mais également de ses possibilités d'ana-lyse prédictive en temps réel par lot.

Grâce à ces technologies, vous pouvezdéployer des outils d'apprentissage ma-chine et d'autres outils d'intelligence arti-ficielle pour protéger les fonctions et don-nées métiers stratégiques contre les vecteursd'attaque encore inconnus.

Vous devez adopter de plus en plus large-ment des mesures de respect de la vie privéedès la conception (« Privacy by design »)pour vous assurer que l'architecture desécurité et d'entreprise répond aux exigencesde conformité en matière de cyber-rési-lience et de respect de la vie privée lors del'évaluation initiale. Vous devez, par ailleurs,veiller à son examen par toutes les partiesprenantes concernées.

n La cybergouvernance devrait faire partieintégrante de la stratégie de l'entreprise.

Pour maîtriser au mieux votre programmede mise en conformité dans le domainede la cybersécurité et du respect de la vieprivée, vous devez vous familiariser (inutiled'être expert) avec la nomenclature adoptéepar un grand nombre de professionnelsconcernant les « technologies les plusrécentes », à savoir :n Chiffrementn IAM (« Identity and Access Management »

ou gestion des identités et des accès)n Anonymisationn Masquage des donnéesn Indicateurs basés sur les risques et tableaux

de bordSi cette terminologie vous est incon-

nue, demandez au responsable de la sé-curité des systèmes d'information de vousexpliquer leur importance en matière de


n 24

risques réglementaires et opérationnels.D'autre part, en tant que dirigeant, vous

devez être conscient des risques liés auxpoints suivants :n Décentralisation des données, et plus

particulièrement lors de leur utilisationdans le Cloud (lire à ce sujet le chapitre 8,« Le Cloud, vous y êtes déjà »)

n Données non structurées et non géréesdans des environnements sécurisés etprotégés à l'aide de contrôles adaptés

n Accès et transfert global des données àvos systèmes par votre personnel, vosclients et les parties prenantes

n Qui doit gérer les risques ?Dans un grand nombre d'organisations,les capacités d'analyse des menaces sontéclatées entre plusieurs fonctions, sitesphysiques et systèmes.

Pour remédier à cela, vous devez dis-poser d'une fonction d'analyse des me-naces, puissante et centralisée, et d'unepossibilité de réponse efficace et coor-donnée, là encore de façon centralisée.

D'après notre expérience, les fonctionsde cybersécurité et de gouvernance desdonnées des entreprises doivent inclureune combinaison de ces trois groupes etêtre organisées pour mener à bien cestâches et responsabilités.

Voici les principaux membres de l'équipede direction qui devront être impliquésau sein de l’organisation :n Directeur de la sécurité informatique

(CISO)n Président Directeur Généraln Responsable de la gestion des risques

(CRO)n Responsable de la sécuritén Directeur du respect de la vie privée

(CPO)n Directeur des données (CDO)n Directeurs métiers et fonctionnels, par

exemple planification de la continuitéde l'activité, service juridique, risques etréglementation.

Leurs principales responsabilités :n Collabore avec les membres de la direc-

tion pour définir une stratégie de luttecontre les cyber-risques.

n Classe et hiérarchise les ressources stra-tégiques.

n Définit le budget alloué à la lutte contreles cyber-risques.

n Surveille le positionnement de l'organi-sation en termes de cyber-risques et enréfère à la direction et au Conseil d'ad-ministration.

n Examine les rapports établis par les équipesopérationnelles et de suivi des cyber-risques, et aide à hiérarchiser les cyber-menaces émergentes.

n Révise la stratégie afin d'adapter le pro-gramme en fonction de l'évolution descyber-risques.

L’équipe de Direction devra ensuites’appuyer sur plusieurs équipes (ou desgroupes d’équipes) aux rôles et responsa-bilités clairement définis :

Equipe : supervision des cyber-risquesMembres : les équipes en charge des

technologies de l'information, du sup-port, de la mise en conformité/gouver-nance des données, et les équipes detravail.

Responsabilités :n Évalue les risques actifs rencontrés par

l'organisation, leurs auteurs et les res-sources menacées.

n Évalue l'efficacité de l'équipe opéra-tionnelle.

n Identifie les nouvelles menaces et améliore la protection des ressources d'in-formations.

n Identifie en quoi l'évolution du marché

ENGAGEMENTS ET RESPONSABILITÉS DE L’ÉQUIPE DIRIGEANTE

25 n

modifie le cyberpérimètre (par exem-ple, offres de nouveaux services, four-nisseurs, vendeurs ou partenaires com-merciaux).

n Surveille le contrôle des changements,et garantit le respect de la vie privée etla sécurité dès la conception en cas dechangements des systèmes stratégiqueset des principales activités de traite-ment des données.

n Supervise les programmes de forma-tion des employés.

n Examine les nouvelles obligations ré-glementaires et de mise en conformité.

Équipe : gestion des cyber-risquesMembres : responsables et experts en

matière de réseaux, de sécurité de l'in-formation, de fraude et de sécurité d'en-treprise, le centre de gestion de la sécu-rité (SOC)

Responsabilités :n Premier dispositif de défense chargé

de détecter les cyberévénements et d'yrépondre.

n Collecte des informations en tempsréel auprès de tous les groupes sur-veillant les cybermenaces.

n Génère des rapports pour le suivi et lagouvernance des cyber-risques, en pré-cisant notamment le nombre, le typeet la durée des cyberattaques.

n Gère un cadre DevOps mature garan-tissant la qualité du code et des appli-cations, et proposant des fonctionna-lités d'analyse et de suivi des cybermenaces.

En adoptant une telle structure, vouspourrez bénéficier au mieux des techno-logies les plus récentes en matière de cy-bersécurité.

Pour cela, vous devrez également vousrenseigner auprès des techniciens sur

toutes les possibilités existantes, qu'ellessoient nouvelles, en cours de maturationou de développement.

Le programme de lutte contre les cy-ber-risques et les risques relatifs aux don-nées doit permettre d'identifier les res-sources métiers les plus stratégiques etde connaître à tout moment leur empla-cement ainsi que les personnes autori-sées à y accéder. Ces ressources regrou-pent les informations et processus qui,s'ils étaient subtilisés, endommagés ouutilisés à des fins malveillantes, pour-raient causer d'importantes difficultés àvotre entreprise et altérer la réputationde sa direction en termes de prudence etde fiabilité.

Il s’agit, par exemple, des secrets com-merciaux, des stratégies de marché, desalgorithmes de négociation, des méthodesde conception de produits, des nouveauxplans marketing, les données relatives aumarché ou aux clients ou bien d'autresprocessus métiers vitaux.

n Identifiez clairement les personnes en charge des jeux de données

Ces ressources stratégiques sont impor-tantes à bien des niveaux. Elles sont de laresponsabilité des dirigeants, à l'instardu directeur financier vis-à-vis du résultatfinancier de l'entreprise (et il est doncvital d’identifier clairement les personnesresponsables de chacune des ressourcesstratégiques).

Votre équipe de gouvernance, qui s'ap-puie sur un niveau approprié de connais-sances, d'expertise et d'implication à tousles niveaux de l'organisation, a en chargede répondre aux cyberévénements. Pourcela, elle doit anticiper ces événementspour éviter toute catastrophe.

L'équipe doit pour cela parfaitementmaîtriser les risques, les outils disponi-bles et les possibilités existantes pour


n 26

ENGAGEMENTS ET RESPONSABILITÉS DE L’ÉQUIPE DIRIGEANTE

réagir avant qu'un cyberévénement ne seproduise. Le développement de réponsespréparées et testées (programme) est né-cessaire à la planification et à la prépara-tion efficaces des réponses à donner auxcyberévénements.

Exploitez les renseignements collectéstout au long du processus de développe-ment de ces programmes. Chaque pro-gramme indique la personne qui doit in-tervenir, ses responsabilités et ce qu'elledoit faire exactement.

L'utilisation des technologies les plusrécentes implique également de repasserrégulièrement en revue chaque programmeen fonction de la classification et de la

hiérarchisation des risques, pour bénéfi-cier en permanence de techniques de col-lecte de cyber-renseignements, de cyber-technologies et d'options d'assuranceactualisées (Lire à ce sujet le chapitre 10,« L’avenir de la cyberassurance »).

n En cas de doute, posez des questions !Les cybermenaces et les obligations régle-mentaires demeurent fluides et dyna-miques. En cas de doute, demandez conseilà un expert et pensez à évaluer les tech-nologies les plus récentes pour déve-lopper une feuille de route adaptée etvérifier ainsi que vous disposez d'un niveaude résilience le plus élevé qui soit. n

27 n

4 Qu’est-ce que l’ «état de l’art » en matièrede cybersécurité, et pourquoi doit-ons’y intéresser ?

Par Greg Day

Greg Day est Vice-Président et CSO EMEA chez Palo AltoNetworks, responsable de la stratégie de cybersécurité etdu développement de la Threat Intelligence.

C’est incontestable, nous dépendons de plus en plusde la technologie (lire le chapitre précédent au sujet denotre dépendance à la technologie).

Face à ce constat, l’Union européenne a revu salégislation afin d’introduire la notion « d’état del’art» dans l’article intitulé « Protection des donnéesdès la conception et protection des données pardéfaut » du Règlement général sur la protection desdonnées.

Cette expression apparaît également dans la Direc-tive sur la sécurité des réseaux et de l’information,relative à la cybersécurité des services de confiance etaux fournisseurs de services de confiance (dite direc-tive NIS). Aussi simple soit-elle, cette expression aurapourtant des conséquences majeures sur votre acti-vité à venir. Il est donc judicieux de voir dès mainte-nant ce qu’elle implique pour vous comme pourd’autres acteurs (les auditeurs, les clients et les parte-naires, par exemple).

À première vue, le sens de cette expression peutsembler évident ou confus, selon le secteur d’activitédans lequel vous évoluez. Les acteurs du secteurfinancier, par exemple, sont habitués à des exigencesbeaucoup plus prescriptives émanant de leurs propresautorités de régulation. A l’inverse, d’autres pourronty voir ce qu’eux-mêmes, en tant d’équipe de sécurité,font au quotidien : à savoir surveiller les risques enpermanence et s’adapter aux cybermenaces afin degérer ces risques. C’est surtout cette dernière visionqui nous pousse à nous interroger sur la significationprécise de l’expression « état de l’art ».

29 n

n Adapter la réponse de la cybersécurité auxmenaces du moment

Cela peut sembler anodin. Pourtant, nousdevons nous y intéresser afin d’évaluer laréponse apportée par notre équipe decybersécurité, pour plusieurs raisons : enl’absence de capacités de cybersécuritébien adaptées aux menaces émergentes,votre entreprise s’expose inutilement àdes risques qui peuvent non seulement serévéler plus coûteux à gérer par la suite,mais peuvent également avoir de lourdesconséquences sur votre activité.

Désormais, notre univers est centréautour de la technologie, et les change-ments en la matière se font à un rythmeeffréné. C’est pourquoi la cybersécuritédoit continuer à s’adapter au même rythme,qu’il s’agisse des menaces émergentes oude l’évolution des pratiques métier.

Cela fait 30 ans que je travaille dans lesecteur de la cybersécurité et depuis toutce temps, ce secteur a affiché un rythmed’évolution soutenu. Chaque année, nousdevons résoudre de nouveaux problèmeset tenter en parallèle de consolider lescapacités existantes. Cela suscite un défimajeur : pendant que nous évoluons, nousne prenons pas le temps d’envisager leschoses sous un angle plus large. Les fonda-mentaux de la cybersécurité sur lesquelsnous nous sommes appuyés il y a déjàquelques années sont-ils toujours d’ac-tualité ? Pendant des siècles, nous avonspensé que la terre était plate, jusqu’à ceque la science prouve le contraire. Notrecapacité en matière de cybersécurité est-elle limitée par d’antiques croyances simi-laires ?

n Ne pas hésiter à remettre en cause savision de la cybersécurité

Quels sont donc les préceptes à revoir ?

(1) Comme dans tout autre aspect écono-mique, l’information est la clé. Despans entiers de notre activité pren-nent le chemin du numérique. La ques-tion essentielle est donc de savoir quelssont ceux qui vont vraisemblablementpasser au numérique, et parmi euxquels sont ceux qui auront un impactmajeur sur notre activité.Pour apporter une réponse fiable àcette question vous devez non seule-ment vous appuyer sur des sourcescommerciales, mais aussi accéder auxconnaissances sectorielles et aux groupesde partage pertinents, et tirer parti devos connaissances organiques. La nouvelle législation indique de« tenir compte de l’état de l’art ». Enclair, vous devez être en mesure dedémontrer que vous possédez des infor-mations actuelles sur les menaces exis-tantes et des conséquences qu’ellespeuvent avoir sur votre activité et survos clients. Vous devez donc demanderà votre équipe non pas de confirmerle problème, mais plutôt la manièredont elle l’a qualifié, et surtout, sacapacité à le maîtriser, soit en accep-tant le risque soit en mettant en placeune prévention.

(2) Les cyberattaques sont passées de l’équi-valent d’un organisme unicellulaire àune forme de vie complexe. En quoicela est-il important ? C’est importantcar la cybersécurité a résolu les problèmesles uns après les autres, le plus souvent

« Les cyberattaques sont passées de l’équivalent d’unorganisme unicellulaire à une forme de vie complexe »


n 30

L’ÉTAT DE L’ART EN MATIÈRE DE CYBERSÉCURITÉ ?

sans considérer les risques qui peuventnaître de l’interaction de ces problèmesindividuels entre eux. En d’autres termes,pour reprendre l’analogie précédente,nous recherchons des cellules indivi-duelles ; dans le monde moderne, nousnous retrouvons avec beaucoup derésultats d’analyses, qui nécessitentune intervention humaine, lente etcoûteuse et génèrent souvent de piètresrésultats. Pour prendre une autre analogie, unemaison doit reposer sur des fonda-tions solides. Mais la cybersécurité,elle, n’a jamais eu de telles fondations.Il est donc temps de prendre du reculet de vous interroger sur les fonda-tions qui permettront à votre cybersé-curité de fonctionner de manière cohé-rente et efficace, à court comme à longterme. Rappelez-vous que la techno-logie est là pour automatiser les processushumains, et pas l’inverse !

(3) Dans le monde physique, lorsque l’onmanque de coordination entre les partiesprenantes, chacun creuse un trou dansson coin et dans un but différent. Dansle monde de la cybersécurité, c’est pareil.Plusieurs technologies répètent desprocessus clés (comme le décodage dutrafic réseau) afin d’effectuer leur partd’analyse de la sécurité. Cela est inef-ficace et dans un monde toujours plusnumérique, l’inefficacité techniquedevient vite inexcusable. Il faut donc couper les branches mortes.Lorsqu’un processus fonctionne depuisdes années, il est difficile de le remettreen cause. Mais lorsque son efficacitécommence à décroître, c’est alors néces-saire. Engagez votre équipe de sécu-

rité dans une réflexion visant à identi-fier et à se débarrasser des processus,des projets et des pratiques qui n’ontplus lieu d’être parce que leur effica-cité n’est plus au même niveau quelors de leur mise en œuvre.

(4) Intéressez-vous à la manière dont latechnologie est réellement utilisée plutôtqu’à savoir comment elle devrait l’êtreen théorie. La technologie, tout commela cybersécurité d’ailleurs, doit faci-liter l’activité en s’adaptant aux usagesréels, et non l’inhiber en imposant uneutilisation spécifique à laquelle il faudraitse plier.

(5) Nous devons tenter d’identifier lesméthodes employées par les cybercri-minels avant que nous ne soyons touchés.Les cybercriminels ont besoin de tempspour s’attaquer à des systèmes publicsou intercepter des flux monétaires. Ceparamètre devrait être pris en comptelorsque nous tentons d’identifier lemode d’action complexe des attaquants.Hélas cela est difficile avec les solu-tions de cybersécurité actuelles, quirépondent généralement au coup parcoup sans une vision globale de l’ac-tion de l’adversaire. Il nous faut trouverune solution plus systématique.

n La législation européenne : une opportunitéLa nouvelle législation européenne nousdonne une occasion unique de prendredu recul afin d’échapper à la spirale duquotidien et d’évaluer ce qu’il « convient »de faire avec la cybersécurité. Une cyber-sécurité tenant compte de l’état de l’artest une exigence dynamique qui néces-site de revoir régulièrement ce qui est de

31 n

« Testez votre cybersécurité en situation réelle en exécutantrégulièrement des tests d’intrusion »

l’ordre du possible, à travers le prismedes risques réels et pertinents. Mélangerdes capacités modernes et héritées revientà prendre le départ d’une course avec unhandicap : la cybersécurité devra s’adapteraux éléments hérités et ne pourra donnertoute la mesure de son efficacité.

Si j’ai un conseil à vous donner à mesureque nous nous ancrons dans l’ère de latechnologie de pointe, ce serait d’avoirune idée claire de ce à quoi doit ressem-bler la réussite dans votre domaine (pardu benchmarking, par exemple), et de ceque l’état de l’art doit vous apporter poury parvenir.

Testez ensuite votre cybersécurité encondition réelle en exécutant des testsd’intrusion qui simulent une attaque ciblée,portant notamment sur différentes fonc-tions de l’entreprise afin de déterminercomment votre défense s’en sort face à unattaquant minutieux. Rappelez-vous quetenir compte de l’état de l’art est une tâchedynamique. Cela exige une attention régu-lière afin de rester conforme à la fois auxexigences réglementaires et aux meilleurespratiques. Pour finir, discutez avec d’au-tres acteurs du secteur afin d’obtenir unpoint de comparaison et profiter ainsi dela sagesse collective de vos pairs ! n

1. Quelle est la fréquence de nos tests d’intrusion ?Il n’y a pas de bonne réponse ici, car celaest fortement dépendant de votreorganisation et du périmètre concerné.Mais il y a une mauvaise réponse :« jamais » ! Considérez qu’une fois par anest un strict minimum.

2. Quand a été revue notre politique de sécurité (PSSI) ?Là aussi, il y a surtout une mauvaiseréponse : « jamais » ! Pour le reste, la PSSIdoit être revue régulièrement, ainsi queses annexes (chartes informatiques, etc.)

3. Quel dispositif a-t-on mis en place afinde s’assurer d’être toujours informé desdernières menaces ?Un dispositif de veille technologique etréglementaire dédié à la cybersécurité estindispensable. C’est notamment lui quidictera en partie la réponse aux questionsprécédentes : des tests d’intrusion supplé-mentaires peuvent s’avérer nécessairesquand le périmètre s’agrandit ou quandde nouvelles menaces sont identifiées, etune révision de la PSSI ou de ses annexespeut s’imposer pour prendre en compteces dernières, ainsi que de nouveauxusages.

Les bonnes questions à poser à l’équipe


n 32

III Tendances

5 La cybersécurité, ingrédient majeur dela transformation numérique.

Par Olivier Ligneul

Olivier Ligneul est Responsable de la Sécurité des Systèmesd’Information du Groupe EDF, impliqué dans le projet detransformation numérique du groupe. Il livre ici sa vision dela transformation numérique au sein d’un groupe industrielet du rôle central que doit jouer la cybersécurité.

La transformation numérique est désormais passéed’un effet de mode à une nécessité impérieuse pourles entreprises. En effet, la concurrence s’est accrueau niveau mondial. Rapides et agiles, les modèleséconomiques émergents s’appuient désormais surdes concepts tels que la désintermédiation (réductiondu nombre d’intermédiaires), la coproduction et l’entre-prise étendue.

Ainsi, afin de gagner en flexibilité et en vitesse, ilest nécessaire de travailler en filière et de partager lacréation de la valeur ajoutée. Cette nouvelle ère secaractérise par l’utilisation de multiples canaux decommunication et le stockage d’importants volumesde données. Le cloud computing, le big data et les solu-tions de collaboration deviennent ainsi les vecteursessentiels de ces nouveaux processus de production.

Plus récemment, l’internet des objets a engendré uneautre révolution, qui promet de relier l’humain et lemonde qui l’entoure à l’espace digital. Une fois trai-tées dans le monde numérique, ces données permet-tent de générer une plus-value dans le capital de l’en-treprise, améliorent sa compétitivité et orientent seschoix stratégiques. Mais cette révolution se fait au prixde la collecte d’un gigantesque volume d'information(les méga-données) relatives aux personnes, aux processusde l’entreprise et à ses organes de production et dedistribution.

On le devine ainsi clairement : les choix technolo-giques qui soutiennent ces promesses de flexibilité etde compétitivité sont donc naturellement porteurs,aussi, de risque numérique, y compris pour les grandes

35 n

entreprises censées y être mieux prépa-rées.

Pour autant, ce risque numérique n’estpas le plus important. Un risque accruréside dans le fait que la transformationnumérique est inéluctable mais que l’en-treprise peut ne pas être prête à l’assumer.Ce déni aboutirait alors potentiellementsur un débordement par des acteurs plusagiles, de plus petite taille, qui pratique-raient l’intermédiation. Dans ce cas defigure, la transformation numériqueconstitue donc l’assurance de la surviepour l’entreprise.

Bien qu’elle semble ainsi inéluctable ilne s’agit évidemment pas d’aborder latransformation numérique sans y être préparé.Puisqu’elle s’appuie sur des volumes dedonnées très importants , elle se traduitpar une exposition beaucoup plus fortedu capital informationnel et des processusimmatériels, notamment à cause de leurvolatilité.

Il est donc nécessaire d’intégrer au plustôt la problématique cybersécurité dans lastratégie et la gouvernance de l’entreprise.

Au sein du groupe EDF, cette dynamiques’est matérialisée dans le cadre d’une stra-tégie baptisée Cap 20301 qui porte l’ambi-tion du groupe impulsée par son Prési-dent Directeur General Jean-Bernard Lévy.

Les contraintes propres à un groupeindustriel tel EDF sont fortes : il est néces-saire, entre autres, que cette transforma-tion numérique ne mette pas en difficultéles organes de production ou de distribu-tion. Elle doit donc être mise en œuvre enveillant à ne jamais impacter les condi-tions de sûreté et doit bénéficier des moyensde sécurité du système d’information

afin de garantir son accomplissement etsa pérennité.

Et tout ceci avant même de parlerd’« entreprise étendue »…

n L’entreprise étendue« L’entreprise étendue » est le terme employépour designer un groupe d’entreprisesqui s’associent et collaborent à travers desoutils et des processus communs. Trèsutilisée dans l’aéronautique, principale-ment à des fins d’amélioration de la colla-boration et des chaînes logistiques, cettedynamique s’étend sur différents processus,dont ceux de l’ingénierie, à tous les acteursdu monde industriel.

Le domaine de l’énergie n’échappe pasà ce mouvement. Ce décloisonnementdes relations entre les acteurs économiquesd’une même filière est vertueux car ilapporte de la fluidité, de l’efficacité dansla réalisation des travaux et une plus granderapidité.

Cependant, connecter les différentssystèmes d’information d’organisationsayant leur propre historique et une archi-tecture particulière à chacune d’entreelles pose la problématique de la maîtrisedes processus et des informations qui ycirculent, notamment dans une perspec-tive de sécurité globale.

La solution passe ici par la définitionde cercles de confiance associés à chaqueniveau de sensibilité. Ceux-ci doiventêtre identifiés et communément admistrès en amont au même titre que le niveaude confidentialité et de criticité des diffé-rents processus.

Cette vision commune des risques doiten outre être maîtrisée par les dirigeants

TENDANCES

n 36

1- https://www.edf.fr/groupe-edf/premier-electricien-mondial/strategie-cap-2030

« Les données générées par l’Internet des Objets améliorent la compétitivité et orientent les choix stratégiques »

car tout ne pouvant être protégé, il estnécessaire de faire des choix informés etconsentir des efforts portés par des mesuresde sécurité adéquates au regard de cesexigences. C’est d’ailleurs là tout le prin-cipe d’une homologation de sécurité telleque décrite dans la loi de programmationmilitaire qui s’applique aux opérateursd’importance vitale (OIV).

n Une forte maturité nécessaire au sein del’entreprise

En matière de protection des systèmesd’information, il convient désormais dene plus opposer les experts de la sécuritéaux responsables opérationnels des entre-prises, car la transformation numérique afait voler en éclats cette frontière.

Mais cela exige une bonne coordina-tion et une bonne communication entretous les acteurs, non seulement au seinde l’entreprise elle-même mais aussi avecses partenaires dans le cadre de l’entre-prise étendue.

Il devient donc impératif de chercher àmettre en œuvre des modes de commu-nication efficaces, notamment à « hautniveau » entre les responsables des métiers,le RSSI et les dirigeants de l’entreprise.Cela exige, évidemment, une forte matu-rité de la part de l’organisation.

n Fluidité, agilité et rapiditéAinsi qu’évoqué précédemment, la rapi-dité est devenue autant un avantage concur-rentiel qu’une contrainte de survie del’entreprise. Cela s’est traduit dans lessystèmes d’information par un recoursgrandissant aux méthodes agiles et à l’ap-proche « DevOps » (rapprochement des

fonctions de développement et d’exploitationdans un mode d’intégration continue).

Dans cette recherche d’agilité il est pour-tant difficile de délivrer de nouvellesapplications sécurisées à la volée, en fonc-tion des besoins immédiats des différentsmétiers. Car la sécurité nécessite du temps,à la fois pour s’approprier le projet maisaussi pour prendre le recul nécessaire àl’élaboration des scenarii d’attaques perti-nents.

Face à ce constat l’entreprise pourraitêtre tentée de ne pas faire appel à cesnouvelles méthodes pour des raisons desécurité. Cela serait pourtant suicidaire,car elle serait alors condamnée à « mouriren bonne santé » !

La solution à ce dilemme est en réalitéde faire évoluer la sécurité des systèmesd’information vers une fonction métier etnon une fonction support. Celle-ci doitêtre prise en compte dès la genèse duprojet, lors de l’expression de la demandeou du besoin. Cette activité n’étant plusanecdotique - dans le cadre de la trans-formation numérique un système d’in-formation non sécurisé pourrait égale-ment être létal - il convient alors d’associerformellement le RSSI à la direction géné-rale et à la gouvernance des projets, afinqu’il puisse y jouer pleinement son rôlede conseil et d’influence, et ainsi contri-buer au succès attendu.

n Plus de données, plus de sécuritéNous l’avons vu, une transformation numé-rique réalisée dans de bonnes conditionsgénère une masse considérable d’informa-tions. Celle-ci a de la valeur et doit doncfaire l’objet d’une protection accrue, car

LA CYBERSÉCURITÉ, INGRÉDIENT MAJEUR DE LA TRANSFORMATION NUMÉRIQUE

« La transformation numérique est inéluctable et constitue une assurance de la survie pour l’entreprise.

Elle doit se préparer à l’aborder. »

37 n

l’impact d’un vol d’informations sera d’au-tant plus fort que l’entreprise est avancéedans son processus de transformation numé-rique. Ainsi celle-ci s’accompagne-t-ellenécessairement d’un effort accru sur laprotection de la propriété intellectuelle.

Mais comment y parvenir ? Partant duprincipe que l’on ne peut bien protégerque ce que l’on connaît, la première étapesera d’appréhender les données et lesprocessus générés par la transformationnumérique dans une dynamique straté-gique pour l’entreprise, en particulierautour d’un programme de gouvernancedes données. Celui-ci intègre notamment,sous leur forme quasi-régalienne, les poli-tiques en matière de cybersécurité et deprotection des données personnelles (seréférer au chapitre 2 pour en apprendre davan-tage au sujet des obligations et des stratégiesliées au traitement des données à caractèrepersonnel).

n Le dirigeant doit être à la manœuvreL’attaquant a désormais pleinementconscience de l’Eldorado que constituentles données dont regorgent les entreprises,et il cible sans relâche ces dernières.

Celles-ci doivent alors en retour bâtir unchaînage de survie qui leur permettra deréaliser leur transformation numériquedans de bonnes conditions en dépit d’unemenace omniprésente. Un socle génériquede sécurité doit donc être organisé pourrépondre à ces agressions potentielles.Celui-ci s’appuie sur des outils, des experts,une capacité opérationnelle démontrée etune coordination sans faille entre tous lesacteurs de l’entreprise. Le dirigeant doitdonc impérativement connaître, sans jargonni opacité, quels sont les moyens à sa dispo-

sition en matière de supervision (SecurityOperations Center , SOC), de défense, d’in-vestigation, de gestion de crise et de sensi-bilisation (à commencer par sa propre sensibi-lisation, voir chapitre 11).

C’est également à lui d’arbitrer et validerau niveau du CODIR les orientations stra-tégiques en cybersécurité à moyen et longterme, au regard des synthèses des inci-dents de sécurité majeurs dont son orga-nisation a dû se défendre. Ainsi, la tête del’entreprise pourra trouver le juste milieuentre l’indispensable injection de cybersé-curité et la nécessité d’innover et de setransformer dans le monde numérique,sans mettre pour autant en danger cettedernière par un excès de prudence. Ledirigeant jouera alors ici pleinement sonrôle de pilote.

n Stabilisation de la protection etsécurisation des effets de latransformation numérique

Ayant constaté l’avènement de la trans-formation numérique, les DSI ont su adapterleurs méthodes et leurs systèmes d’infor-mation. De même la sécurité du SI doitdésormais faire l’objet d’une industriali-sation, ne serait-ce que pour en maîtriseret contenir les coûts.

Cette intégration dans l’ « usine infor-matique » aura également comme effetvertueux d’être en mesure d’apporter dela valeur à tous les projets issus de latransformation numérique, en limitantau maximum le sur-mesure «par projet».

Cette accélération qui s’impose aux orga-nisations entraîne un cycle d’émergencede nouvelles technologies et de rupturesbeaucoup plus court qu’auparavant.

Cela oblige la sécurité à s’approprierces nouveaux concepts plus en amont.

TENDANCES

n 38

« Le dirigeant doit connaître, sans jargon ni opacité, quels sontles moyens qu’il a a ̀ sa disposition en matière de supervision »

LA CYBERSÉCURITÉ, INGRÉDIENT MAJEUR DE LA TRANSFORMATION NUMÉRIQUE

C’est le cas, par exemple, des blockchains,qui apportent de la fluidité dans les trans-actions financières et les échanges numé-riques, grâce à des techniques basées surla cryptographie, mais qui influencentégalement les futurs usages des métiers(digitalisation sans intermédiaire destransactions financières, de biens et deservices). Sans sécurité, l’émergence decette technologie et son utilisation par etau sein de l’entreprise sera freinée auprofit des plus agiles et des plus rapides.

Au confluent de tous ces nouveaux modesde fonctionnement des entreprises, leRSSI est en première ligne pour intégrerles nouveaux codes de la fonction Sécu-

rité du Système d’Information. Pluridis-ciplinaire, communicant et adaptable, ilest le mieux placé pour se mettre au servicedes métiers et du dirigeant afin de compléterles éclairages qui leur étaient tradition-nellement fournis.

Il est l’homme-clé pour faire adopterpar l’entreprise, sous l’impulsion déci-sive de son dirigeant, un socle de cyber-sécurité fort, capable d’assurer le processusde transformation numérique, lui-mêmeessentiel à la survie de l’organisation.

Car en matière de sécurité du systèmed’information, l’entreprise doit faire faceaux mêmes règles que celles qui régissentsa survie : elle doit évoluer ou disparaître. n

1. La Sécurité des Systèmes d’Information(SSI) est-elle partie prenante de notreeffort de transformation numérique ?Il est possible, surtout en phase de démar-rage, que seuls le marketing et la DSIsoient associés au projet detransformation numérique. Mais la SSIdoit impérativement l’être également.

2. La communication entre la SSI et lesmétiers est-elle efficace et sans obstacles ?Vue des métiers, la SSI peut être perçuecomme un frein aux projets en mald’agilité, tandis que celle-ci peutconsidérer les métiers comme étant trop

friands de risque. Il est impératif pourtantque les deux parviennent à travailler deconcert, et donc à communiquerefficacement.

3. Toutes les initiatives numériques font-elle l’objet d’une validation, mêmerapide, par la SSI ?Il est courant que de nombreux projetsannexes échappent entièrement à la SSIcar ils n’apparaissent pas sur son radar. Il est important qu’existent desprocédures capables d’alerter la SSI dès ledémarrage d’un projet impliquant lenumérique.

« La transformation numérique fait voler en éclats la frontièreentre experts de la sécurité et responsables opérationnels »

39 n


Définir le profil du RSSI 3.0Par Ahmad Hassan

Ahmad Hassan est Partner au sein de la Practice Technologieset Services du Cabinet parisien Heidrick & Struggles. Il seconsacre au recrutement des dirigeants et au conseil enleadership dans le domaine des technologies de l’information.

Avec l’accélération de la transformation numériquemenée par un grand nombre d’entreprises (lire à cesujet le chapitre 5 consacré à la transformation numé-rique), nous avons tous constaté la prolifération duterme « CxO », qui signifie que certains rôles sont soittrès proches, soit font partie intégrante du Comité deDirection. L’on peut rencontrer ainsi le Chief Infor-mation Officer (DSI), le Chief Technology Officer, leChief Digital Officer, le Chief Data Officer et mainte-nant le CISO (le Chief Information Security Officer),que nous avons nommé en français le RSSI !

Les vraies questions que nous devons soulever sont desavoir si tous ces CxO de connotation technique ont laplace dans un Comité de Direction, comment définirleurs mandats et surtout comment les sélectionner !

Quelles sont donc les compétences, expériences, exper-tises et comportements indispensables pour mieuxprotéger l’entreprise contre les cyberattaques ?

Avant d’essayer de décrire le « portrait-robot » duRSSI idéal, il est intéressant de porter un regard ra-pide sur l’évolution de la fonction et des compé-tences exigées pour l’exercer au mieux.

n La préventionLe rôle principal du RSSI est la protection du SystèmeInformatique de son entreprise. Historiquement, lescompétences requises sont surtout d’ordre technique.Comment utiliser les outils, les équipements et les logicielspour empêcher la pénétration des malfaiteurs au cœur dusystème informatique, ou comment envisager la protec-tion de la citadelle ? Mais a peine a-t-on prononcé le mot« citadelle » que déjà le monde a changé ! Les clients et lescollaborateurs sont devenus mobiles et très exigeants : uneentreprise B2C qui ne fournirait pas à ses clients un service

41 n

6

« anytime, anywhere, any device » ou ne pren-drait pas en compte le phénomène BYOD(Bring Your Own Device) pour ses collabora-teurs aurait un handicap compétitif.

Mais l’augmentation de ces points d’accèsau réseau d’entreprise favorise naturelle-ment et de façon conséquente le risqued’infractions, car le mur de la citadelledoit être ouvert en de nombreux endroitspour accommoder les clients et les utilisa-teurs mobiles.

Ainsi, de nos jours, un RSSI qui préco-niserait la construction d’un mur de protec-tion autour de son entreprise comme seulesolution ne lui rendrait pas un grand service !

n L’évaluation du risqueSi la solution d’un mur électronique impé-nétrable autour de la société n’est plusadaptée, c’est que le rôle du RSSI doit

évoluer avec les besoins. Il doit désor-mais se tourner aussi vers l’évaluation etla gestion des risques.

A ce stade, toute la difficulté est de trou-ver le juste milieu entre une nécessaireouverture vers le monde extérieur et uncontrôle efficace des risques ; le rôle d’unRSSI commence alors à devenir varié...

Cette nouvelle exigence a fait beau-coup évoluer le rôle du RSSI. Il a dû acquérirun véritable sens de l’écoute, la capacitéde comprendre les besoins et les contraintesdes métiers, de dialoguer avec les Diri-geants, tout en étant capable d’intégrerune somme importante d’éléments dansle cadre de son évaluation des risques.

n La gestion des crisesIl est acquis que beaucoup d’attaques contrele système d’information passent inaperçues,et parfois même pendant plusieurs centainesde jours. Et cela quelle que soit la taille ou lesressources mises en œuvre par les entreprisesvisées : même des géants tels Gemalto,LinkedIn,TV5, ou Ebay ont été victimes ! Lerôle du RSSI doit alors à nouveau évoluervers la gestion des crises, afin d’être en mesurede mieux accompagner son entreprise sicelle-ci dit être victime d’une attaque. Celaexige encore de sa part de nouvelles compé-tences : du sang-froid, une grande capacitéd’écoute, d’analyse et de communication, laprise de décisions rapides et la capacité àcoordonner l’action. Cela passe, entre autres,par une excellente maîtrise de la communication àla fois interne (pour écouter et donner desdirections très claires) et externe, pour donnerles informations qui permettront au servicede la communication de rassurer les action-naires, marchés, partenaires et clients.

Ainsi, après toutes ces mutations, leRSSI nouvelle génération est désormaisun cadre aux compétences très diversesdont les « soft skills » sont au moins aussidéveloppés que l’expertise technique.

TENDANCES

n 42

1. Qui a établi la fiche de poste de notreRSSI, et quand ?Il est important d’avoir une vision clairede ce que l’organisation attend de sonRSSI, et de faire évoluer cette dernièredans le temps.

2. La dimension des soft skills a-t-elle étéprise en compte dans ce recrutement ?L’importance croissante des compétencesde communication et d’écoute du RSSIexige que ces dernières soient prises encompte lors du recrutement.

3. Notre RSSI a-t-il été formé à la gestionde crise ?Si le domaine de la gestion de crise nerelève pas toujours directement des attri-butions du RSSI, celui-ci doitévidemment faire partie de la cellule decrise, voire, selon les organisations, êtreen mesure d’organiser lui-même lagestion de crise. Il devra alors être forméen conséquence.

Les bonnes questionsà poser à l’équipe

Mais il reste encore à lui trouver un po-sitionnement efficace dans l’organisation.

n Le Positionnement du RSSISi l’intégration du RSSI au Comité de Direc-tion n’est plus le vrai sujet, il est évidentque le RSSI 3.0 doit être en mesure d’inter-agir efficacement avec le Comité de Direc-tion et le Conseil de Surveillance. Ainsicertaines sociétés anglo-saxonnes autori-sent-elles désormais leur RSSI à inter-rompre des processus critiques de l’entre-prise, en acceptant l’impact financier et/oujuridique que cela peut impliquer.

Le positionnement du RSSI pourra éga-lement dépendre de l’industrie dans la-quelle opère son organisation. Dans unebanque ou une institution financière, oùles risques financiers et juridiques sonttrès élevés, il pourra avoir un accès faci-lité aux organes de décision.

De la même manière les sociétés dudomaine de l’énergie, du transport oudes télécoms, qui utilisent des systèmesinformatiques pour la signalisation deréseau, sont particulièrement sensibles

au risque cyber car une interruption d’unprocessus clé peut entraîner l’arrêt completde leurs opérations. Là aussi, le RSSI pourraconseiller plus directement le Comité deDirection.

Dans le monde de la distribution, avecla montée en puissance du e-commerce,les risques sont davantage localisés auniveau de l’information client et du sys-tème logistique, et le RSSI sera alors posi-tionné en conséquence.

Dans tous les cas, pour un Comité deDirection ou même un Conseil de Surveil-lance, prendre la décision d’arrêter les opéra-tions de leur entreprise sur les conseils deleur RSSI est la preuve d’une confianceabsolue dans le jugement de ce dernier.Afin de gagner cette confiance, le RSSI doitnon seulement bien entendu être crédibleaux yeux des organes de direction (par sonexpérience, son cursus, ses réussites passées)mais il doit être également lui aussi à l’écoutede ses dirigeants, et parfaitement informédes différentes activités de l’entreprise, deses stratégies en cours , tout en ayant unecompréhension profonde du cœur de métier.

DÉFINIR LE PROFIL DU RSSI 3.0

43 n

FIGURE1

Les qualités cardinales du RSSI 3.0 sontainsi avant tout une grande capacité decommunication en interne comme en ex-terne, la maîtrise d’un discours très clair

et argumenté et une crédibilité à tous lesniveaux de l’entreprise – des métiersjusqu’aux dirigeants. n

TENDANCES

n 44

7 La prévention peut-elle être efficace ?Mark McLaughlin

Mark McLaughlin est Chairman et CEO de Palo Alto Networks.Avocat, il a été nommé Chairman of the National SecurityTelecommunications Advisory Committee par le PrésidentObama.

La presse se fait régulièrement l’écho du piratagemassif d’une grande entreprise, d’une administrationpublique ou d’une organisation. Elle pose alors laquestion du pourquoi de ces attaques et s’il est possibled’y mettre fin.

Si la cybersécurité s’invite aussi souvent dans lesmédias, et si elle attire autant d’intérêt et d’investisse-ments dans le monde entier, c'est en raison de la prisede conscience croissante que ces violations mettent endanger notre style de vie numérique. Et ce n’est pasune exagération. Nous évoluons dans un monde deplus en plus numérique dans lequel ce qui était réel ettangible est maintenant généré par des machines,voire n’existe que sous forme de bits et d’octets.

Prenez l’exemple de votre compte en banque : il secaractérise par l’absence totale d’argent ou de monnaielégale sous forme tangible. Vous espérez que vosactifs existent car ils sont « visibles » lorsque vousvous connectez à votre compte sur le site Web devotre établissement bancaire. De même que vousespérez bénéficier des services de distribution d’eau,d’électricité ou autres sur simple commande, bienque vous n’ayez qu’une vague (voire aucune) idée dela manière dont la commande aboutit au résultat.N’est-il pas réconfortant, aussi, d’admettre que lescentaines de milliers d’avions qui traversent le globechaque jour circulent aux distances de sécurité requiseset décollent et atterrissent selon les intervalles appro-priés ?

Dans cette ère numérique nous espérons de plus enplus que cela va simplement « marcher ».

Ce recours aux systèmes numériques explique pour-quoi les préoccupations au sujet des cyberattaques

45 n

Coût d’une attaque réussie

Les mathématiques des cyberattaques

Nombre d’attaques

FIGURE1

La puissance informatique étant plus abordable, le coût du lancement d’attaques automatisées est en baisse.

Cela permet l’augmentation du nombre d’attaques pour un coût donné.

augmentent si rapidement. Dirigeantsd’entreprise, chefs de gouvernement etchefs militaires sont conscients qu’il existeune infime séparation entre le bon fonc-tionnement de la société numérique baséesur la confiance et l’effondrement chao-tique de la société dû à l’érosion de cetteconfiance. Et l’érosion peut être rapide.Sait-on l’expliquer ? Existe-t-il des analo-gies ? Et, surtout, peut-on y remédier ?

n La machine par rapport à l’HommeParadoxalement c’est un problème mathé-

matique qui est au cœur de la bataille dela cybersécurité ! Malheureusement, il estassez simple à comprendre mais difficileà corriger.

Une des conséquences négatives de labaisse constante du coût de la puissancede calcul informatique est la capacité

accrue dont bénéficient désormais lescybercriminels pour perpétrer des attaquesde plus en plus nombreuses et sophisti-quées, à moindre coût.

Aujourd’hui, les pirates qui ne sont pascapables de développer leurs propresoutils peuvent utiliser des logiciels malveil-lants et des failles qu’ils se procurent surInternet gratuitement ou pour des sommesmodiques. De même, des pirates compé-tents, des organisations criminelles et desÉtats sont eux aussi en mesure d’utiliserces outils largement disponibles pourréussir des intrusions tout en brouillantleur identité. Bien entendu, ces adver-saires sophistiqués développent et utili-sent également de manière sélective desoutils uniques bien plus perfectionnés,capables de provoquer des dégâts encore

TENDANCES

n 46

FIGURE2

L’exploitation de l’automatisation et des renseignements intégréspeut augmenter de manière continue le coût d’une attaque

réussie, pour finalement en réduire le nombre.

plus graves. Cela vient s’ajouter au pouvoirde nuisance considérable des pirates.(Voir Figure 1).

Face à cette offensive grandissante quivoit augmenter à la fois le nombre desattaques et leur niveau de sophistication,le spécialiste a généralement recours àdes technologies de protection conçues ily a plusieurs décennies, empilées au grédes menaces et des défenses. Ces produitsne sont cependant pas conçus pour commu-niquer entre eux. Par conséquent, si desattaques sont détectées ou si des leçonsont été tirées d’une attaque, les réponsessont essentiellement manuelles et doiventêtre implémentées sur chaque produit.Malheureusement, dans cette course,l’homme ne fait guère le poids face à lamachine et les compétences en matièrede cyberdéfense se font de plus en plus

rares. Si l’on veut avoir un jour l’espoirde ne plus voir d’attaques massives à laUne des journaux, il faudra alors parvenirà retourner la courbe des coûts évoquéeprécédemment afin d’augmenter sanscesse le coût d’une attaque réussie pourl’attaquant. Ceci afin d’en réduire, endéfinitive, le nombre. Mais seule l’auto-matisation des défenses permettra d’yparvenir. (Voir Figure 2).

Sans cela il est peu probable que le nombred’attaques diminue au cours du temps.Au contraire, tout porte à croire que leurnombre ne va cesser de croître. En fait,nous pouvons également nous attendre àce que la surface d’attaque et les ciblespotentielles continuent également leurprogression au rythme de l’intensifica-tion des éléments connectés à Internet.

LA PRÉVENTION PEUT-ELLE ÊTRE EFFICACE ?

47 n

TENDANCES

A la lecture de ce qui précède l’on pour-rait être tenté de prétendre que la pré-vention est impossible. Notre rôle se ré-duirait alors à détecter et à réagir à tempsà toutes les intrusions. Le problème decette approche est que sans préventionsignificative, personne, ni aucun proces-sus et aucune technologie, n’est en me-sure de hiérarchiser et de répondre à chaqueintrusion. Ce problème mathématiqueest tout simplement insurmontable. Ladétection et la réponse doivent donc, endéfinitive, s’ajouter au lieu de se substi-tuer à la prévention.

Ainsi, la stratégie doit viser la fortebaisse de la probabilité et l’augmentationdu coût à payer par un pirate pour menerà bien une attaque. Autrement dit, nousne devons pas supposer que les attaquesvont disparaître ni que toutes les attaquespeuvent être stoppées. Cependant, nousdevons admettre que nous continueronsd’être attaqués et veiller à ce que le coûtd’une attaque réussie soit considérable-ment augmenté, jusqu’à ce que l’inci-dence d’une attaque réussie diminue for-tement.

Après avoir atteint ce point, sachantque cela n’arrivera pas du jour au lende-main, nous serons en mesure de quanti-fier et de compartimenter le risque parrapport à quelque chose que nous accep-tons et comprenons. C’est une fois cepoint atteint que les cyber-risques, bienque toujours très réels et persistants, neferont plus les gros titres des journaux etseront relégués au second plan de notrequotidien, du commerce, ou des commu-nications. Nous devrions poursuivre cetobjectif. Ne pas écarter tout risque, maisle réduire à quelque chose que nous pou-vons compartimenter. Et il se trouve qu’ilexiste une analogie historique à ce pro-blème, et même une méthode pour le résoudre !

n Analogie avec SpoutnikCette analogie, imparfaite mais cepen-dant utile, concerne la conquête spatiale.En 1957, l’Union soviétique a lancé lesatellite Spoutnik. L’idée que cette tech-nologie pouvait procurer aux Soviétiquesun avantage de taille par rapport auxÉtats-Unis dans la course au nucléaire asoulevé un vent de panique. Tout à coup,le mode de vie occidental était considéré,à raison, comme menacé. Le confort et laconfiance de vivre dans un environne-ment protégé et prospère se sont trouvésébranlés dès lors que les citoyens n’ontplus cru qu’ils pourraient profiter libre-ment de leur vie quotidienne. C’était commesi une avancée technologique incontrô-lable avait eu lieu, et partout régnait l’in-quiétude et son cortège de mauvaisesnouvelles.

Au cours des années qui ont immédia-tement suivi le lancement de Spoutnik, laprincipale problématique consistait à savoircomment survivre dans le monde de l’après-guerre nucléaire. Les abris anti-nucléairesprivés et les denrées non périssables ontconnu une forte demande, et dans lesécoles, on apprenait à se mettre à couvert.Autrement dit, les gens supposaient qu’ilétait impossible d’empêcher les attaqueset se préparaient à trouver des solutionsune fois l’attaque perpétrée.

Fort heureusement, ce point de vuefataliste était temporaire. L’Amérique aeu recours à la diplomatie et aux moyenstraditionnels de dissuasion tout en cana-lisant son innovation technologique etson ingéniosité vers le programme deconquête spatiale, à l’instar du programmeMercury de la NASA. Après une décenniede mobilisation des ressources, de colla-boration, d’essais et d’efforts, le programmeMercury et ses accomplissements ontmodifié les termes de l’équation. La menaced’une attaque spatiale n’était certes pas

n 48


totalement écartée, mais elle était suffi-samment « compartimentée » pour êtrereléguée au second plan en tant qu’évé-nement possible mais non probable. Cefut à ce moment-là que la panique et laconfusion ont disparu des gros titres etdes actualités quotidiennes. Nous sauronsque nous sommes parés à livrer bataille àla cybercriminalité une fois que nousaurons atteint ce point.

n Mais comment y parvenir ?Comme pour beaucoup de domaines dela vie, commencer par chercher à avoirune vision claire du problème et du butrecherché peut s’avérer fort utile lorsquel’on est plongé dans le doute ! Car si vousne savez pas ce que vous essayez de faire,vous risquez fort de ne pas y parvenir.

Dans l’analogie avec la conquête spatiale,l’approche a évolué au cours du temps :d’abord, on présumait qu’une attaqueétait imminente et inéluctable et on seconsacrait à prévoir les ressources néces-saires pour vivre l’après-attaque. Puis, onest passé à une approche de la préven-tion, selon laquelle la majorité des ressourceset de la planification visait à réduire laprobabilité et l’efficacité d’une attaque.

Il est important de souligner que le risqued’attaque n’était pas écarté, mais la proba-bilité de son occurrence et de son succèsétait réduite par l’augmentation consé-quente du coût d’une attaque réussie.Bien entendu aucune analogie n’est parfaite :la structure de coût d’une attaque spatialeest évidemment très différente de celled’une cyberattaque ! Les cybermenacesne sont pas du seul ressort des super-puissances. Dans le domaine cyber l’in-novation technologique visant à inverser

le coût des attaques couronnées de succèssera vraisemblablement le fruit des effortsconsentis par l’industrie et non par lesgouvernements. Cependant, le principede base reste valable : une philosophieprivilégiant la prévention a plus de chanced’aboutir au développement, à l’utilisa-tion et à l’amélioration continue de fonc-tionnalités de prévention.

n La prévention est-elle possible ?C’est évidemment à ce stade la questionqui vient immédiatement à l’esprit. Et jepense que tous les professionnels et spécia-listes de la sécurité s’accordent pour direque la prévention totale n’est pas possible.

Le constat est certes décourageant maisil ne diffère finalement pas beaucoup desautres facteurs de risque majeurs quenous devons traiter habituellement. Aussi,la vraie question devient plutôt de savoirsi la prévention est possible jusqu’aupoint où l’incidence des attaques réussiesse réduit à quelque chose de gérable entermes de risque.

Et je pense que cela sera possible avecdu temps. Mais pour parvenir à ce résultatil est impératif de réduire aussi les coûtsde la lutte contre la cybercriminalité. Ausein d’une organisation cette réductionpeut être obtenue grâce à l’améliorationet la coordination continues de plusieurséléments clés : la technologie, les processuset les personnes, et enfin le partage durenseignement.

n TechnologieIl est évident que la technologie tradi-tionnelle ou existante en matière de sécu-rité échoue de façon alarmante. Trois prin-cipales raisons expliquent cet échec :

49 n

« Les cyberattaques doivent devenir des événements possiblesmais non probables »

TENDANCES

La première est que les réseaux ont étéconçus sur une longue période de temps,d’où leur nature compliquée. Les techno-logies en matière de sécurité ont été déve-loppées et déployées selon une approchecloisonnée, adaptées ponctuellement auxproduits qu’elles devaient protéger. End’autres termes, une solution de sécuritédans une architecture réseau tradition-nelle - quelle que soit sa taille - comprendplusieurs produits provenant de fournis-seurs différents. Ces produits sont tousconçus pour servir une tâche spécifique,avec des capacités de collaboration etd’ouverture à d’autres produits souventtrès limitées. Cela signifie qu’en matièrede sécurité l’efficacité du réseau est globa-lement celle du dispositif ou de la solu-tion la moins intelligente.

De même, si l’on considère que des mil-liers de menaces quotidiennes sont dé-tectées, la protection est essentiellementmanuelle car il est impossible de com-muniquer automatiquement ces informa-tions à d’autres fonctionnalités du ré-seau, et encore moins celles de réseauxextérieurs à votre organisation. C’est unvrai problème, étant donné que pour pro-téger leur réseau les organisations ont deplus en plus recours à la ressource la moinsexploitable dont ils disposent, à savoirles hommes, pour lutter contre les at-taques générées par des machines.

n La disparition du périmètreDeuxièmement, ces nombreuses solu-

tions ponctuelles s’appuient souvent surdes technologies vieillissantes, à l’instarde l’inspection d’état (stateful inspection).Elle a certes fait ses preuves à la fin desannées 1990, mais elle est désormais in-capable de proposer des fonctionnalitésde sécurité adaptées au paysage des at-taques d’aujourd’hui.

Et troisièmement, le concept de « réseau »connaît une mutation rapide et sa naturetend à devenir amorphe : l’avènementdes fournisseurs SaaS (logiciel sous formede service), l’apparition du Cloud Compu-ting, la mobilité, l’Internet des objets,ainsi que d’autres tendances macro-tech-nologiques conduisent les professionnelsde la sécurité à perdre progressivementle contrôle des données, puisque celles-civivent désormais bien souvent hors del’organisation.

n Plus d'intégrationFace à ces problématiques il est indis-

pensable de s’assurer de plusieurs pointsdans l’architecture de la sécurité du futur :

Tout d’abord, le déploiement de systèmesde sécurité avancés, conçus d’après unebonne connaissance des utilisateurs duréseau (humains et machines). Pas deplace pour les devinettes.

Deuxièmement, il faut que ces fonction-nalités soient intégrées autant que possiblede manière native dans une plateformeglobale. De sorte que toute action menéepar n’importe quelle fonctionnalité abou-tisse à une reprogrammation automa-tique des autres fonctionnalités.

Troisièmement, cette plateforme doitégalement faire partie d’un écosystèmeglobal à plus grande échelle, qui favorisele partage constant et quasi instantanédes informations sur les attaques. Ellespeuvent alors servir à appliquer sur-le-champ des protections empêchant d’au-tres organisations de l’écosystème d’êtrevictimes des mêmes attaques.

Enfin, il convient que la position vis-à-vis de la sécurité soit cohérente quel quesoit l’endroit où résident les données oule modèle de déploiement du « réseau ».Par exemple, la sécurité intégrée avancéeet les résultats automatisés doivent êtreles mêmes, que le réseau soit sur site,

n 50


dans le Cloud ou qu’il ait des donnéesstockées ailleurs, par exemple dans desapplications tierces. Toute incohérencedans la sécurité est en général un pointde vulnérabilité. Et puis en matière deproductivité, la sécurité ne doit pas venirfreiner la mise en œuvre de scénarios dedéploiement à haut rendement basés surle Cloud, sur la virtualisation, SDN, NFVet sur d’autres modèles du futur.

n Processus et personnesLa technologie seule ne suffit évidem-ment pas pour résoudre le problème. Ilincombe à l’équipe de direction de veillerà ce que les experts techniques gèrent lesrisques en matière de cybersécurité ausein de l’organisation. La plupart desdirigeants d’aujourd’hui n’ont pas accédéà leur fonction au vu de leurs compé-tences technologiques ou de leur exper-tise en cybersécurité. Il n’en demeure pasmoins que les dirigeants efficaces compren-nent la nécessité d’évaluer le risque del’organisation, d’allouer les ressourcesnécessaires et de consentir les efforts selonles priorités. Étant donné l’état de la menaceet la rentabilité des attaques couronnéesde succès, les dirigeants doivent impéra-tivement cerner à la fois la valeur et lesvulnérabilités de leurs réseaux puis hiérar-chiser leurs efforts de prévention et deprotection en conséquence.

Sous la responsabilité du dirigeant, ilest également très important d’assurerl’amélioration continue des processusutilisés pour gérer la sécurité des organi-sations. Les employés doivent suivre enpermanence des formations sur la manièred’identifier les cyberattaques et sur lesmesures à prendre en cas d’attaque. Nombredes incidents signalés aujourd’hui commen-

cent ou se terminent à cause de processusinefficaces ou d’une erreur humaine.

Par exemple, avec la masse d’informa-tions personnelles publiées sur les réseauxsociaux par les internautes, il est facilepour les pirates de reconstituer des profilstrès précis des collaborateurs d’entre-prises qu’ils ciblent et de lancer des attaquespar ingénierie sociale. Ces attaques peuventêtre difficiles à repérer en l’absence deformation adéquate, et délicates à maîtriseren l’absence de processus et procéduresperformants, quelle que soit l’efficacitéde la technologie de protection déployée.

Ainsi la fraude aux faux ordres de vire-ments internationaux (FOVI) est une attaquecourante dont sont victimes de nombreusesentreprises. Elle consiste à détournerd’importantes sommes d’argent par lebiais de virements et elle est rendue possiblegrâce à la présence de personnes très occu-pées et peu formées, mettant en œuvredes processus sporadiques. Lors d’uneattaque de ce genre, le pirate utilise desdonnées personnelles accessibles au public,glanées sur les réseaux sociaux. Sur labase de ces informations, il peut aisé-ment identifier qui est habilité à émettreun virement au sein d’une entreprise.

Le pirate utilise ensuite une attaquepar hameçonnage, par exemple depuisune adresse de messagerie factice scru-puleusement imitée qui, au premier coupd’œil, semblera provenir du responsablede cette personne au sein de l’entreprise.C’est par le biais de cette messagerie quele pirate demandera à sa victime d’en-voyer immédiatement un virement auxcoordonnées bancaires mentionnées.

Si l’employé n’est pas formé à recher-cher les bonnes configurations d’adressede messagerie ou si l’entreprise ne dispose

51 n

« Nous devons favoriser le partage constant et quasi-instantanédes informations sur les attaques »

pas de processus efficaces pour validerles demandes de virement, comme unedouble approbation par exemple, ce genred’attaque a de fortes chances d’aboutir. Ilest donc primordial de coordonner latechnologie, les processus et les personnes,et en particulier de former celles-ci demanière régulière.

n PartageÉtant donné l’intensification des cyberat-taques et leur degré de sophistication, ilest difficile de croire qu’une entrepriseou une organisation quelconque dispo-sera de suffisamment de renseignementssur les menaces pour pouvoir mettre àmal la majorité des attaques dont ellepourrait être victime. En revanche, il estfacile d’imaginer que si plusieurs entre-prises partagent ce qu’elles savent d’uneattaque en quasi temps réel, le cumul desrenseignements réduirait mécanique-ment le nombre d’attaques réussies.

C’est ce vers quoi nous devrions tendre,car si nous parvenions à ce stade celasignifierait que les pirates devraient alorsconcevoir et élaborer des attaques uniqueschaque fois qu’ils souhaiteraient menacerune organisation (ce qui n’est pas le casaujourd’hui, car ils peuvent utiliser àl’envie des variantes d’une même attaqueà l’encontre de nombreuses cibles). Conce-voir des attaques uniques à chaque foisferait augmenter naturellement le coûtd’une attaque réussie et obligerait lespirates à mutualiser leurs ressources(humaines et pécuniaires). Cela les expo-serait cependant davantage et les rendraitplus visibles aux yeux des défenseurs dela cybersécurité, de la loi et des gouver-nements qui les traquent.

L’effet réseau dont peut bénéficier la défensejustifie de s’intéresser de près au partagedu renseignement sur les menaces. Surce front, nous n’en sommes qu’aux prémices,mais tout progrès est bon à prendre ! Etpuis, surtout, les entreprises utilisentplus souvent désormais des systèmesautomatisés de partage des renseigne-ments. Dans le même temps, les fonc-tionnalités analytiques connaissent undéveloppement rapide et permettent d’uti-liser et d’exploiter tous ces renseigne-ments de manière à créer des plateformesavancées capables de reprogrammer rapi-dement les fonctionnalités de prévention.De cette façon, les réseaux connectés pour-ront constamment mettre à jour les fonc-tionnalités de prévention des menacesdans un écosystème toujours plus grand.Cela procure un atout de poids dans lalutte en matière de cybersécurité.

n En conclusionLe nombre toujours plus grand de cybe-rattaques suscite une inquiétude et uneattention compréhensibles. Toutefois, sinous nous projetons à plus long terme etadoptons une stratégie privilégiant laprévention, les technologies de nouvellesgénérations, l’amélioration des processusinternes, la formation du personnel et lepartage en temps réel des informationssur les menaces, le tout associé à des plate-formes pouvant reconfigurer automati-quement la posture de sécurité de l’orga-nisation, nous pourrons sensiblementréduire le nombre d’attaques réussies etainsi restaurer la confiance numériquedont nous avons besoin pour construirenotre économie mondiale. n

TENDANCES

n 52

Le Cloud : vous y êtes déjàPar Alain Bouillé.

Alain Bouillé est le Directeur de la Sécurité des Systèmesd’Information du Groupe Caisse des Dépôts depuis 2001. Ilpréside depuis juillet 2012 le Club des Experts de la Sécu-rité de l’Information et du Numérique (CESIN) regroupantplus de 250 RSSI de grandes entreprises.Il y a de grandes chances pour que votre entreprisestocke déjà des données dans le Cloud, qu’elle en soitconsciente ou non.

Ainsi un sondage réalisé en début d’année auprèsde 125 entreprises membres du CESIN (Club desexperts de la sécurité de l’information et du numé-rique) montrait que 85% des répondants était utilisa-teurs de solutions Cloud.

La véritable question devient alors plutôt de savoirquelles données conserver et dans quels Cloud...

Nous observons que l’adoption du Cloud commencesouvent par ce que nous appelons du « Shadow IT »,ou de l’informatique cachée.

Le «Shadow IT», ou l’externalisation subieIl s’agit d’initiatives individuelles dans lesquelles desutilisateurs impatients préfèrent utiliser directementsur Internet un service qui leur sera utile au quoti-dien plutôt que d’en faire la demande au serviceinformatique. Ils estiment gagner ainsi du temps ets’éviter, outre des procédures administratives qu’ilsconsidèrent fastidieuses, de devoir systématique-ment justifier leur besoin et d’attendre que le serviceinformatique leur propose une solution qui ne serapas toujours celle qu’ils espéraient.

Et le phénomène ne touche pas seulement les indi-vidus : parfois ce sont les métiers eux-mêmes qui, nese sentant pas écoutés par la DSI ou jugeant celle-cipeu réactive, achètent directement des services surInternet. Et certains vont même jusqu’à faire desnotes de frais pour les régler !

Evidemment cette pratique pose plusieurs soucis :Des données quittent l’entreprise pour être traitées et

8

53 n

stockées sans aucune évaluation formellede leur sensibilité et des conditions detraitement.

Lorsque ces informations sont à carac-tère personnel et que le fournisseur duservice n’est pas situé au sein de l’UnionEuropéenne, elles peuvent faire courir àl’entreprise un risque juridique fort (seréférer au chapitre 2 pour les risques liés auxdonnées à caractère personnel).

L’entreprise n’a aucun contrôle sur l’au-thentification et le contrôle d’accès à cesservices. En particulier, les utilisateurspeuvent conserver leur accès même aprèsavoir quitté l’entreprise.

Dans de telles circonstances c’est au DSIet au RSSI de rattraper les choses, et lapremière question à se poser est évidem-ment de savoir pourquoi la pratique duShadow IT se développe dans l’entreprise.

Deux possibilités peuvent l’expliquer.La première, bénigne, est liée à des usageslimités sur des outils et des données nonstratégiques, avec laquelle l’entreprisepeut vivre à condition de l’encadrer àminima. La seconde est quant à elle lesigne d’une DSI qui ne joue plus totale-ment son rôle.

n Mieux encadrer la souscription à des services externes

Dans le premier cas le Shadow IT naît duconstat qu’il n’est pas toujours nécessairede développer tous les services en internesi ceux-ci sont déjà disponibles sur leWeb. Cela peut même être une preuve dematurité que de l’accepter, et d’encadreralors formellement le recours à des servicesexternes.

L’encadrement prendra alors la formed’un processus rapide dans lequel unemini-analyse de risque sera réalisée parla SSI, en s’intéressant notamment aufournisseur du service, à sa réputation, eten prenant en compte les risques juri-

diques, la nature et la localisation desdonnées traitées. On peut alors ajouterles clauses contractuelles ad-hoc qui permet-tront de limiter les risques (mais je recon-nais que cela peut relever parfois du combatdu pot de terre contre le pot de fer, celadépend grandement de l’organisationque l’on représente).

La SSI peut par exemple ici exiger desfournisseurs de service d’effectuer destests d’intrusions sur la solution pres-sentie. Si ça n’est pas possible, les résul-tats de tests d’intrusion récents peuventêtre demandés afin de s’assurer que cesderniers ne présentent pas de vulnérabi-lités évidentes et à tout le moins vérifierqu’ils sont conscients de ces sujets de SSI.

n Quand la DSI ne joue pas pleinement son rôle

La seconde origine potentielle du ShadowIT est plus inquiétante : elle est le signeque la DSI n’est plus en mesure de répondreaux attentes des utilisateurs sur des servicesde base, qui constituent pourtant soncoeur de métier (le partage de fichiersvolumineux, la vidéo-conférence, les usagescollaboratifs, etc). Nous avons l’exempled’une entreprise chez qui de nombreuxutilisateurs se servaient d'un service gratuiten ligne pour générer des fichiers PDF àpartir de documents Office, alors mêmequ’ils disposaient d’un logiciel pour celasur leur poste de travail, mais qu’ils esti-maient inadapté. Cela créait évidemmentles conditions d’une fuite de donnéesimportante pour l’entreprise, tout simple-ment parce que la DSI n’avait pas pris lamesure du besoin des utilisateurs.

Cette situation, aux causes plus structu-relles, est bien entendu la plus sérieuse etcelle qu’il conviendra de traiter en prio-rité. Tant qu’existera une défiance de lapart des utilisateurs vis-à-vis de leur propreDirection Informatique, aucune des mesures

TENDANCES

n 54

d’encadrement visées ci-dessus ne seraefficace. Il est donc nécessaire de comprendrepourquoi la DSI ne joue plus entièrementson rôle, au point de ne plus répondre auxattentes des utilisateurs, et d’y remédier.

n Le Cloud choisiVient ensuite, évidemment, le Cloud «voulu» :lorsque l’entreprise décide d’externalisertout ou partie de son Système d’Informa-tion. Les modalités peuvent être diverses :externalisation de l’infrastructure, avec lesoffres de Platform as a Service ou d’ Infra-structure as a Service (PaaS et IaaS) oud’externalisation d’applications avec lesservices en mode SaaS (Software as a Service).Mais dans tous les cas il s’agira d’un choixstratégique de la part de l’entreprise, quidevra être traité comme tel.

Avant de prendre la décision, le diri-geant doit porter son attention sur plusieurspoints-clés, autant juridiques, techniquesque stratégiques.

Il est ainsi d’abord nécessaire d’estimerla valeur des informations que l’on envi-sage d’externaliser, et estimer les consé-quences de leur perte ou leur divulgationéventuelles. Y a-t-il des données straté-giques ? Si oui, c’est alors au trio RSSI /DSI / Gestionnaire des risques d’évaluerl’opportunité d’externaliser ces données.Et cela peut être long : l’un de nos membresa évalué pendant un an le recours à unesolution de messagerie externalisée, avantde décider de ne pas y aller. C’est doncau RSSI / DSI / Risk Manager de menerun travail sérieux, en prenant le tempsnécessaire, afin que la Direction Généralepuisse trancher.

n Mieux vaut commencer par mettre de l’ordre chez soi avant d’externaliser

Il est ensuite vital d’évaluer commentsont protégées les données actuellement.Si le niveau de maturité de l’entreprise

n’est pas suffisamment élevé sur ce point(la gestion des droits et des accès est perfec-tible, il n’y a pas d’audit des accès, etc.) ilvaut mieux mettre de l’ordre dans sa gestiondes données sensibles avant d’envisagerde les externaliser.

La capacité du prestataire à apporter unniveau de protection au moins équivalentà ce que l’entreprise met en oeuvre eninterne est également un point importantà prendre en considération. Car si pour denombreuses petites et moyennes entre-prises leurs données seront souvent mieuxprotégées chez un prestataire Cloud sérieux,ce n’est pas automatiquement le cas pourun grand groupe. Les prestataires Cloudnivellent leur niveau de sécurité afin qu’ilsoit adapté aux besoins de la majorité deleurs clients, ce qui ne sera pas toujourssuffisant pour les plus exigeants.

n La réversibilité est un leurreEvidemment il faut aussi se poser la ques-tion de la réversibilité : comment cela sepasse-t-il si l’on décide de changer defournisseur ? Il n’est pas suffisant que leprestataire mentionne ce point dans lecontrat. Concrètement, que fait-on lorsqu’onrécupère un gros «camion» de données àla fin du contrat ? Cela doit faire partiede l’analyse de risque, et de manière trèsconcrète (avec des tests !). Ce n’est pastant la présence d’une clause de réversi-bilité que la capacité à l’exécuter qui importe.

Autre point crucial à ne pas négliger :l’aspect social et les Ressources Humaines.Si l’entreprise a externalisé, elle a poten-tiellement réduit ses effectifs techniques.Comment cela se passera-t-il si au boutde cinq ans elle décide de faire machinearrière ? Aura-t-elle toujours les person-nels et les compétences pour reprendrel’exploitation en interne dans de bonnesconditions ? Certainement pas !Lorsque l’on considère l’externalisation

LE CLOUD : VOUS Y ÊTES DÉJÀ

55 n

TENDANCES

n 56

1. Estimez la valeur des données que vouscomptez externaliser ainsi que leur attracti-vité en terme de cybercriminalité.

2. S’il s’agit de données sensibles voire straté-giques pour l’entreprise, faites valider parla Direction Générale le principe de leurexternalisation.

3. Evaluez le niveau de protection de cesdonnées en place avant externalisation.

4. Adaptez vos exigences de sécurité dans lecahier des charges de votre appel d’offresen fonction du résultat du point 1.

5. Effectuez une analyse de risque du projeten considérant les risques inhérents aucloud comme la localisation des données,les sujets de conformité et de maintien de laconformité, la ségrégation ou l’isolementdes environnements et des données parrapport aux autres clients, la perte desdonnées liée aux incidents fournisseur,l’usurpation d’identité démultipliée du faitd’une accessibilité des informations via leweb, la malveillance ou erreur dansl’utilisation, etc.

Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et ladépendance technologique aufournisseur, la perte de maîtrise dusystème d’information et enfin l’accessibi-lité et la disponibilité du servicedirectement lié au lien Internet avecl’entreprise.

06. Outre ces sujets, exigez un droit d’auditou de test d’intrusion de la solutionproposée.

07. A la réception des offres analysez lesécarts entre les réponses et vos exigences.

08. Négociez, négociez.

09. Faites valider votre contrat par un juriste.Si vous êtes une entreprise française, cecontrat doit être rédigé en français et endroit français.

10. Faites un audit ou un test d’intrusionavant démarrage du service (si cela estpossible) et assurez-vous du maintien duniveau de sécurité de l’offre dans le temps.

Les 10 recommandations du CESIN face aux projets Cloud

dans le Cloud, il faut aussi réaliser quel’on devient beaucoup plus dépendant desa connectivité à Internet. Aujourd’hui, sicelle-ci ne fonctionne plus pendant unejournée l’on peut encore bien souventtravailler, même en mode dégradé - ycompris envoyer des messages internesvia la messagerie. Mais si demain l’essen-tiel est externalisé, l’accès Internet devientun point individuel de défaillance. L’ar-chitecture de l’accès à Internet doit doncêtre revue et considérée comme étant critique.Et cela sans compter l’augmentation desdébits souvent nécessaires pour accom-moder toutes ces solutions dans le Cloud.

Une attention particulière devra égale-

ment être apportée au chiffrement desdonnées : ce n’est pas tout que le presta-taire mentionne sa présence. Encore faut-il pouvoir savoir précisément commentsont gérées les clés, qui les détient, oùsont-elles stockées... ?

Enfin, il ne faut pas oublier le voletjuridique : même si la vocation du DSI etdu RSSI est de devenir un peu plus juristes,il faut systématiquement impliquer leservice juridique dans ces questions, voirede recourir à un juriste spécialisé car lesquestions juridiques et contractuellesdeviennent de plus en plus complexes àappréhender dans ce paradigme.

En définitive, la question n’est pas de

rejeter ou accepter en bloc l’usage duCloud. L’entreprise souffrirait de se retrouvercoincée entre un DSI qui pousse à uneexternalisation massive tandis que le RSSIrefuserait en bloc pour des raisons desécurité.

Une équipe constituée de la DSI, duRSSI, du Risk Manager et du départe-ment juridique doit plutôt travailler deconcert pour éclairer le choix de la Direc-tion Générale de manière concrète et réa-liste, et en considérant que, dans les faits,l’usage du Cloud est déjà là et qu’il peutêtre porteur d’opportunités. n

LE CLOUD : VOUS Y ÊTES DÉJÀ

57 n

• Sachez précisément les compétencesque vous perdez en externalisantFaites collaborer DSI et RH afin d’établirprécisément les compétences nécessairesà l’exploitation des solutions internesque l’entreprise s’apprête à externaliser.Le livrable devrait permettre d’accélérerla recherche de profils adéquats sur lemarché du travail. Ce travail devraitégalement être régulièrement mis à jour.

Pour anticiper

III Actions

9 « Faute de pouvoir empêcher toutes lescyberattaques, les entreprises doiventêtre en mesure de riposter »

Par Michel Van Den Berghe

Michel Van Den Berghe est CEO d’Orange Cyberdefensedepuis le 1er juillet 2014. Il a rejoint le groupe en janvier2014 suite au rachat d’Atheos dont il était le PrésidentFondateur depuis 2002.

Les risques d’intrusions informatiques vont de pairavec l’accroissement de la numérisation des entre-prises. Celles-ci produisent de plus en plus de donnéeset fondent leur développement sur l’interconnexionavec leurs fournisseurs, partenaires et clients.

C’est le principe même de l’économie en réseau oùla création de valeur se nourrit de la circulation et del’enrichissement continu des données. Cela supposeque des accès aux différents systèmes d’informationsoient ouverts afin de permettre ces échanges légi-times (lire à ce sujet le chapitre 5 consacré à la transforma-tion numérique).

La fluidité de ces transferts informatiques est devenueune condition de leur performance et de leur rentabilité :plus l’information est rendue rapidement accessible,plus vite elle peut être exploitée. Mais cette ouverture del’entreprise vers le monde extérieur ne peut évidem-ment s’envisager sans prendre en compte la sécurisationde ce qui constitue l’essentiel de son activité : c’est-à-direl’ensemble des savoir-faire et des pratiques qui font saspécificité et sa raison d’être sur son marché. Or, il suffità peine de quelques secondes pour extraire des fichiersd’un système d’information et divulguer sur la placepublique des éléments techniques ou commerciaux quiconstituent l’actif stratégique d’une société.

Dans le même esprit, la non-disponibilité pendantquelques minutes ou plusieurs heures d’un site Internetou de données sensibles peut se révéler fatale à biendes organisations.

61 n

n Se donner les moyens de déceler continuel-lement et sans délai toute opérationmalveillante

C’est là tout l’enjeu de l’indispensablemaîtrise de la réponse à incidents. Fautede pouvoir empêcher avec certitude lasurvenance d’un incident, l’entreprisedoit se donner les moyens de déceler sansdélai toute opération malveillante. Pouren mesurer l’impact, la stopper et restaurerles éléments infectés afin de revenir àune situation normale.

Outre la défense de ses intérêts straté-giques, cette capacité à répondre rapide-ment et efficacement aux incidents desécurité va devenir une obligation légale.En effet, l’article 31 du Règlement euro-péen1 du 27 avril 2016, qui entrera en vigueuren mai 2018, fixe un délai de 72 heurespour alerter l’autorité de tutelle, en Francela Commission Nationale de l’Informa-tique et des Libertés (CNIL), en cas d’at-teinte aux données personnelles détenuespar l’entreprise visée par la cyberattaque.

n Des pénalités extrêmement lourdes pour lesentreprises qui ne réagiraient pas à temps

En situation de crise, le temps est compté.Et l’improvisation n’est guère de misequand on sait que les sanctions finan-cières établies par ledit Règlement euro-péen peuvent s’élever par fuite constatéejusqu’à 4 % du chiffre d’affaires mondialde la société ou au minimum vingt millions

d’euros. Des sommes qui, si elles devaientse cumuler dans l’année et se multiplierpar pays européen, pourraient s’avérerfatales à la plus prospère des compagnies.

Consciente de la nécessité de faire appelà des professionnels expérimentés pourfaire face à ces situations qui exigent lamise à disposition rapide de personnel,un haut niveau de compétences et uneconfiance totale dans le respect de la confi-dentialité par les équipes impliquées,l’Agence Nationale de la Sécurité desSystèmes d’Information (ANSSI)2 a établiun Référentiel3 d’exigences en vue de label-liser les Prestataires4 de Réponse aux Inci-

1- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques àl'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE(Règlement général sur la protection des données).

2- ANSSI : http://www.ssi.gouv.fr 3- Texte intégral du référentiel (version 0.3 du 7 juillet 2014)

http://www.ssi.gouv.fr/uploads/IMG/pdf/PRIS_Referentiel_d_exigences_anssi.pdf4- Liste des prestataires en cours de labellisation PRIS, par l’ANSSI, parmi lesquels LEXSI/Orange Cyberdefense

http://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-reponse-aux-incidents-de-securite-pris/

ACTIONS

n 62

En cas de violation de données à caractère personnel, le responsable dutraitement en notifie la violation en questionà l’autorité de contrôle compétenteconformément à l’article 55, dans lesmeilleurs délais et, si possible, 72 heures auplus tard après en avoir pris connaissance, àmoins que la violation en question ne soitpas susceptible d’engendrer un risque pourles droits et libertés des personnesphysiques. Lorsque la notification à l’autorité decontrôle n’a pas lieu dans les 72 heures, elleest accompagnée des motifs du retard.

Article 31

« FAUTE DE POUVOIR EMPÊCHER LES CYBERATTAQUES, LES ENTREPRISES DOIVENT ÊTRE EN MESURE DE RIPOSTER »

dents de Sécurité (PRIS). Les critères requispour déployer une réponse efficace sontaux nombres de trois : la réactivité, uneconfiance forte dans la probité des inter-venants et un niveau d’expertise élevé.

n Une indispensable réactivitéL’assaillant a naturellement l’avantage

car c’est lui qui choisit sa cible et le calen-drier de l’attaque. Il n’optera pas pour ladate qui vous arrange ou pour viser uneinfrastructure que vous savez inutile. Lagestion de crise liée au constat d’une cybe-rattaque viendra s’ajouter à la conduite devos contraintes quotidiennes : concur-rence commerciale, satisfaction des clients,production des commandes enregistrées,préservation de l’image de marque… Cen’est pas alors que la crise débute et enfleque vous pourrez tranquillement compulserles Pages Jaunes à la recherche d’un répa-rateur informatique. Les fuites de donnéessont de celles qui peuvent véritablementmettre en péril mortel votre organisation.Il convient donc d’avoir bien en amontidentifié les partenaires capables de vousaccompagner dans les délais courts qu’im-posent ces situations d’urgence.

La disponibilité de personnels qualifiésnécessite de consacrer des moyens impor-tants en matière de formation et de gestiondes équipes. Seules des entités dotées deressources conséquentes peuvent assumerde tels investissements sur la durée. Letraitement de la crise exige une mobilisa-tion rapide de personnels qui seront amenésà travailler en continu jusqu’à l’identifica-tion et à la résolution du mode d’attaque.

n La confiance est une exigenceLes professionnels qui sont sollicités justeaprès la découverte d’une cyberattaqueabordent l’entreprise alors que celle-citraverse une phase de fragilisation, tantde son infrastructure que de son mana-

gement. Une intervention dans un contexteaussi sensible suppose que les cadresdirigeants puissent échanger en toutesincérité sur l’état des équipements, lepérimètre des dommages subis et sur laréponse technique, médiatique et écono-mique qu’il convient d’apporter.

Car le prestataire va être amené à entrerdans l’intimité numérique de l’entreprise.Il devra collecter des données appartenantà celle-ci afin de les analyser. D’autant plusque ces actions seront conduites alors mêmeque l’attaquant aura pu prévoir des dispo-sitifs de surveillance afin d’adapter sonmode d’attaque à la réaction de sa cible.

Une véritable relation de confiance doitalors s’établir entre le prestataire et lesreprésentants de l’entreprise victime afind’adapter le mode opératoire et remédierainsi à la compromission du système d’in-formation. C’est de la qualité des échangesque dépendra la réussite de la préserva-tion des actifs de l’entreprise.

Des adaptations constantes de postureseront nécessaires pour le cas échéantcontourner les moyens mis en œuvre parle pirate pour entrer dans le système, menerson action offensive, se maintenir dans leséquipements de sa cible et ensuite parvenirà extraire les informations désirées. Lamodularité de la réponse ne pourra êtrepleinement bénéfique que si elle se bâtitdans une étroite collaboration entre le mana-gement et le prestataire en sécurité auquelils auront accordé leur confiance. C’est unedimension éminemment humaine danscet univers de haute technologie.

n La diversité des modes d’attaquespossibles implique une réponse d’expert

Les attaquants sont très opportunistes etconçoivent des modes d’action destinés àcoller à l’environnement de leurs cibles.Il convient alors de mener les investiga-tions nécessaires pour déterminer, par

63 n

ACTIONS

exemple, la date de compromission initialeet les mutations successives des logicielsmalveillants utilisés.

Il est souvent nécessaire de faire preuved’une grande agilité technique pour prendrela mesure des forces de l’assaillant,comprendre sa tactique et circonscrireson champs d’action. Ces contre-mesuresrequièrent une maîtrise des procédures,fondée sur des années d’expériences profes-sionnelles dans le domaine de la sécurité.C’est une guerre de mouvements avecdes innovations constantes et des motiva-tions souvent difficiles à identifier.

Voici schématisé le déroulement desopérations (Voir figure).

Outre la préservation des actifs numé-riques de l’entreprise, le prestataire aguerriveillera également à fournir les élémentstechniques permettant de conduire d’éven-tuelles procédures judiciaires. Voire d’ob-tenir de possibles réparations de la part dela compagnie d’assurances si les contratssouscrits prévoient la prise en charge de telsdommages. Cet accompagnement mêle doncl’expertise technique à une connaissancedes règles juridiques permettant la bonnerésolution de ces intrusions informatiques. n

n 64

Etapes de l’exécution des prestations de réponse aux incidents de sécuritéSource : ANSSI – Référentiel PRIS – 2014.

65 n

« FAUTE DE POUVOIR EMPÊCHER LES CYBERATTAQUES, LES ENTREPRISES DOIVENT ÊTRE EN MESURE DE RIPOSTER »

1. Intégrez la crise de nature cyber auxscénarios de votre cellule de criseSi les scénarios de crise ne portent encoreque sur les risques sociaux, naturels ou de production, il est temps de les faireévoluer afin d’intégrer des crises denature cyber : mise en cause del’entreprise qui aurait servi de relais à uneattaque – voir le chapitre juridique –,écoute des moyens de communicationréseau, prise en otage de systèmesinformatiques (ransomware), etc.

2. Challengez vos fournisseurs etprestataires sur leur capacité à réagir en cas de crise dans l’entrepriseCe n’est pas lorsque la crise frappe qu’ilfaudra réaliser que les prestataires ne sontpas en mesure de déployer les personnelsnécessaires à la gestion des évènements.

3. Assurez-vous de pouvoir produire des comptes rendus d’incidents utilesIl est important que les équipesinternes, potentiellement assistées d’experts externes, soient en mesure deformaliser la phase post-incident par lacréation d’une documentation solidecouvrant les causes de l’incident, lebilan, les mesures de correction priseset les enseignements tirés.

4. Testez régulièrement sa capacité de fonctionnement en mode dégradé et de reprise d’activitéSeules des mises en situation régulièrespermettront de déceler des points deblocages tels que l’incompatibilité entredes matériels ou des solutions de naturedifférentes, l’incapacité des équipes àexploiter tel ou tel outil en modedégradé, etc.

Pour anticiper

10 L'avenir de la cyberassurance Par Laure Zicry

Laure Zicry est Responsable Technique Institutions Finan-cières et Cyber Risks Practice Leader dans un grand groupeinternational. Elle est également l’auteur d’un ouvrageconsacré à la maîtrise des risques cyber et membre duCEFCYS, le Cercle des Femmes de la Cybersécurité. Elle livreici une vision très pratique de la cyberassurance.

Identifier les risques qui pèsent sur l’entreprise constitueun préalable indispensable pour le dirigeant.Car réaliser la cartographie des risques lui permet deconnaître les scenarii majeurs auxquels l’entrepriseest susceptible de faire face. Il conviendra de quanti-fier financièrement ces scénarii afin d’apprécier l’im-pact sur le bilan si l’un d’entre eux devait survenir.

Cette démarche est importante car tout dirigeantd’entreprise doit se préparer à subir une cyberat-taque ou un vol de données et prendre conscienceque cet incident, même si l’entreprise en est victime,aura des impacts sur le bilan.

Certains risques peuvent certes être réduits par desmesures techniques (sondes de détection d’intrusion,chiffrement des données, SOC, CERT...), mais il demeu-rera toujours un risque résiduel.

Pour faire face à ce risque résiduel, le dirigeantpeut alors se tourner vers le marché de l’assurance,qui lui permet de transférer le risque à un prestataire(un assureur) et ainsi protéger le patrimoine informa-tionnel de son entreprise et donc son bilan.

n La cyberassurance : un nouveau contrat d’assurancepour un nouveau risque

Nés aux États Unis il y a une dizaine d’années, lescontrats d’assurance cyber ont été développés pourrépondre aux obligations issues des lois fédéralesrelatives à la protection des données. Celles-ci contrai-gnent les entreprises à prévenir à l’issue d’une fuitede données personnelles non seulement les autoritéslocales mais aussi chaque personne concernée. On

67 n

entend par personne concernée, toutepersonne dont les données à caractèrepersonnel sont collectées, stockées et trai-tées par l’entreprise.

S’il est déjà bien ancré aux États-Unis,ce marché est en revanche assez récent enFrance, mais il évolue très vite.

A ce jour plus d’une quinzaine d’assu-reurs proposent des contrats d’assuranceCyber avec des montants de garantie quivarient entre 5 M d’euros et 50 M d’euros.Il est possible de souscrire des programmesd’assurance avec plusieurs assureurs etainsi de souscrire plus de 400 M d’eurosde garantie. Alors que les premières sous-criptions se faisaient rares en 2013, lenombre d’entreprises assurées est désor-mais en forte croissance. La recrudes-cence des attaques informatiques visantdes entreprises françaises publiques commeprivées ainsi que le vote du RèglementEuropéen à la Protection des Données(voir le chapitre 2 consacré aux obligationslégales européennes), a incité de plus enplus d’entreprises à se couvrir contre lesconséquences de tels risques cyber.

A noter que l’une des particularités dece marché est que le contrat d’assuranceCyber de votre entreprise ne ressemblerapas forcément à celui d’une autre. Il y acertes, un socle commun de garanties,mais votre contrat devra répondre préci-sément à vos propres cyber-risques : ceuxque vous avez identifiés, qui sont propresà votre entreprise et à leur probabilité desurvenance. Vous pourrez alors choisirde ne couvrir que certains d’entre eux(probabilité élevée et intensité forte) et desupporter les autres pertes, ou au contrairede faire assurer l’ensemble des risques.

n Comment souscrire ? Association, Concertation et Prévention

Avant la souscription d’un contrat d’as-surance cyber, il est recommandé d’asso-cier vos collaborateurs dans le processusde souscription. Il faut en effet identifieren amont qui, dans l’entreprise, va êtreimpliqué. Cela peut être dans la phase desouscription (réponse au questionnaired’assurance) ou bien sûr dans la phase dedéclaration, en agissant vis-à-vis de l’as-sureur mais aussi des autorités compé-tentes (CNIL ou son équivalent à l’étranger,ANSSI ainsi que toute autorité de contrôledont votre entreprise dépend).

Les personnes-clés le plus souvent impli-quées sont les suivantes : le Risk Managerou Responsable assurance, le RSSI (Respon-sable de la sécurité des systèmes d’infor-mation) ou le DSI (Directeur des Systèmesd’Information), le CIL (CorrespondantInformatique et Libertés) et bientôt leDPO (Délégué à la Protection des Données),et bien sûr la Direction Juridique et laDirection des Ressources Humaines.

Chacune de ces personnes a un rôle cléet il faudra solliciter les bonnes ressourcesen interne lors, notamment, de la collected’informations nécessaires au remplis-sage du questionnaire d’assurance. Lesassureurs souhaiteront en effet avanttoute souscription comprendre l’organi-sation de l’entreprise et avoir connais-sance des mesures déjà en place qui serontactionnées en cas de crise. Il y a donc unvrai travail de concertation à mener eninterne avant de souscrire à un tel contrat.

Enfin, la prévention est un des maîtresmots de la bonne gestion de l’incident(lire à ce sujet le chapitre 9 consacré à laréponse aux incidents de sécurité). Sans prépa-

ACTIONS

n 68

« Des consultants experts pour négocier la rançon des données volées »

ration ni anticipation, si aucun plan n’aété élaboré en amont pour minimiser leseffets d’une cyberattaque, l’entreprise nepourra qu’être en mode réactif, sans pouvoirmettre en œuvre de réelle stratégie deprotection.

Se préparer à réagir à un incident etréaliser des stress tests est donc vital.D’ailleurs les agences de notations S&Pet Moody’s ont d’ores et déjà intégré cesparamètres dans leurs critères d’évalua-tion.

Au delà de l’impact d’une cyberattaquesur la notation par les grandes agences,les conséquences pour l’entreprise victimesont nombreuses. Elle devra non seule-ment engager des frais importants pourrépondre à la crise (première période quisuit la découverte de l’incident) maisaussi répondre des conséquences mêmesde l’incident (perte de chiffres d’affaires,pertes de marge brute, amendes et sanc-tions pécuniaires en cas de non respectdes dispositions législatives ou régle-mentaires, ainsi que les conséquences dela responsabilité civile sur les tiers).

n Cyberassurance : des garanties spécifiquesface aux risques d’atteintes aux donnéesou aux systèmes

Les garanties délivrées par les contratsd’assurance cyber ont été spécifiquementconçues pour prendre en charge les fraiset pertes qui seront engagés par l’entre-prise pour répondre des conséquencesd’une atteinte aux données et/ou auxsystèmes d’information. Ces contratsd’assurance contiennent généralementtrois volets, qui correspondent aux troisphases de la gestion d’un incident.

Le premier volet est celui qui corres-pond à la phase de crise et comprend des

couvertures d’assistance et de gestion decrise. Les assureurs mettront à la disposi-tion des assurés des prestataires exté-rieurs, ou bien ils rembourseront les hono-raires des prestataires avec lesquelsl’entreprise a l’habitude de travailler (etqui auront été nommés au contrat).

Il s’agit ici de prestataires aux profilstrès divers. On y trouve des experts engestion de crise, en analyse forensique(pour mener l’expertise informatiquelégale), des avocats (rédaction de la lettrede notification aux autorités compétenteset aux personnes concernées), ou encorede monitoring et surveillance des réseauxde cyber-criminels (pour surveiller si lesdonnées volées sont utilisées sur Internetou revendues sur le dark web...). Il y aégalement besoin d’experts en matière dereconstitution des données, en RelationsPubliques (pour assister l’entreprise lorsde la communication de l’incident) ainsique des experts et des consultants pouraider l’entreprise à répondre aux enquêtesdes autorités de contrôle (CNIL, ANSSI...).

Le second volet délivre quant à lui desgaranties qui seront actionnées en cas deréclamations de tiers, c’est-à-dire les consé-quences sur les clients ainsi que sur lesemployés de l’entreprise.

Car votre entreprise, bien que victimed’un incident, devra malgré tout répondredes fautes qu’elle a commises (voir à cesujet le chapitre 2).

Pourront ainsi lui être reprochés le non-respect d’une obligation de confidentia-lité en cas d’atteinte aux données person-nelles (vol de données telles que les noms,prénoms, date de naissance, numéro decarte bancaire, numéro de sécurité sociale...)ou encore le non-respect ou l’absence de mesures de sécurité des systèmes

L’AVENIR DE LA CYBERASSURANCE

« L’assureur pourra prendre à sa charge les frais de surveillance du Dark Web »

69 n

d’information qui aura permis à un pirateinformatique d’accéder aux systèmes(attaque DoS ou DDoS, attaque virale,intrusion sur un autre système d’infor-mation à partir de celui de l’entreprise …).

Enfin, il existe un troisième et derniervolet qui a pour objet de prendre en compteles conséquences sur l’entreprise elle-même. Il s’agit ici soit des frais supplé-mentaires d’exploitation que l’entrepriseaura engagés afin d’éviter une perte demarge brute (location de nouveaux locaux,recours à la sous-traitance, location de

nouveau matériel informatique...), soitdes pertes d’exploitation qui sont la consé-quence de l’incident. Est également inclusdans ce volet ce que l’on appelle la garantiecyber extorsion qui est appelée à inter-venir lorsque l’entreprise est victime deransomware (un logiciel malveillant destinéà chiffrer les données présentes sur un systèmeinformatique et proposer le déchiffrementcontre une rançon, souvent payable en bitcoins).Dans ce dernier cas l’assureur prendra encharge le coût des consultants engagéspour négocier la rançon le cas échéant,mais aussi pour rembourser celle-ci,jusqu’aux frais bancaires si l’entreprise adû emprunter pour régler la somme.

n Comment actionner son contrat lors de l’incident ?

Une fois le contrat d’assurance souscrit,il faut se préparer à l’actionner en casd’incident. Il faudra donc réunir lespersonnes-clés du dispositif et auxquellesvous aurez révélé l’existence du contratmais uniquement à elles. Attention à la confi-dentialité ! Ce type de contrat doit resterconfidentiel sous peine que certaines clausesne jouent pas si celui-ci est dévoilé, notam-ment en ce qui concerne la garantie cyber-extorsion.

Si l’entreprise a des filiales ou succur-sales à l’étranger, il faudra égalementleur adresser un résumé afin de les informerdes modalités de mise en jeu.

Dès que l’entreprise a connaissanced’un incident, il lui faut immédiatementdéclarer le sinistre à l’assureur et/ou àson courtier en assurance. Celui-ci la mettraen relation avec les experts et les consul-tants spécialisés en gestion de crise quiguideront l’entreprise dans les démarchesà suivre selon le type d’incident.

S’il s’agit d’un vol de données, parexemple, il conviendra d’informer lesautorités compétentes et les personnes

ACTIONS

n 70

1. Identifiez les personnes-clés capablesde répondre au questionnaire de l’assu-reurAvant même de se lancer dans un projetde cyberassurance il faut s’assurer quel’on dispose des ressources nécessairespour répondre de manière fiable etcomplète aux questions de l’assureur.

2. Préparez les plans de réponse auxincidentsLe contrat de cyberassurance n’est qu’unélément de la stratégie globale deréponse aux incidents. Il convient doncd’avoir déjà formalisé sa capacité deréponse pour en tirer le meilleur parti.

3. Connaissez vos consultantsSi l’assureur est bien sûr en mesure devous conseiller des intervenants fiables,intervenir sur un incident de sécuritéimplique que les consultants aurontaccès à de nombreuses informationssensibles concernant l’entreprise. Il estalors préférable de faire intervenir vospropres prestataires experts, quiconnaissent déjà votre environnement. A condition d’avoir pris le temps de lestrouver, de les tester et de les avoirnommés dans le contrat d assurance.

Pour anticiper

L’AVENIR DE LA CYBERASSURANCE

concernées dans un délai précis et dansles formes prévues par la règlementationapplicable.

Lorsque le Règlement Européen à laProtection des Données sera entré en vigueur(en 2018), toute entreprise française devrainformer la CNIL du vol de données àcaractère personnel dans un délai de 72heures à compter du moment ou l’entre-prise en aura eu connaissance. Le contratd’assurance devra donc être actionné dèsla connaissance de l’incident afin que lescoûts engendrés par la notification (fraisd’avocat pour rédiger la lettre et fraisd’envoi aux personnes concernées) puis-sent être pris en charge par le contratd’assurance.

Dans l’hypothèse ou l’entreprise victimed’un vol de données a signalé l’incidentaux personnes concernées et que cesdernières mettent en cause la responsabi-lité civile de l’entreprise, l’assureur devra

être immédiatement informé dès la récep-tion d’une mise en cause afin de défendreles intérêts de son assuré. En aucun casl’entreprise ne devra transiger sans l’ac-cord préalable de l’assureur.

Quelle que soit la nature de l’incident,bénéficier d’un contrat de cyberassu-rance permettra à l’entreprise de démon-trer qu’elle a pris des mesures visant àréduire l’impact d’une cyberattaque surle bilan de l’entreprise et a ainsi œuvrerpour protéger son entreprise et par rico-chet, sa propre responsabilité civile person-nelle.

Cela lui permettra dans un premiertemps de limiter l’impact sur le bilan etne pas engager la responsabilité civilepersonnelle de son dirigeant.

On peut considérer que le contrat deCyberassurance est, au delà de la garantiesupplémentaire, une preuve de maturitéen matière de gestion des risques cyber. n

71 n

« Messieurs les dirigeants, vous saviezque cette attaque allait arriver… Qu’avez-vous fait pour l’empêcher ? »

Par Jean-Paul Mazoyer

Directeur général du Crédit Agricole Pyrénées-Gascogne,Jean-Paul Mazoyer a été de 2013 à 2016 directeur infor-matique et industriel du groupe Crédit Agricole.

Le 8 avril 2015, une chaîne de télévision se faisait« hacker » par des activistes qui prenaient le contrôlede l’antenne pendant quelques heures. La réactiondes médias et de l’opinion publique a été la sidéra-tion : comment cela avait-il été possible ? Nos systèmesinformatiques sont-ils vulnérables à ce point ?

Aujourd’hui je suis convaincu que la réaction lorsde la prochaine attaque d’envergure (celle dont legrand public entendra parler, et qui ne manquera pasd’arriver tôt ou tard) sera tout autre : Messieurs les di-rigeants, vous saviez que cette attaque allait arriver…Qu’avez vous fait pour l’empêcher ? Comment vous êtes-vous préparés ?

Les dirigeants des organisations (publiques ou pri-vées, petites ou grandes…) ne peuvent désormaisplus ignorer le risque cyber. Outre la nécessité de ledéfinir et de l’analyser, ils doivent se préparer à prou-ver qu’ils ont mis en œuvre les moyens nécessairespour le circonscrire.

Mon propos n’est pas ici de détailler les mesurestechniques qui permettent de protéger les systèmesde l’entreprise, ni les moyens d’analyse et de surveil-lance, ni les organisations spécialisées (Security Ope-ration Centers, Computer Emergency Response Teams…),ni les procédures de recouvrement rapide en cas d’at-taque… Tout cela est bien sûr absolument indispensa-ble : des budgets importants doivent y être consacrés,des équipes doivent être mises en place, des compé-tences recrutées, des contrats de prestation signés…

Mon propos est plutôt de souligner que le risquemajeur qui pèse sur une organisation face à ce risque

11

73 n

cyber est de deux natures, qui vont sou-vent de pair : le désintérêt porté à ce sujetpar son dirigeant suprême et l’absence desensibilité de la part du personnel.

n Le désintérêt du dirigeant pour le risquecyber conduit à l’impréparation del’entreprise

Ces deux causes mènent à l’imprépara-tion et constituent in fine le terreau de laprochaine attaque.

Durant les trois années où j’ai exercé laresponsabilité de l’informatique d’unegrande banque et la présidence du Cerclecybersécurité du CIGREF (Club Informa-tique des Grandes Entreprises de France)1,j’ai souvent été confronté à ces deux la-cunes. Nous avons réussi à convaincretous les Directeurs des Systèmes d’Infor-mation (DSI) de la nécessité de se saisirde ce sujet. Et grâce au soutien de 30 grandesentreprises, de l’ANSSI, du Ministère del’Intérieur, de la Réserve Citoyenne decyberdéfense (État Major des Armées) etde certains médias, nous avons mêmelancé la première campagne de commu-nication grand public sur les risques In-ternet : la Hack Academy2.

C’est pourquoi la sensibilisation auxmenaces cyber en général, et celle du diri-geant de l’entreprise en particulier, est unsujet essentiel. Le dirigeant doit être enmesure de faire naître au sein de son en-treprise une véritable « culture de la cyber-défense » et cela passe d’abord par sa pro-pre prise de conscience de l’enjeu.

Cette prise de conscience est par ail-leurs nécessaire car la réglementationqui encadre la gestion des risques cyber

évolue (se référer entre autres à la loi deProgrammation Militaire pour les Orga-nismes d’Importance Vitale ou aux diffé-rents projets de règlements européens) etoblige les entreprises à s’adapter auxnouvelles menaces, et à exiger une adap-tation similaire de leurs partenaires.

Et cela a déjà commencé : désormais lesanalystes financiers posent des questionssur leur niveau de préparation aux entre-prises cotées lors des roadshow de cesdernières. Les actionnaires interrogentles dirigeants lors des assemblées géné-rales, les comités d’audit et des risquesdes conseils d’administration se saisis-sent évidemment de ces sujets. Même lescomités d’entreprise et les représentantsdu personnel interpellent les directionsgénérales.

De nombreux colloques sont organisés,y compris à destination des TPE et desartisans/commerçants. Dans un paysvoisin, une réunion ad hoc a été organi-sée avec les plus grandes entreprises au-tour du Premier Ministre.

On ne peut pas dire que les occasionsmanquent pour un dirigeant de se sensi-biliser à la cybersécurité. Mais combiend’entre eux s’y intéressent-ils vraiment ?Durant ces dernières années, j’ai entendunombre de dirigeants m’expliquer que« l’informatique, moins j’en entends parler,mieux je me porte ! »…

Il suffit pourtant d’écouter le dirigeantde cette chaîne de télévision raconter sonexpérience pour comprendre qu’une attaqueinformatique d’envergure sera désor-mais traitée au plus haut niveau de l’en-treprise, au même titre que la destructionphysique de ses locaux, et que le diri-geant suprême sera en première ligne…

Face à des experts techniques lui expo-sant alors des sujets abscons, il devranéanmoins se plonger très vite dans lesméandres de son système informatique

1- Jean-Paul Mazoyer a été DSI du Crédit Agricole entre 2013 et2016, Vice-Président du CIGREF et Président-Fondateur deson cercle cybersécurité. Il est également membre de laRéserve Citoyenne de cybersécurité.

2- hack-academy.fr

ACTIONS

n 74

et de ses protections pour prendre, dansl’urgence, les décisions qui s’impose-raient. Alors autant s’y préparer avant !

En prenant le temps d’une réunion ap-profondie et régulière avec son DSI pourcomprendre, en se faisant expliquer lesmenaces, les risques, les enjeux, en « sanc-tuarisant » le budget adéquat sans exigerun retour sur investissement (de toute fa-çon impossible à calculer), en organisantun exercice régulier de « cyber-crise » (auminimum annuel), en conditions réelles,avec tous les membres du Comité Exécu-tif, avec un scénario crédible et réaliste. Ilest également possible d’inviter à cesexercices de crise des témoins extérieursdevant les dirigeants (consultants, spé-cialistes, autorités civiles et militaires, etmême dirigeants d’entreprises ayant étéattaquées…).

L’ouverture réelle et sincère sur son en-vironnement et la connaissance de sonsystème d’information me semblent deuxconditions sine qua non d’une bonne pré-paration.

n Comment sensibiliser le personnel des organisations?

La plupart des attaques informatiquesconcernant les entreprises ont un pointcommun : elles ont réussi grâce à la compli-cité passive (et malheureusement quel-quefois active) d’un salarié. Elles réussis-sent donc trop souvent par naïveté et parmanque de sensibilité au risque cyber.Mais comment blâmer un salarié de laDRH qui a ouvert un mail qu’il croyaitêtre un CV, ou un salarié des servicescomptables qui a fait de même avec unefacture contenant un virus , s’il n’a jamaisété sensibilisé à ces risques particuliers ?A l’inverse, beaucoup de ces attaques ontété déjouées par la vigilance d’un salarié.L’information, la formation du personneldevient donc un enjeu majeur.

Il existe de nombreux « serious games »3

qui allient le côté ludique d’un jeu avecla découverte des techniques pour se pro-téger. Leur déploiement dans l’entrepriseme semble très utile. Des journées desensibilisation (avec ateliers, conférences,jeux…) ont été organisées dans de nom-breuses entreprises avec succès et effica-cité. Des bagages de formation ont étéconstruits par des entreprises, la vidéoétant souvent le meilleur média.

Des MOOC (cours en ligne) ont égale-ment été déployés permettant ainsi deséchanges plus interactifs et un question-nement immédiat. De façon plus directe,des campagnes de faux mails envoyéspar la DSI à tous les salariés peuvent êtredéployées pour une prise de conscience« choc ». Et on peut même intercaler uneformation entre deux campagnes de fauxmails pour mesurer la prise de conscience,par population, âge, fonction, pays…

Dans le domaine de la sensibilisationaux risques cyber, à l’instar des campagnes

« MESSIEURS LES DIRIGEANTS, VOUS SAVIEZ QUE CETTE ATTAQUE ALLAIT ARRIVER… QU’AVEZ VOUS FAIT POUR L’EMPÊCHER ? »

3- A l’instar du serious game « Keep an eye » du CIGREF

75 n

1. Organisez des journées de sensibilisation(ateliers, conférences, jeux…).

2. Pensez à déployer un Serious Game.

3. Envisagez un bagage de formation à lacyberdéfense au sein de l’entreprise (pardes cours en ligne de type MOOC oudes supports vidéo notamment).

4. Menez des campagnes de faux mail(« phishing ») afin d’évaluer les compor-tements des collaborateurs face à cettemenace.

5. Ne pas oublier de sensibiliser en particu-lier les informaticiens de l’entreprise.

5 mesures de sensibilisation efficaces

de la sécurité routière, l’alternance demessages soft et plus directs peut servir àla prise de conscience. La forme de cettesensibilisation est laissée à l’imaginationde l’entreprise. A la condition explicitequ’on en parle régulièrement : tout relâ-chement dans l’effort de communicationse traduira immanquablement par uneaugmentation des comportements risqués.

Les populations de salariés visés parces actions doivent aussi être segmen-tées : entre des jeunes générations pou-vant pratiquer un véritable « naturismenumérique » sur les réseaux sociaux à ti-tre personnel et ayant tendance à repro-duire ce comportement dans les entre-prises, et des salariés se limitant à l’usaged’une messagerie interne, l’entreprise de-vra adapter son discours. Sans oublierune population insuffisamment sensibili-sée selon moi : les informaticiens eux-

mêmes, qui n’intègrent pas toujours lesbasiques de la sécurité dans les programmesqu’ils développent ou dans les actionsqu’ils mènent (habilitations).

n Une prise de conscience impérativeLe monde se divise désormais entre lesentreprises qui ont été attaquées et cellesqui ne savaient pas qu’elles l’ont été ! Et il faut en moyenne 200 jours à uneorganisation pour détecter une attaquesur son système d’information…Et cen’est pas à l’aide d’une seule assuranceprotection cyber qu’une entreprise seprotègera ! Et ce n’est pas non plus enniant les risques et en considérant quecela n’arrive qu’aux autres, aux grandesorganisations, aux entreprises interve-nant sur des secteurs sensibles.

Dans un récent colloque sur « Cybersé-curité et territoires »4, un intervenant me

ACTIONS

n 76

1. Notre RSSI a-t-il dans sa fiche de poste l’organisation d’actions de sensibilisation régulières ?Il est important que cette thématique soitdotée d’un propriétaire désigné demanière officielle, et non que l’on assumesimplement que le RSSI s’en chargera.

2. De quelle nature étaient nos dernièresactions de sensibilisation, et quels ontété les résultats ?Ce n’est pas tout de mener des actions : il est nécessaire de suivre les résultats (en terme de nombre de collaborateursparticipants, de résultats aux tests,d’ouverture des documents etmessages…) et de pouvoir définir destendances.

3. Sensibilise-t-on également lespopulations techniques (informaticiens,

administrateurs systèmes & réseau,administrateurs de bases de données…)Parce qu’elles sont dotées deconnaissances plus pointues et d’accèsplus larges aux systèmes, les populationstechniques sont parfois plus à risque queles collaborateurs non-techniciens.

4. Fait-on émarger les collaborateurs ayantsuivi une action de sensibilisation ?Les auditeurs peuvent demander àconsulter les preuves de l’organisation deséances de sensibilisation régulières ausein de l’entreprise.

5. Archive-t-on les supports de sensibilisa-tion (vidéo, messages, brochures,affiches…) ?Toujours dans une optique de justificationvis-à-vis des auditeurs.


racontait l’histoire de cette petite entre-prise ayant fait faillite à la suite du blocagede son Système d’Information par unvirus de type « crypto-locker »… Noussommes bien désormais tous concernés,à titre personnel comme au titre de nosfonctions de salarié, de cadre ou de diri-geant d’une organisation. Il nous fautpasser collectivement et individuelle-ment d’une sensibilisation lointaine àune action de protection concrète, bâtie

sur le socle d’une culture du risque cyber.Sans devenir paranoïaque, en étant simple-ment informé et vigilant. « Sur Internet, jereste en alerte » comme le dit la hackAcademy ! n

4- Colloque annuel lancé par le Sénateur Maire de Fleurance(Gers) et organisé avec la Réserve Citoyenne de cybersécuritéet la Gendarmerie

« MESSIEURS LES DIRIGEANTS, VOUS SAVIEZ QUE CETTE ATTAQUE ALLAIT ARRIVER… QU’AVEZ VOUS FAIT POUR L’EMPÊCHER ? »

77 n

« Les attaquants ont mené des intrusionsphysiques et cyber parfaitement

coordonnées »

12Horizon 2020 : les priorités du CODIR

Par Jérôme Saiz.

Jérôme Saiz est consultant expert en protection des entre-prises et fondateur de la société OPFOR Intelligence. Il travaille sur la convergence des protections logiques etphysiques au sein des organisations.De quoi pourra-t-on bien parler dans les réunionsdes Comités de Direction en 2020 ? La cybersécuritésera-t-elle encore à l'ordre du jour ?

Pour tenter de le découvrir, glissons-nous dans lasalle de réunion du CODIR d'un grand groupe, auprintemps 2020. Y parle-t-on encore de cybersécu-rité ? Non. Du moins pas directement.

Le groupe a décidé, en 2016, d'entamer une ré-flexion globale sur sa protection. Cela s'est notam-ment traduit par une sérieuse optimisation de fonc-tions qui, jusqu'à présent, contribuaient à protégerses actifs en ordre dispersé.

Qu'il s'agisse du service informatique, de la sécu-rité des systèmes d'information (SSI), du service juri-dique, de la Communication ou de la Sûreté, le groupea réalisé que tous étaient susceptibles d'être impli-qués dans la préservation de ses actifs, qu'il s'agissede ses collaborateurs, mais aussi de son image, de saprotection juridique ou de ses informations sensibles.

Deux facteurs ont contribué à cette prise de conscienceau sein du groupe. Le premier est interne : l'impul-sion donnée par le mouvement de transformationnumérique de l'entreprise a mis en lumière le carac-tère parfois artificiel de la distinction entre les métierset les fonctions support, en particulier la SSI (voir lechapitre 5, "La cybersécurité, ingrédient majeur de latransformation numérique").

Le second facteur est externe : une attaque cibléesophistiquée a visé le groupe au début de l'année

79 n

2016. Les attaquants ont mené des intru-sions physiques et cyber parfaitementcoordonnées, associées à des pressionsphysiques à l’encontre de collaborateursclés identifiés grâce à leurs publicationssur les réseaux sociaux. Des données ex-trêmement sensibles ont été dérobées etdes informations à caractère personnelont été diffusées dans le but de nuire augroupe. L'impact a été violent sur tousles fronts : il a fallu se défendre face àl'opinion publique, à la presse, à la justiceet aux pirates eux-mêmes, parvenus àconserver un accès persistant aux sys-tèmes. Il a ensuite fallu déterminer l'éten-due de la brèche et identifier les informa-tions dérobées, tout en collaborant avecles autorités et les services de l'État afinde déterminer l'implication éventuelled'un concurrent étranger.

Mais cet événement a également été lecadre d'une prise de conscience : à voirainsi travailler la Communication, le Juri-dique, la Sûreté et la SSI au sein d'unecellule de crise, certains cadres du groupeont commencé à se demander pourquoiil fallait attendre une crise pour réunirtoutes ces fonctions autour d'une missioncommune de protection des intérêts dugroupe. Ne pourrait-on pas bénéficier decette synergie toute l'année ?

n La route est longueEvidemment la route fut longue jusqu'àce CODIR de 2020. Il a tout d'abord fallurepartir en amont des analyses de risqueexistantes et créer un cadre formel quipermette d'associer de manière extrême-ment modulaire les actifs, les menacesassociées et les apports potentiels desmétiers ou des fonctions support suscep-tibles de contribuer à leur protection.

Technologie, dépendances aux tiers,canaux de distribution, flux de produc-tion, organisation interne, menaces externes,contrats... tout y passe. L'approche de laSûreté qui consiste à raisonner en termesde croisement des flux (humains, maté-riels, produits finis, valeurs) s'est ici révéléeprécieuse.

Réfléchir à un tel modèle a vite permisde mettre en évidence la nécessité d'unecommunication horizontale efficace afinde partager en temps quasi-réel les infor-mations relatives aux menaces, aux chan-gements stratégiques ou tactiques sus-ceptibles d'avoir un impact sur la sécuritéou d’exposer à de nouveaux risques, oubien encore de remonter des alertes faceà une déviation du standard.

Et il a fallu se rendre à l'évidence qu'unetelle horizontalité dans les échanges seraitdifficile à atteindre avec l'organisation ensilos actuelle. Et qu'elle ne se justifiaitd'ailleurs pas nécessairement dans tousles domaines.

Pour être viable cette ébauche de fra-mework de sécurité globale devait doncs'incarner au sein d'une structure adap-tée. C'est pourquoi l'un des premiers chan-tiers organisationnels a été de créer uneDirection Sécurité Groupe ou l'horizonta-lité et la multi-disciplinarité y régneraiten maître.

Une telle direction est, par exemple, laplus à même de prévenir efficacementune fuite de données massive en coor-donnant les mesures nécessaires à la foisavant, pendant et après les projets. Ellepeut ainsi intervenir depuis l'identifica-tion des initiatives sensibles jusqu'auchoix des solutions techniques de préven-tion, en passant par les consignes juri-diques de moindre exposition, l'audit des

ACTIONS

n 80

« La direction sécurité groupe offre à l'année les atouts d'unecellule de crise : focus sur la mission et pluridisciplinarité »

réalisations, la contractualisation avec lesprestataires ou la sensibilisation des métiers.Et elle le fera d'une manière extrême-ment agile en communiquant en tempsréel en son sein.

A bien y regarder il s'agit, en définitive,de pérenniser les atouts d'une cellule decrise au sein d'une structure bâtie sur uncadre formel et appuyée sur des critèresd'évaluation clairs.

n Se protéger en meuteLa tâche est complexe, mais il n'est toute-fois pas nécessaire de mener cette réflexionseul. Les acteurs de même taille au seinde la même industrie connaissent proba-blement les mêmes contraintes, et ils subis-sent certainement les mêmes attaques.Pourquoi alors ne pas échanger des infor-mations avec eux ?

Se protéger "en meute" permet notam-ment d'anticiper sur les attaques à venir,lorsque celles-ci ont déjà frappé un membrede la communauté. Couplée à la notion debenchmarking (s'évaluer par rapport auxbonnes pratiques d'acteurs de son domaine),cette approche collaborative a permis augroupe d'entrer dans une dynamiquevertueuse avec certains de ses "coopéti-teurs" présents dans la même industrie,voire sur les mêmes marchés (la coopéti-tion étant l’art de coopérer avec ses concur-rents sur un périmètre clairement défini etmutuellement profitable).

Des échanges sur les acteurs malveil-lants, les modes opératoires et les me-naces en cours dans sa propre industriecontribuent grandement à la capacité d'an-ticipation du groupe et permettent demieux prioritiser ses efforts de protection.

Mais partager sans maîtriser peut s’avé-rer risqué. Et si les premières initiativesde partage d’information se sont révélées

fructueuses, le groupe a ressenti le besoinde mieux maîtriser l’information, à la foiscelle qu’il échange aves ses partenaires,mais aussi celle qu’il collecte. Et c'estainsi que deux ans après le début du pro-jet est venue s'y greffer une composantede veille et d'analyse.

En étant constamment à l'écoute à lafois des métiers (pour servir leur besoind'information) et de l'écosystème concur-rentiel, la veille est un chaînon idéal entrel'entreprise et le monde extérieur. Ellepermet en outre, au delà de répondre auxbesoins d'information des métiers, defaire remonter de précieux éléments desécurité et de sûreté du terrain.

Pour que les informations remontéespar la veille puissent être exploitées, il estnécessaire de les analyser. L'intégrationde la fonction analyse à la direction sécu-rité a ainsi permis de faire bénéficier cettedernière d'une vision précise et à jour desfacteurs extérieurs susceptibles d'impac-ter le groupe, ce qui en retour lui permetd'adapter immédiatement la posture desécurité en conséquence. Une telle agilitéet un tel niveau d'anticipation n'aurait ja-mais été possible sans la coordination na-turelle apportée par un positionnementau sein de la direction sécurité groupe.

n L'information maîtriséeUn autre gain, imprévu celui-ci, a été

obtenu par l’intégration d’une véritablefonction de veille et d'analyse à la direc-tion de la sécurité : le groupe a décou-vert, non sans une certaine gêne, qu'illaissait "fuir" - à travers ses publicationssur Internet notamment - une quantiténon négligeable d'informations publiquesqui, pour un adversaire compétent, pou-vait permettre par recoupement d'obte-nir des renseignements précieux.

HORIZON 2020 : LES PRIORITÉS DU CODIR

« Se protéger en meute permet d'anticiper sur les attaques à venir »

81 n

n 82

ACTIONS

Bien que le groupe n'ait pas décidé d'uti-liser cette nouvelle capacité de veille àdes fins offensives (après tout, s'il laissaitfuir des informations il est fort probableque certains concurrents en fassent autant !),cela lui a tout de même permis de colma-ter ses propres fuites involontaires.

Notre CODIR de 2020 touche à sa fin.A-t-on prononcé le mot "cybersécurité" ?Pas vraiment. En a-t-on parlé ? Constam-ment.

L'omniprésence de l'outil informatiquea fait de sa protection une évidence : lasécurité des systèmes d'information irriguetous les projets, au sein de toutes les direc-tions. Même les outils historiques de la

sûreté, du contrôle d'accès à la vidéosur-veillance, reposent désormais sur desréseaux informatiques qu’il est néces-saire de protéger.

La transformation numérique traver-sée par le groupe a, quant à elle libéré lesdonnées et créé de la valeur nouvelle àtravers des API et de nouveaux usagesnumériques, seulement rendus possiblespar un socle fort de sécurité numérique(voir le chapitre 5).

En 2020, la cybersécurité est ainsi clai-rement une priorité du CODIR. Elle estau cœur de toutes ses discussions... sanspour autant qu'il y ait besoin de pronon-cer son nom ! n

1. Identifiez l'intégralité des actifsgénérateurs de valeur.

2. Sachez mesurer leur niveau de protectionface à des menaces à la fois logiques etphysiques.

3. Mettez en place des exercices de criseréunissant les services informatiques, laSSI, la communication et le juridique.

4. Assurez-vous d'allouer suffisamment deressources à la cybersécurité.

5. Mettez en place un système formeld'évaluation de l'efficacité de votreprogramme de cybersécurité.

6. Assurez-vous que la cybersécurité soitprise en compte dans toutes les initiativesprises par les métiers.

7. N'abordez pas votre transformationnumérique sans une visibilité claire surl'efficacité de votre programme decybersécurité.

Pour anticiper

IV TémoignagesV

13 Les stratégies de cyberdéfense de l’OTANPar Ian West

Ian West est directeur de la cellule de lutte contre la cyber-criminalité au sein de l'agence de l'OTAN pour la Communi-cation et l'Information (NCI).

Nous sommes véritablement en première ligne dansla lutte contre les cyberattaques. Il ne se passe pas unjour, une heure, une minute sans que nous identifi-ions différents niveaux de menace. Nous devonsdonc être vigilants et réactifs pour résister à desattaques dont l'intensité et le degré de complexité necessent d'augmenter.

La cyberdéfense fait partie des tâches fondamen-tales de l'OTAN et ceci, pour deux raisons : d’abordparce que l'Alliance est dépendante de son infra-structure de TIC, et ensuite parce que l'informatique,déjà partie intégrante des conflits, constituera inévi-tablement un composant de plus en plus importantdans les conflits à venir.

La bonne nouvelle est que pratiquement toutes lesentreprises en exercice actuellement ont fait de lacyberdéfense l'une de leurs priorités.

Nous dépendons tous de nos réseaux, utilisonstous une technologie similaire et faisons tous face àdes menaces similaires. Pour cette raison, l' OTANs'est très rapidement inscrite dans une démarchecollaborative, notamment avec les différents secteursde l'industrie, pour lutter contre ceux qui cherchent àébranler et à détruire nos modes de vie (lire le chapitre12, « Horizon 2020 : les priorités du CODIR » pour décou-vrir tout l’intérêt d’une approche collaborative à la cyber-sécurité).

n « La cybersécurité est une valeur forte de l’OTAN »L' OTAN, en sa qualité d'Alliance transatlantiquecomposée de 28 (et bientôt 29) nations, partage lesvaleurs que sont une défense collective puissante etla protection des territoires et populations de sesmembres.

85 n

La cybersécurité fait partie de ces valeurs.En vertu des dispositions fondamen-

tales de son traité, l'Alliance se tient prêteà agir d'une même voix et à prendre lesdécisions nécessaires pour défendre laliberté, et les valeurs communes que sontles libertés individuelles, les droits del'Homme, la démocratie et l'État de droit.

De nos jours, le Dark Web (ou Web sombre)attire un nombre sans cesse croissant depersonnes et d'organisations malveil-lantes. Ces utilisateurs y collaborent entreeux, affinent leurs compétences et s'orga-nisent.

C'est entre autres sur cette face cachéedu Web qu'ils se rassemblent pour commettreleurs opérations cybercriminelles.

n « Nous nous concentrons sur la détectiondes attaques ciblées »

Celles-ci peuvent être de différents types,et représenter des menaces très diverses.Nous recensons par exemple les menacesnon spécifiques, comme les logiciels malveil-lants qui vont infecter les systèmes, et lesmenaces spécifiques, qui sont des attaquesdirigées contre l'OTAN et sur lesquellesnous nous concentrons plus particulière-ment.

L’auteur de ces attaques spécifiquespeut être une nation hostile ou des crimi-nels organisés qui préparent des attaquespour inciter les utilisateurs à cliquer surun lien et à ouvrir un document infecté,et ainsi accéder à nos systèmes et à nosinformations stratégiques. Ces dernièresannées, la fréquence et la complexité dece type d’attaque se sont accentuées. Avecun ordinateur portable et un minimumde connaissances, un attaquant peut accéderà votre organisation et causer d'impor-tants dégâts.

Mais l’on trouve également des « hack-tivistes » aux aspirations politiques ousociales souvent radicales, qui piratent le

site Web d'une organisation pour y publierdes messages illicites, bloquer l'accès ausite ou subtiliser des informations confi-dentielles. Ils s'en prennent de plus enplus souvent à des sociétés commerciales,à des organisations non gouvernemen-tales ou à des gouvernements pour lesrailler, les ridiculiser ou détruire des répu-tations.

Ensuite, il existe les menaces internesdont nous, les utilisateurs, sommes à l'ori-gine. Nous pouvons en effet causer degraves incidents de sécurité, que ce soitde façon délibérée ou non.

Toutes ces menaces démontrent que lesréseaux peuvent être affectés tant de l'ex-térieur que de l'intérieur. Il est donc indis-pensable de pouvoir également détecterles attaques depuis l'intérieur des réseaux.

Au sein de l'OTAN, notre travail consisteà prévenir au mieux de tels incidents,mais nous n'y parvenons malheureuse-ment pas à 100 %. Nous devons donc êtreen mesure de détecter ces incidents, d'yrépondre et de permettre ensuite la reprisedes activités normales (pour en savoir plusau sujet de la réponse aux incidents, lire lechapitre 9, « Faute de pouvoir empêcher lescyberattaques, les entreprises doivent être enmesure de riposter »).

Il est également important que nouspuissions retrouver les personnes à l'ori-gine de ces attaques ciblées, et découvrirleurs motivations. Ainsi, lorsque uneattaque se produit nous procédons à desrecherches approfondies et examinonschaque pièce du puzzle afin d'identifierles auteurs d'une attaque et leur objectif.

n Un programme de cyberdéfense efficaceLes stratégies suivantes sont éprouvées etnous les utilisons pour limiter les risquesen cas de cyberattaques. Elles pourrontservir d’inspiration à la mise en œuvred’un programme efficace de cyberdéfense.

TÉMOIGNAGES

n 86

n 1. Identification des ressourcesstratégiques de l'entreprise

Il est impossible de vous protéger à 100 %des cyberattaques. À l'OTAN, nos comman-dants en sont pleinement conscients. Lacybersécurité est relativement onéreuse.À l'instar des organisations commerciales,nous ne pouvons pas nous permettre detout protéger avec le même niveau deprotection.Nous devons néanmoins déployerdes cyber-ressources, limitées et onéreuses,en nous basant sur l'évaluation des risquespesant sur l'ensemble de l'entreprise.

Pour identifier nos ressources straté-giques et nos forces, nos commandantsse posent les questions suivantes :

n Quelles sont les informations les plusimportantes que nous détenons ?

n Quels sont les services les plus impor-tants que nous proposons à nos clients,et quels cyber-risques leur sont liés ?

n Où protégeons-nous les informationsrelatives à nos processus et à notre entre-prise ?

n Sont-elles sécurisées ?n Comment continuer à évaluer et à

surveiller les risques ?n Disposons-nous d'un registre sur les

cyber-risques ?n Comment répondons-nous à chaque

type de risque ?

Bien entendu, il est pour cela nécessairede connaître parfaitement le degré de risqueque l'entreprise est prête à prendre. Unefois ce point défini, il est alors possible deplanifier, de mettre en œuvre et d’évaluerles contrôles et procédures de sécurité.

n 2. Sécurité préventiveAu sein de l'OTAN, nous mettons toutparticulièrement l'accent sur la sécuritépréventive. Car comme le dit si bien le

proverbe, « mieux vaut prévenir que guérir» !Nous nous attachons pour cela notam-

ment à renforcer la sécurité et les réseaux,et à limiter la surface d'attaque d'un grandnombre de menaces. La stratégie de réduc-tion de la surface d'attaque (ASR) a pourbut de bloquer toutes les portes d'accèsnon essentielles à l’infrastructure tech-nique et de limiter l'accès aux portes ouvertespar le biais d'une surveillance, d'une évalua-tion des risques et d'un contrôle des accèspermanent.

A l’OTAN nous appliquons la méthodesuivante : prévenir, détecter, répondre etreprendre. Le tout formant un processusitératif.

Enfin, bien que nous parlions ici deprévention, n’oublions pas que les attaquesde type « zero day », qui visent les vulné-rabilités jusque-là inconnues d'un logi-ciel, sont quasi impossibles à bloquer à100 %. Il restera donc toujours un élémentde risque quel que soit le degré de préven-tion / protection mis en place.

Mais il est malgré tout possible d’adoptercertaines mesures afin de limiter ce typed'attaque :

n Analysez les menaces existantes. Denombreuses informations sur le renfor-cement de la sécurité des systèmes sontdisponibles et peuvent être implémen-tées gratuitement (pour en apprendre plussur l’intérêt d’une veille efficace, reportez-vous au chapitre 12).

n Vérifiez, autant que possible, la robus-tesse et l’adéquation des technologies etdes méthodes de chiffrement déployéeschez vous.

n Si vous ne possédez pas les capacités oules ressources nécessaires pour procéderà une analyse approfondie de tous leslogiciels exploités chez vous, faites réaliserun audit ou un échantillonnage des prin-cipaux points de tension.

LES STRATÉGIES DE CYBERDÉFENSE DE L’OTAN

87 n

n Procédez aussi souvent que possible àdes vérifications standard, à des évalua-tions de la vulnérabilité et à des tests depénétration.

n Définissez des protocoles de formationsur les modalités d'utilisation des tech-nologies et des appareils mobiles person-nels par les employés sur leur lieu detravail.

n Définissez le plan à suivre en cas deproblème.

Ces mesures vous aideront à détectertous les éléments infectés et exploités (pardes pirates) au sein de votre organisation.

n 3. Capacité de réponseNotre cyberdéfense n'est pas forcémentparfaite. Des violations de notre cyber-espace sont possibles. L'important esttoutefois de pouvoir identifier très rapide-ment l'intrus et les dommages potentiels,et de pouvoir y remédier rapidement.

Si vos systèmes ont été infectés à lasuite d'une attaque ou d'une violation desécurité, gardez votre sang-froid. Le plusimportant est la réponse que vous donnerezà l'incident.

Votre entreprise doit faire preuve d'uneforte capacité de résilience et disposer desolides solutions de sauvegarde. Au seinde l'OTAN, nos équipes chargées de gérerles incidents sont à même de répondreimmédiatement à une attaque sur nos diffé-rents systèmes et d'en limiter ainsi les effets.

Ces équipes peuvent être envoyées sursite ou travailler en ligne pour restaurerles services ayant fait l'objet d'une attaque.

n 4. Capacité de repriseVous devez également être à même derétablir rapidement le fonctionnementnormal des services. Ce point est toutparticulièrement important.

Vous devez en effet prouver rapide-ment à vos clients que vos systèmes sontà nouveau accessibles et sécurisés.

Là encore, le partage d'informationssur les attaques (lire plus haut) facilite lareprise des activités. Autour du globe, ontrouve des similitudes entre les organisa-tions et entreprises qui utilisent des systèmesidentiques et subissent le même type d'at-taques.

Il est également intéressant de commu-niquer et de partager ses expériencesavec des tiers de confiance et les orga-nismes judiciaires.

Plus ce partage d'expérience est impor-tant, plus nous disposons d'informationssur les attaquants.

n 5. Répondre au manque de compétencesDans le monde entier, les personnes quali-fiées, capables de protéger nos libertés etnotre société civile contre les cyberat-taques, sont trop peu nombreuses.

Les dirigeants doivent être conscientsqu'une telle tâche nécessite des compé-tences hautement spécialisées et que lesexperts capables de cerner la moindrevulnérabilité sont très recherchés.

Cette demande est valable dans lessecteurs commercial, militaire, public etgouvernemental.

En 30 ans d'expérience dans le domainede la sécurité, j'ai vu la position du respon-sable sécurité évoluer. Le mordu de tech-nologie qui répondait autrefois « NON ! »avant même d’écouter la question, n’estplus aussi répandu. Il faut dire que ces« gardiens » n'étaient pas très utiles aureste de l'entreprise, d'où leur surnom de« gendarme endormi de l'autoroute de l'in-formation » (ou d’empêcheurs de travailler,selon les métiers).

Aujourd’hui ils ont fort heureusementlaissé leur place à une nouvelle catégoriede professionnels de la sécurité beau-

TÉMOIGNAGES

n 88

coup plus engagés et en phase avec lesbesoins de la société.

Des reliquats de ce type d'attitude subsis-tent certes encore parfois à l'heure actuelle,mais la plupart de nos cyber-défenseursles plus compétents sont désormais despersonnes plus jeunes, qui ont baignétrès tôt dans les jeux vidéo, le piratagelicite et la programmation informatique.

Si vous souhaitez obtenir des résultatssolides et approfondis, il est vital de s'en-tourer d'une équipe aux expériences etaux parcours variés, composée tant devétérans que de jeunes nés à l'ère de laconnectivité informatique.

L'importance stratégique de plus enplus marquée de l'infrastructure numé-rique a conduit à une véritable révolu-tion qui a propulsé les experts en sécuritéde l'information au cœur même duprocessus de prise de décisions. En retour,cela implique toutefois que ces expertssoient en mesure de s'exprimer dans unlangage compréhensible par les autrescadres et de comprendre les stratégies del’entreprise. Il s’agit donc d’un nouveauprofil à rechercher (lire à ce sujet le chapitre«Définir le profil du RSSI 3.0 »).

n 6. Collaboration avec des entreprises de confiance

Depuis longtemps, l'OTAN a comprisque quel que soit son propre niveau decompétence, il est impossible d'avoir unebonne vision d'ensemble. La collabora-tion est donc incontournable.

Nous travaillons notamment au côtéde l'Alliance et de ses 28 alliés et Étatsmembres. Depuis la Déclaration du sommetdu Pays de Galles en septembre 2014, unpaquet « Planification de défense » a d’ail-leurs été voté pour renforcer les capacitésdes membres de l'Alliance.

Depuis, la cyberdéfense figure parmiles priorités de l'OTAN.

Par ce paquet, l'OTAN reconnaît queles cyberattaques peuvent atteindre unseuil qui menace la prospérité, la sécuritéet la stabilité nationales. Leur impactpeut être aussi dramatique pour les sociétésmodernes qu'une attaque convention-nelle.

À l'OTAN, la cyberdéfense est doncdevenue une tâche fondamentale de ladéfense collective. Dans cette organisa-tion, nous nous attachons à développerdes possibilités de cyberdéfense natio-nales et d'améliorer la cybersécurité desréseaux nationaux sur lesquels l'OTANs'appuie pour ses tâches fondamentales.

Une collaboration bilatérale et multina-tionale joue un rôle majeur dans le renfor-cement des possibilités de cyberdéfensede l'Alliance.

La solidité des partenariats est essen-tielle et l' OTAN continue à s'engageractivement sur ce type de problème infor-matique auprès des nations partenairesconcernées.

Les innovations et l'expertise technolo-giques du secteur privé sont essentielles,car elles permettent à l'OTAN et aux alliésd'atteindre les objectifs fixés par la poli-tique de cyberdéfense renforcée.

n Une collaboration public-privé est indispensable

Souvent, le secteur privé comprend mieuxla technologie que nous, et parvient àidentifier l'origine de ces menaces. Cesdernières années, nous avons donc déve-loppé et renforcé des relations avec lesentreprises, et conclu notamment desaccords de partage d'information.

Nous échangeons et travaillons active-ment pour partager nos informations surles vulnérabilités. Nous appelons ce quatrièmevecteur d'avancée la « défense intelligente ».L'OTAN a signé un mémorandum d'en-tente avec un certain nombre d'entreprises

LES STRATÉGIES DE CYBERDÉFENSE DE L’OTAN

89 n

TÉMOIGNAGES

n 90

du secteur privé. Cette expérience s'estrévélée très profitable au fur et à mesuredu développement de ce partenariat.

Par ailleurs, l'OTAN a renforcé ses acti-vités d'éducation, de formation et sesexercices sur la cyberdéfense au sein desa propre école, l'École des systèmes d’in-formation et de communication, et dansle cadre de partenariats avec d'autresétablissements de formation et d'ensei-gnement.

Dans cette ère du numérique, l'une desseules choses prévisibles est qu'un événe-ment imprévisible se produira cette année.Votre entreprise doit donc être en mesurede départager le « certain » de l'«incer-tain »…

Protéger votre entreprise contre les cybe-rattaques est un problème crucial quiconcerne chacun de nous, quel que soitnotre niveau. Unissons donc nos forces. n

14 Comment mesurer l’efficacité de votreprogramme de cybersécurité ?

Par Alan Jenkins et Greg Day

Alan Jenkins est l’ancien RSSI d'une entreprise cotée auFTSE100 et associé d'IBM Security. Greg Day est Vice-Président et CSO EMEA chez Palo Alto Networks, respon-sable de la stratégie de cybersécurité et du développementde la Threat Intelligence.

Le PDG de votre entreprise est en phase de négocia-tions avancées au sujet d'une acquisition importante.Il souhaite en effet acquérir un réseau social en pleinecroissance qui s'appuie sur ce qui semble être unenouvelle technologie intelligente.

Cette acquisition est décisive.Le directeur financier et le responsable du service

juridique ont examiné la situation avec toute la dili-gence nécessaire. Les chiffres et les actifs qui leur ontété présentés, dont la propriété intellectuelle, leursemblent intéressants.

Le directeur marketing est certain que cette acqui-sition boostera les ventes.

Pourtant, dans la salle de négociations, le RSSIdéclare : « Attendez ! Cette société pose de nombreusesquestions en matière de cybersécurité. »

Tout le monde est conscient que la question de lacybersécurité est décisive pour les entreprises. Maisvous-même, dans une situation similaire, quelleimportance accorderiez-vous à ce que pense votreRSSI au sujet d'une décision aussi stratégique ?

De plus, les membres du Conseil d'administration(qui sont rarement au fait des dernières technologies– lire le chapitre 12 à ce sujet) sont-ils véritablement àmême de mesurer objectivement la réussite ou mêmesimplement la qualité du programme de cybersécu-rité mise en place par votre RSSI ?

Dans l'exemple précédent, le RSSI considère que lapropriété des données du client est discutable, que lelogiciel est truffé de défauts, et que le coût lié à l'amé-nagement de l'infrastructure existante risque d'être

91 n

supérieur au coût de rachat de l'entre-prise.

Prenez-vous son avis en compte oul'ignorez-vous, en considérant que votreRSSI ou votre DSI pourront procéder auxaménagements nécessaires après l'acqui-sition ?

Dans une situation similaire que nousavons vécue au sein d'une entreprise cotéeau FTSE100, la solution a consisté à souli-gner les risques sous-jacents sans pourautant interrompre le processus d'acqui-sition. Il a ainsi été convenu que la nouvelleentreprise serait exploitée de façon auto-nome jusqu'à ce que l'équipe en chargedes technologies puisse « nettoyer » l'in-frastructure informatique de la nouvelleentité.

Après cela seulement, diverses formesd'intégration ont pu être envisagées. Lecoût de l'acquisition a certes été considé-rablement augmenté, mais le Conseil d'ad-ministration a estimé qu'un tel surcoûtétait nécessaire.

Il faut cependant reconnaître qu’unetelle décision est pour le moins inhabi-tuelle. Votre propre Conseil d'administra-tion est-il capable d’entendre de tels argu-ments et prendre de telles décisions ?

Il est pourtant crucial, dans un tel contexte,de pouvoir vous appuyer sur le niveaude leadership informatique nécessaire.

n Tiendrez-vous compte de l’avis négatif de votre RSSI ?

Toutes les entreprises n'ont pas atteint lemême stade de cybermaturité.

Certaines sont plus matures sur le planinformatique que d'autres.

Cela conduit à se poser deux questionsfondamentales :n Le niveau de notre direction de la sécu-

rité informatique est-il suffisant au regarddes besoins de notre entreprise ?

n Devons-nous faire appel à un conseilleren fusions/acquisitions à même derépondre à nos questions d'ordre straté-gique, ou avons-nous seulement besoind'un expert technique ?

Il appartient au Conseil d'administra-tion de décider du niveau de sécurité àatteindre. Ce niveau dépendra de la tech-nologie exploitée et de l'environnementréglementaire dans lequel l'entrepriseévolue. Vous pourrez alors déterminerplus précisément ce que vous attendezde votre Directeur de la sécurité du SI(DSSI) avant de le nommer.

n Evaluer son DSSI sur la criseLors de la nomination à un tel postedemandez au futur DSSI de soulignerles risques informatiques qui pèsent surl'entreprise mais dont les autres membresdu Conseil n'avaient pas connaissance,et évaluez la pertinence de sa réponse.

À ce stade, une décision doit être prise :confirmer ou non la nomination. Maiscomment être véritablement certain quele DSSI retenu sera suffisamment compé-tent pour siéger au Conseil d'adminis-tration ?

Pour mesurer sa réussite, l’idéal seraitd’étudier de quelle manière il a su répondreà une situation de crise. Mais il y a fortà parier que les membres du Conseild'administration demanderont à êtrerassurés bien avant qu'une situation decrise ne se pose ! De plus, il est préfé-rable qu'un tel directeur soit en placeaux premières heures de la crise, si teldevait être le cas.

n Des exercices de crise comme indicateursavancés

Cela nous amène aux indicateurs. Denombreux indicateurs permettent de mesurerle niveau de cybersécurité de votre entre-

TÉMOIGNAGES

n 92

prise, mais tous ne coïncident pas parfai-tement avec le cycle de l'entreprise.

Beaucoup d’indicateurs correspondentgénéralement à ce qu'on a coutume d'ap-peler les « indicateurs décalés » : ceux-ciprésentent en effet des événements passés.Ils offrent donc un éclairage sur des faitsantérieurs.

En général, ces indicateurs décalés sontregroupés sur un tableau de bord de sécu-rité. Des témoins de couleurs rouge, orangeet verte y indiquent le nombre de systèmesprotégés par un antivirus, le nombre decorrectifs déployés et le nombre de logi-ciels malveillants bloqués, etc.

La plupart de ces statistiques mesurentde manière factuelle ce qui s'est passé etnon l'incidence de ces événements sur laprotection de l'entreprise face aux événe-ments à venir.

Par exemple, le calendrier de déploie-ment des correctifs a été respecté surtous les systèmes : l'indicateur est alorsau vert. D’autres indicateurs peuventindiquer le nombre de systèmes antivi-rus en place ou de mots de passe fiablesvérifiés, mais aucun ne donne d’infor-mations directes sur la probabilité etl'impact d'une attaque ciblant l'entre-prise (ils doivent pour cela être exploitésdans le cadre d’une analyse de risque for-melle).

n Des indicateurs « avancés» tournés vers lapréparation à la crise

Mais il peut être difficile pour les mem-bres du Conseil d'administration d'anti-ciper des événements en s'appuyant uniquement sur des performances pas-sées. Pour cette raison, il est plus inté-ressant de disposer d'indicateurs dits« avancés », plus évolués et tournés versl’anticipation.

Mais comment quantifier de tels indi-cateurs avancés ? Car ceux-ci doivent,par définition, tenir compte du caractèreincertain de la cybersécurité et (souventégalement) son caractère aléatoire…

n Une marge d'anticipation très réduiteDans une entreprise traditionnelle, lamise au point d'un nouveau produit, samise en production et sa commercialisa-tion prennent en général 12 mois minimum.Mais il faudra cependant souvent bienmoins de six mois à une personne malveil-lante pour identifier les faiblesses de votreentreprise et s'introduire dans son systèmed’information. Et malheureusement lesmembres du Conseil d'administrationont parfois du mal à apprécier cette nouvelledynamique, car ils ne sont pas habitués àune évolution aussi rapide.

Les indicateurs avancés pourront contri-buer à donner au Conseil d'administra-tion une vision du caractère dynamiquede la cybersécurité.

Ils illustreront la manière dont l'équipeinformatique répond aux événements etlimite les temps d'arrêt de l'activité ouencore comment vos dispositifs de défenseont été conçus et déployés dans l'entre-prise. En clair, les indicateurs avancéssont de méta-indicateurs : ils s’intéres-sent aux capacités d’action de votreprogramme cybersécurité (à travers sesressources, son organisation et son leader-ship) plutôt qu’à ses réalisations passées.

n L’équipe de cybersécurité en première ligneDans le cas d'une cyberattaque l'équipeen charge de la sécurité doit affronter leproblème jusqu'à ce que le danger soitcontenu, sous contrôle et si possible, éliminé.L'un des indicateurs avancés, pertinentici, est le temps nécessaire à la résolution

COMMENT MESURER L’EFFICACITÉ DE VOTRE PROGRAMME DE CYBERSÉCURITÉ ?

93 n

« Il peut être décourageant de rechercher le bon RSSI ! »

d'une crise ou d'une attaque, car il donne,entre autres, une estimation de la qualitédu leadership de la fonction cybersécu-rité.

Mais à l’inverse d’une attaque très visible,il se peut qu'une attaque présentant defaibles risques n'ait pas été détectée pendantplusieurs années, mais que son impact àlong terme soit très important.

Une fois celle-ci identifiée, un indica-teur décalé permettra certes ici de « remonterle temps » et de mesurer l’impact sur lesactifs de l’entreprise (quels systèmes étaientcorrigés, à quel moment, etc.). Mais pour enfaire un indicateur avancé, il vous faudraalors vous en servir pour modéliser unnouveau scénario d’attaque et le faire« jouer » par des tests et des exercicesproactifs afin de confirmer (ou améliorer !)la capacité d’action de votre équipe decybersécurité.

Pensez également à associer à ces exer-cices le porte-parole du conseil d'admi-nistration, épaulé par les équipes desservices juridique et RH. Cela permettra,entre autres, de rendre compréhensiblespar les autres membres de l'entreprisel’action et la méthodologie de l’équipe decybersécurité.

On peut comparer cette approche aufait d'utiliser directement un extincteurpour éteindre un incendie au lieu d’ac-tionner l'alarme incendie qui est au mur.

La mise en place de tels exercices estplus percutante et aide tous les membresde l'entreprise, à tous les niveaux, àcomprendre qu'ils ont un rôle à jouer.

Le Conseil d'administration disposealors d'une vision plus claire (un indica-teur avancé) sur l’organisation, le fonc-tionnement et l'efficacité des mesures de

cybersécurité en place. Il lui sera alorspossible de déterminer plus aisément lavaleur commerciale potentielle d'un nouvelinvestissement en cybersécurité lorsquele service SSI en fera la demande.

Souvenez-vous également que sur leplan de la gouvernance – et selon le conceptde la défense en profondeur - la cybersé-curité ne doit pas relever de la seule respon-sabilité du RSSI / DSSI, mais de l'en-semble de l'organisation. La SSI « n’estque » le responsable exécutif et le maîtredu projet, à l'échelle de l'entreprise. C’estpourquoi le conseil d'administration doitavoir, à son niveau, une vision claire desactions prises pour protéger l’entreprise.

Grâce à ces informations, le conseil d'ad-ministration peut se poser les questionssuivantes :n Nous sommes-nous améliorés ?n Le délai séparant une attaque et sa détec-

tion a-t-il été réduit ?n Le déploiement des correctifs est-il plus

efficace ?n Notre entreprise est-elle plus sécurisée ?

n Ne pas oublier la continuité d’activitéUn point important à contrôler est l’in-

tégration de vos scénarios de crises cyberà votre programme de continuité d’acti-vité (car celui-ci n’est pas tombé dansl’oubli, n’est-ce pas ?). Vous devez abso-lument vérifier que tous les détails, commepar exemple les coordonnées des diri-geants, des partenaires et des prestatairesà contacter, sont à jour en cas de cyberat-taque.

Bien entendu, il n'existe aucune garantiede réussite. Vous pouvez dépenser desfortunes pour doter l'entreprise des toutes

TÉMOIGNAGES

n 94

« Toutes les entreprises n'ont pas atteint le même stade de cybermaturité. »

COMMENT MESURER L’EFFICACITÉ DE VOTRE PROGRAMME DE CYBERSÉCURITÉ ?

dernières technologies et faire malgrétout l'objet d'une attaque si l'un desemployés, en ouvrant un e-mail, cliquesur un lien contenant un cheval de Troie.

n La sécurité à 100% n’existe pas : ne demandez pas la tête de votre RSSI !

Ce rappel n'est en rien une excuse en casd'échec, mais une réalité : la sécurité nepeut pas être garantie à 100 %. Et pour-tant, la première tête à tomber lors d'uneattaque est souvent celle du DSSI / RSSI,car la Direction s'attend (à tort) à ce qu'ils

bloquent toutes les attaques. C'est absurde :il n'existe en réalité jamais de mauvaiseréponse à une cyberattaque, mais quedes enseignements pour l'avenir.

Nous apprenons tous de nos erreurs. Il serait donc vraiment déplacé de sacri-fier votre RSSI, sauf à prouver sa négli-gence ou sa malveillance manifeste.

Appuyez-vous sur cette expérience pouraméliorer vos défenses pour l'avenir, caril y aura très certainement « une pro-chaine fois » ! n

95 n

1. Faites intervenir votre RSSI durantcertains comités de directionSi vous n’avez pas nommé de DSSI aucomité de direction, il est profitable queles membres du CODIR connaissent toutde même votre RSSI et que celui-ci puissey présenter régulièrement ses actions etleur impact sur la protection des actifs del’entreprise.

2. Organisez des visites de votre SOC pourles membres du CODIRSi vous disposez d’un SOC (SecurityOperations Center) ou tout autre lieudédié à la surveillance continue de votrecyber-sécurité (y compris s’il est

externalisé), organisez une visite desmembres de votre comité de direction,afin qu’ils prennent conscience del’infrastructure nécessaire et des processushumains qui sont en jeu en matière decyberdéfense.

3. Faites réaliser un point sur lesindicateurs à votre dispositionAvant de chercher à améliorer le fonction-nement de votre programme decybersécurité, vous allez avoir besoind’une vision objective de l’existant. C’estle bon moment pour recenser les tableauxde bord et les indicateurs existants, ainsique l’organisation de votre SSI.

Pour anticiper

Les auteurs

LES AUTEURS

GREGORY ALBERTYNGregory Albertyn est Directeur senior. Il est spécialiste des questions de confor-mité réglementaire et de l'optimisationdes processus de gouvernance des données.Il était auparavant Global Privacy Officerpour Biogen, une société américaine debiotechnologie. n

AVI BERLINERAvi Berliner est responsable dans le domainedes services financiers, de la stratégieapplicative et de l’intégration. Il a travailléauparavant chez Standard & Poor's entant que Data Associate et Directeur dessolutions & architectures IT. Il est diplôméde la Polytechnic School of Engineeringde l'Université de New-York. n

Plus d’information :• https://www.pwc.fr• https://twitter.com/pwc_france

ALAIN BOUILLEAlain Bouillé est le Directeur de la Sécu-rité des Systèmes d’Information du GroupeCaisse des Dépôts depuis 2001. Il est encharge de l’élaboration de la politique desécurité du Groupe, de la coordination etdu pilotage de sa mise en œuvre dans lesentités du Groupe et du contrôle de sonefficacité. Il était auparavant RSSI duGroupe La Poste où il exerçait des fonc-tions similaires.

Alain Bouillé est certifié CISM et est membredu CLUSIF, du club R2GS, du CIGREF,du Cercle Européen de la Sécurité et présidedepuis juillet 2012 le Club des Experts dela Sécurité de l’Information et du Numé-rique (CESIN) regroupant près de 150RSSI de grandes entreprises. n

Plus d’information :• https://www.cesin.fr/• https://twitter.com/cesin_france

GREG DAYGreg Day est Vice-Président et CSO EMEAchez Palo Alto Networks, responsable dela stratégie de cybersécurité et du déve-loppement de la Threat Intelligence. Précé-demment il a occupé divers rôles straté-giques chez l’éditeur Dr Solomon, puis aété CTO EMEA chez Symantec, puis Vice-Président et CTO EMA pour l’éditeurFireEye.

Greg Day est également membre du comitéde pilotage de l’agence nationale UKNational Crime Agency, du UK-CERT/CISPet de la communauté de recherche antivi-rale VFORUM. n

Plus d’information :• https://www.paloaltonetworks.fr• https://www.paloaltonetworks.com• https://twitter.com/PaloAltoNtwksFR

99 n

LES AUTEURS

AHMAD HASSAN Ahmad Hassan est Partner au sein de laPractice Technologies et Services du Cabinetparisien Heidrick & Struggles. Fondée en1953 à Chicago, Heidrick & Struggles estl’une des premières sociétés mondialesde conseil en leadership, spécialisée dansla recherche de dirigeants par approchedirecte et dans le conseil aux dirigeants. Ingénieur en Electronique et Communi-cations, Ahmad Hassan dispose d’un MBAobtenu à l’INSEAD. Il est co-inventeur(US Patent) de plusieurs produits enimagerie numérique.

Ahmad se consacre autant au recrute-ment des dirigeants qu’au conseil en leader-ship dans le domaine des technologiesde l’information et digitale, aussi biencôté DSI et CDO d’entreprises utilisa-trices que côté fournisseurs (les dirigeantsdes éditeurs de logiciels, équipementiers,opérateurs télécoms, intégrateurs). n

Plus d’information :• http://www.heidrick.com/• https://twitter.com/HSIItweets

OLIVIER ITEANUMaître Olivier Iteanu est avocat à la Courd'Appel de Paris, fondateur et dirigeantde la société d'Avocats Selarl ITEANU. Ilest également chargé d'enseignement àl'Université de Paris XI (Faculté Jean Monet),dans les Master 2 (DESS) du droit du numé-rique, du droit des activités spatiales et

des télécommunications, de la gestion del'information, ainsi qu'à l'Université deParis I Sorbonne dans le Master droit del'administration électronique.

Maître Olivier Iteanu est également admi-nistrateur et responsable de la commis-sion juridique de l'ASP Forum devenuEurocloud France depuis 2004. Il est égale-ment l'un des derniers Français à avoirété désigné par le conseil d'administra-tion de l'Internet Corporation for Assi-gned Names and Numbers (ICANN)comme un des 9 membres du Comitéd'Etude At Large Membership. n

Plus d’information : • http://www.iteanu.com/• https://twitter.com/iteanu

ALAN JENKINSAlan Jenkins est Associates Manager àIBM Security. Après avoir servi au seinde la police de l’Armée de l’Air britan-nique jusqu’en 2006, Alan Jenkins a notam-ment été Chief Security Officer UK pourCSC et T-Systems, puis consultant sécu-rité avant de rejoindre IBM en 2015. Il estégalement membre du comité consultatifde ClubCISO, une association britan-nique de cadres du domaine de la SSI, etmembre du comité Convergence & Cyberde l’association ASIS International (chapitreUK). n

Plus d’information :• http://www.ibm.fr• https://twitter.com/IBM_France

n 100

BIOGRAPHIESLES AUTEURS

OLIVIER LIGNEULOlivier Ligneul est CTO & RSSI du groupeEDF. Il a auparavant été chef de la missionCTI au sein de la DSI ministères écono-miques et financiers, ainsi que chef du BureauAssistance et Conseil pour l'Agence natio-nale de la sécurité des systèmes d'informa-tion (ANSSI) / SGDSN. Titulaire d’un diplômed'ingénieur de l’Ecole supérieure d'Infor-matique, Electronique et Automatique (ESIEA),il intervient régulièrement à l'INHESJ et estégalement vice-président du Club des expertsde la sécurité de l'information et du numé-rique CESIN. n

Plus d’information : • https://www.edf.fr/

JEAN-PAUL MAZOYERJean-Paul Mazoyer est Directeur généraldu Crédit Agricole Pyrénées-Gascogne. Ila été auparavant directeur informatiqueet industriel du groupe Crédit Agricoleentre 2013 et 2016.

Jean-Paul Mazoyer a également été Vice-Président du CIGREF et Président-Fonda-teur de son cercle Cyber-Sécurité, dans lecadre duquel il est notamment le créa-teur de la campagne Hack Academy.Enfin, il est membre de la Réserve Citoyennede Cyber Sécurité et Colonel de réservede l’Armée de l’Air. n

Plus d’information :• http://www.cigref.fr/• https://twitter.com/cigref

MARK McLAUGHLINMark McLaughlin est Président et CEOde Palo Alto Networks. Il a été avant celaPrésident et CEO de Verisign, ainsi queVice-Président en charge des ventes et dubusiness développement pour Signio,unéditeur de solutions de signature électro-nique. Avocat, il a conseillé le groupeCaere Corporation et travaillé pour lecabinet Cooley Godward Kronish.

Mark McLaughlin a été nommé Chairmanof the National Security Telecommunica-tions Advisory Committee par le Prési-dent Barack Obama. Il est titulaire d’undiplôme de droit de l’université de Seattleet diplômé de l’Académie Militaire deWest Point. n

Plus d’information :• https://www.paloaltonetworks.fr• https://www.paloaltonetworks.com• https://twitter.com/PaloAltoNtwksFR

JEROME SAIZJérôme Saiz est consultant en protection desentreprises et fondateur de la société OPFORIntelligence. Il est auditeur INHESJ, titulairedu titre 1 RNCP d'expert en protection desentreprises, et certifié CT CERIC en sûreté etlutte contre la malveillance (CNPP).Il a été auparavant expert sécurité respon-sable de la communauté RSSI au sein dela société Qualys, et journaliste spécialisédans les questions de cyberdéfense.

101 n

>

Jérôme enseigne depuis 2007 à l’EPITA etintervient depuis 2016 auprès du CentreNational de Prévention et de Protection.Il est Lieutenant-Colonel dans la réservecitoyenne de la Gendarmerie Nationaleet membre de la Réserve Citoyenne deCyberdéfense. n

Plus d’information :• https://opforintel.com• https://twitter.com/jeromesaiz

MICHEL VAN DEN BERGHE Michel Van Den Berghe est CEO d’OrangeCyberdefense. Il a rejoint le groupe à lasuite du rachat d’Atheos, dont il était lePrésident Fondateur depuis 2002.

Il est également le fondateur des Rencon-tres de l’Identité, de l’Audit et du Mana-gement de la Sécurité (RIAMS) qui rassem-blent depuis 2004 les principauxresponsables et donneurs d’ordre dudomaine de la sécurité des Systèmes d’In-formation.

Orange Cyberdefense rassemble toutel’expertise en Cybersécurité d’OrangeBusiness Services et compte 1 200 colla-borateurs dans 220 pays.Michel Van Den Berghe est diplômé de laFaculté polytechnique de Mons. n

Plus d’information :• http://www.orange-business.com/fr

/securite• https://twitter.com/orangecyberdef• https://twitter.com/vandenbergheocd

IAN WESTIan West est directeur de la cellule delutte contre la cybercriminalité au sein del'agence de l'OTAN pour la Communica-tion et l'Information (NCI).

Il a reçu le SC Magazine Europe Awarddans la catégorie « Meilleur Directeur dela sécurité informatique en 2016 », et sonéquipe a reçu la distinction de « HighlyCommended Security Team » pour l’année2016. n

Plus d’information :• https://www.ncia.nato.int/• https://twitter.com/nciagency

CEFCYS

LAURE ZICRYLaure Zicry est avocate, spécialiste del’assurance responsabilité civile depuisplus de quinze ans, notamment avec unespécialisation dans les lignes financières.Elle a développé en janvier 2011 le premiercontrat couvrant le transfert à l’assurancedes risques cyber.

Aujourd’hui Laure Zicry est ResponsableTechnique Institutions Financières et CyberRisks Practice Leader dans un grand groupeinternational. Elle est également l'auteurd’un ouvrage consacré à la maîtrise desrisques cyber et membre du CEFCYS, leCercle des Femmes de la Cybersécurité.

Laure est diplômée de l’Ecole du Barreaude Paris et de l’Université Paris X Nanterre. n

FICHES AUTEURSLES AUTEURS

n 102

>

L E G U I D E D E L A C Y B E R S É C U R I T É P O U RL E S D I R I G E A N T S D ’ E N T R E P R I S E

F R A N C E

E N C O L L A B O R AT I O N AV E C

GO

UV

ERN

ER À

L’ÈRE D

U N

UM

ÉRIQ

UE | FR

AN

CE



AUTEURS

• Gregory Albertyn

PwC

• Avi Berline

PwC

• Alain Bouillé

Groupe Caisse des Dépôts

• Greg Day

Palo Alto Networks

• Ahmad Hassan

Heidrick & Struggles

• Maître Olivier Iteanu

Iteanu Avocats

• Alan Jenkins

IBM

• Olivier Ligneul

EDF

• Jean-Paul Mazoyer

Crédit Agricole Pyrénées-Gascogne

• Mark McLaughlin

Palo Alto Networks

• Jérôme Saiz

OPFOR Intelligence

• Michel Van Den Berghe

Orange Cyberdéfense

• Ian West

OTAN (Communications and Information Agency)

• Laure Zicry

Avocate

LivreBlancPaloAlto_COUV_DefQuad-2.indd 1LivreBlancPaloAlto_COUV_DefQuad-2.indd 1 23/09/16 11:4023/09/16 11:40

LE GUIDE DE LA CYBERSÉCURITÉ POUR LES DIRIGEANTS … · 2016. 10. 11. · Gouverner à l’ère...

Documents

Transcript of LE GUIDE DE LA CYBERSÉCURITÉ POUR LES DIRIGEANTS … · 2016. 10. 11. · Gouverner à l’ère...