Nulle entreprise n'est à l'abri d'un incident IT majeur affectant l'ensemble du système d'information. Or la résilience IT est une condition sine qua non de la résilience de toute organisation. La dépendance à l'IT est devenue une fragilité, un facteur de risque. Pour réduire fréquence et gravité du risque IT, il faut adopter une approche de gestion des risques qui va bien au-delà de la seule cybersécurité. Il faut ainsi intégrer des approches visant à la conformité réglementaire, à garantir la fiabilité et la solidité des fournisseurs ou à couvrir le risque grâce à des polices d'assurances dédiées. Le 19 novembre 2019, CIO a organisé à Paris une conférence dédiée intitulée « Sécurité globale de l'IT : de la gestion des risques à la résilience » en partenariat avec BigID, Darktrace, DMI / Ivanti, Kyocera, Netwrix, NTT, Okta et OneTrust. Les experts des partenaires et les témoins se sont succédé sur scène pour présenter les meilleures pratiques.
En ouverture de la matinée, les principaux résultats de l'étude Quelles pratiques pour garantir la résilience IT ? ont été présentés. Cette étude, réalisée par CIO, a montré encore une fois les nombreux manquements dans l'adoption des bonnes pratiques par les entreprises françaises. La priorité à l'heure actuelle reste un focus sur la cybersécurité, même si les démarches d'évaluation des fournisseurs suscitent un intérêt notable. Les cyber-assurances, par contre, demeurent largement négligées.
« Prévenir les risques de violations : comment gérer les risques fournisseurs dans le cadre du RGPD » a explicité Quentin Roulier, Privacy Engineer chez OneTrust.
Le risque fournisseur est pourtant particulièrement élevé avec la mise en application du RGPD et de multiples réglementations similaires un peu partout dans le monde. C'est ce qu'a rappelé Quentin Roulier, Privacy Engineer chez OneTrust, premier expert à intervenir. En effet, une entreprise reste responsable des données personnelles, même confiées à un fournisseur. Et, évidemment, elle est coupable si le fournisseur commet un manquement. Comme démonstration du risque lié à un tiers, Quentin Roulier a raconté la désormais bien connue anecdote du tracé de la base américaine en Afghanistan rendu accessible aux Talibans à cause des militaires joggers utilisant une application de suivi de performance.
« Une chaîne est autant fragile que le plus faible de ses maillons » a rappelé Quentin Roulier. Et le maillon le plus faible est souvent un fournisseur, un sous-traitant voire un sous-traitant de sous-traitant. Au delà des outils (par ailleurs nécessaires) de cybersécurité classique, il est donc nécessaire de disposer d'outils pour évaluer les fournisseurs et les risques associés. Ces outils servent à automatiser les évaluations avec des modèles de risques, documenter cette évaluation, surveiller les fournisseurs de rang n, gérer la la désactivation d'un fournisseur et collecter les preuves de destruction des données qui leur avaient été confiées.
« La sécurisation des données personnelles, un des enjeux majeur du RGPD » a plaidé Jean-Michel Kacmann, vice-président of Southern Europe Sales de Big ID.
Depuis Mai 2018, les process de conformité RGPD doivent (normalement) être mis en oeuvre partout. L'étape actuelle consiste à se préoccuper des données elles-mêmes. « Comment retrouver toutes les données concernant une personne ayant réalisé une demande d'accès ou de rectification ? » a interrogé Jean-Michel Kacmann, vice-président of Southern Europe Sales de Big ID. C'est là l'un des enjeux du recensement et de la cartographie des données. Et si l'on prend l'exemple banal des ressources humaines, la paie est une chose mais les CV ou les évaluations peuvent se retrouver dispersés dans de multiples endroits, y compris sous forme de pièces jointes dans des mails.
Les outils du DPO doivent donc prendre en charge tous les types de stockage, sous forme de données structurées ou non-structurées. Et, en cas d'intrusion, il faut savoir quelles données ont été potentiellement compromises. La mise à disposition d'un outil graphique destiné autant aux DPO qu'aux RSSI ou au data managers permet de disposer d'une vision globale sur les données personnelles. Pour Jean-Michel Kacmann, si l'amende RGPD n'a pas fait réagir les entreprises, il reste un espoir : l'argument de la valeur découverte dans les données stockées.
Olivier Mesnard, DSI Groupe (à droite) et Fabrice Morgaut, Risk Manager (à gauche), de la Compagnie des Alpes ont explicité comment un DSI collabore avec un risk manager.
Premiers témoins de la matinée, Olivier Mesnard, DSI Groupe et Fabrice Morgaut, Risk Manager, de la Compagnie des Alpes ont expliqué comment ils collaboraient au quotidien pour assurer la résilience de leur entreprise. Fabrice Morgaut anime également la commission « Intelligence Economique, gestion de crise et PCA » de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise, 1100 membres risk managers de 700 entreprises). La Compagnie des Alpes génère 850 millions d'euros de chiffre d'affaires par an en étant leader mondial de l'exploitation des domaines skiables (Val d'Isère, Tignes...) mais aussi de destinations de loisirs (Parc Astérix, Walibi, Futuroscope, Musée Grévin...).
« Nous avons différents sites avec des responsables informatiques locaux qui ne sont pas rattachés hiérarchiquement à la DSI groupe mais seulement fonctionnellement » a précisé Olivier Mesnard. Le SI associe des logiciels ordinaires de gestion, des applicatifs dédiés à gérer l'accueil du public (billetterie...) et aussi une informatique industrielle (attractions, remontés mécaniques...), parfois avec des difficultés liées à la situation géographique excentrée de la plupart des sites, donc avec des capacités télécoms limitées. Chaque partie du SI, sur chaque site, a ses propres risques. Certaines briques comme Office365 et l'Active Directory sont cependant gérés centralement, ce qui facilite l'adoption d'une politique de sécurité centrale.
Fabrice Morgaut a dressé une cartographie des risques (qualification, quantification des impacts...) et l'IT est aux premières loges des principaux risques affectant l'entreprise avec les cyber-attaques et les déficiences.
Chacun comprend l'impact de l'arrêt d'une billetterie par exemple. Des périodes sont particulièrement propices à des risques importants car ce sont des périodes de très fortes activités (Halloween, Noël...) où un arrêt d'exploitation serait d'autant plus grave. La répartition des sites et des SI facilite cependant la répartition des risques, malgré des risques globaux comme le site web. Une fois les risques IT identifiés, Olivier Mesnard a collaboré avec chaque responsable informatique local pour décliner une politique nationale et valider les PCA. « Une bonne collaboration entre le gestionnaire de risques et le DSI aide le Comité Exécutif à prendre les bonnes décisions » a insisté Fabrice Morgaut. Cette collaboration permet notamment de bons arbitrages dans les investissements en matière de sécurité.
« La réponse de la cyber IA à l'ère des attaques à vitesse machine » a été détaillée par Bénédict Matthey, Expert Cybersécurité chez Darktrace.
Parmi les risques à repérer, il y a bien sûr les comportements inadéquats des utilisateurs, soit parce que leur poste a été piraté et utilisé comme relai d'une attaque, soit qu'il s'agisse d'une volonté délibérée de leur part, souvent en lien avec le souhait de nuire. Or une surveillance humaine n'est jamais constante. D'où l'existence de solutions comme celle de Dark Trace qui utilise l'intelligence artificielle et le machine learning pour détecter les comportements suspects. « Quelque soit la menace, son déclenchement implique une variation de comportement des applications » a assuré Bénédict Matthey, Expert Cybersécurité chez Darktrace.
L'outil peut, en fonction de son paramétrage, réagir de façon automatique et bloquer la menace. Ces fonctions de détection et de réactions sont valables autant on-premise que cloud. Darktrace utilise pour cela des appliances en coeur de réseau et n'examine donc pas les postes de travail. Par contre, un poste de travail peut être isolé du reste du SI pour éviter une contamination, automatiquement durant trois heures.
Gilles Berthelot, RSSI Groupe de la SNCF, a expliqué comment « Protéger le business de l'entreprise : du réseau informatique au réseau ferré ».
Quand on parle de réseau, il faut aussi envisager le mot sous son sens physique. La SNCF dispose ainsi, bien entendu, de réseaux informatiques mais également d'un réseau ferré sur lequel circule des trains entre des gares. Aujourd'hui, la SNCF est organisée en trois EPIC : le groupe (fonctions transverses et support), l'infrastructure (réseau ferré...) et l'opérateur de transport. Au 1er janvier, le groupe disposera d'une holding de tête conséquente et cinq filiales : Keolis (transport de proximité), Geodis (transport de marchandises), SNCF Voyageurs (avec Oui.SNCF), SNCF Logistique (fret...), SNCF Réseau avec, au sein de celle-ci, une filiale Gares & Connexions. Gilles Berthelot, en tant RSSI Groupe de la SNCF, est rattaché à la holding. « La holding est un chef d'orchestre et le RSSI groupe a un rôle de coordination et de garantir une cohérence à tous les systèmes de protection dans le groupe, même s'il y a des différences de maturités entre filiales » a expliqué Gilles Berthelot. Il a expliqué que la place du RSSI, dans la DSI ou dans celle de l'audit et des risques, doit beaucoup à la maturité. Auparavant rattachée à la direction de l'audit et des risques, Gilles Berthelot a été ensuite basculé au sein de l'entité transverse e.SNCF pour être au plus près des DSI et de l'opérationnel.
La panoplie des risques est considérable à la SNCF, même si l'on s'en tient à la seule IT. En effet, tous les process métiers sont informatisés : de l'aiguillage aux trains, les objets connectés sont ainsi très nombreux. A cela s'ajoute les réseaux, qu'il s'agisse de ceux destinés à l'interne comme ceux visant à offrir un service aux voyageurs. Gilles Berthelot a ainsi expliqué comment tous ces risques sont gérés.
« La gestion des données personnelles dans un contexte hautement fragmenté » a été décrite par Nicolas Petroussenko, vice-président Sales SEMEA d'Okta.
Parmi les risques rencontrés par n'importe quelle organisation, il y a bien sûr ceux connexes au RGPD concernant tous les types de données directement personnelles ou permettant d'identifier indirectement les personnes. « Le RGPD entraîne de nombreux sujets connexes » a averti Nicolas Petroussenko, vice-président Sales SEMEA d'Okta. Cette problématique se développe dans un contexte de complexification de la sécurité : la traditionnelle distinction entre zone de confiance et zone non-contrôlée est dépassée par les interconnexions et les ouvertures. Il faut donc passer à l'approche zéro trust. Comme explique Nicolas Petroussenko : « il faut donner le bon accès à la bonne personne au bon moment et à la bonne donnée ». Sécuriser les données oblige en effet à répondre à « qui » mais aussi à « où » et « avec quoi » (BYOD....).
Cela n'est possible qu'en gérant de manière harmonisée, dans un méta-annuaire, les identités afin de permettre un accès SSO avec le niveau de contrôle approprié. Selon les localisations, les terminaux (fixe, mobile, BYOD...), les types de données accédées, le contrôle sera plus ou moins sévère donc plus ou moins contraignant. De même, le niveau de risque pourra être apprécié selon le caractère habituel ou non des opérations et la sécurité induite sera plus ou moins rigide.
« Protéger le coeur de votre activité : vos données stratégiques » ont milité Thomas Limpens (à gauche), ingénieur avant-vente, et Damien Ecrohart (à droite), ingénieur solutions, chez Netwrix.
Mais, pour assurer la sécurité de son patrimoine de données, encore faut-il savoir où sont les données ! Et, au-delà du simple recensement, il faut également connaître qui a accès à quoi, qui fait quoi, puis protéger ce qui compte vraiment, documenter cette protection et enfin prouver la conformité avec les règles tant externes (RGPD...) qu'internes. Et tout cela, bien sûr, dans un SI qui a vécu, issu parfois de multiples rachats ayant laissé des scories ici ou là, ce que l'on nomme le « dark IT ».
« On retrouve des données dans les pièces jointes des mails dans Office365, même des données sensibles telles que des CV échangés entre la DRH et un service recruteur » a ainsi expliqué Thomas Limpens, Ingénieur Avant-vente Europe du Sud-Ouest chez Netwrix. Le DPO a besoin, au-delà du recensement, de détecter et hiérarchiser les incidents et les risques, le tout dans un tableau de bord synthétique. Celui proposé par Netwrix a été présenté par Thomas Limpens.
« L'audit de sous-traitants » a été décrit par Pierre Le Calvez, Security Consultant Manager, Offensive Security, de NTT Security.
Les données peuvent être confiées à des sous-traitant. Et les risques sur les données sont ainsi à étudier chez ce sous-traitant. « Il y a de nombreux cas rapportés dans la presse d'attaques de sous-traitants » a relevé Pierre Le Calvez, Security Consultant Manager, Offensive Security, de NTT Security. Dans une étude citée par ce dernier, réalisée par le Ponemon Institut, 39 % des entreprises étaient conscientes de failles chez les sous-traitants. Mais 34 % seulement avaient une liste des sous-traitants directs, 15 % des sous-traitants de rang 2. 22 % pouvaient dire si une faille entraînant des fuites de données affectait ou non un sous-traitant.
Or un sous-traitant est connecté à n clients, surtout s'il propose des services dans le cloud. Pour Pierre Le Calvez, « il est bien plus simple d'attaquer des petits sous-traitants que des grandes entreprises ». Il est ainsi possible de récupérer des accès au SI, aux données du client final.
Mylène Jarossay, Présidente du CESIN, a été la Grande Témoin de la matinée.
La Grande Témoin de la matinée a été Mylène Jarossay, CSO d'un grand compte et Présidente du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), une association réunissant uniquement des RSSI, des DSSI et d'autres managers de la sécurité. Au sein de cette association d'individus, avec une cotisation limitée de 40 euros/an, les 570 membres échangent, au cours de sessions plénières mensuelles ou du congrès annuel, sur des bonnes pratiques mais aussi sur des retours d'incidents. Le CESIN collabore régulièrement avec d'autres associations professionnelles, notamment l'AFCDP (Association Française des Correspondants à la Protection des Données Personnelles) ou l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise). « Un RSSI se doit évidemment de travailler avec un DPO ou un Risk Manager » a constaté Mylène Jarossay.
Parmi les risques qui sont souvent négligés, il y a le risque fournisseur souvent vu uniquement sous le prisme des achats. Or les cyber-risques affectant les fournisseurs deviennent des cyber-risques aussi pour l'entreprise cliente, soit parce qu'il s'agit d'une faille dans l'accès aux données, soit à cause des impacts opérationnels d'un dysfonctionnement ou d'un arrêt de service. C'est notamment vrai pour les SaaS auxquels recourt l'entreprise. La contractualisation est une partie de la réponse. Mylène Jarossay a détaillé avec soin ce point devenu essentiel.
« La sécurité des documents : Un risque ignoré par de nombreuses entreprises » a dénoncé Benjamin Claus, Manager Marketing Produits chez Kyocera.
Il y a un « parent pauvre » de la sécurité : le document. Or, pour le sécuriser, « beaucoup de choses relèvent de la simple configuration, de la simple pratique » a plaidé Benjamin Claus, Manager Marketing Produits chez Kyocera. Le premier grand classique, c'est bien sûr de trouver des documents oubliés sur le photocopieur. Ou non-détruits, dans la corbeille. Un multi-fonctions moderne imprime, scanne vers des e-mails (éventuellement externes) et est un terminal informatique, avec accès réseau, disque dur, etc.
Comme pour n'importe quel terminal, il faut donc penser à le sécuriser, bloquer les failles potentielles non-nécessaires (comme les ports USB), avoir un protocole de destruction (penser à récupérer le disque dur !)... sans oublier de changer les mots de passe d'administration. Les utilisateurs devraient avoir à s'identifier pour lancer une impression et avoir des droits strictement limités. Et tout cela relève juste du paramétrage.
« 100 failles ou sans failles ? Testez l'état de vos patchs ! » ont défendu Vincent Vandemeulebroucke, Ingénieur Commercial chez DMI (à gauche), et Eric Vincent, Ingénieur avant-vente chez Ivanti (à droite).
Si une entreprise sur deux a subi au moins une cyberattaque récemment, 86 % reposaient sur des vulnérabilités documentés d'applications conçues par des tiers. Il est donc essentiel de gérer convenablement les correctifs. Comment procéder ? Comme Vincent Vandemeulebroucke, ingénieur commercial chez DMI, et Patrice Gommy, ingénieur commercial chez Ivanti, l'ont expliqué, il faut scanné le parc de machines. Celui-ci peut s'opérer avec ou sans agent installé sur chaque terminal.
Une fois le parc identifié et administré, il faut gérer les patchs et leur installation automatique de façon que tout ce qui doit être fait le soit effectivement.
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d'Information aux Ministères Sociaux et Administrateur du CESIN (à gauche), et Olivier de Courcel, Avocat à la Cour du Cabinet Feral-Schuhl / Sainte Marie (à droite), ont participé à la table ronde « Gérer tous les risques sur l'IT à court, moyen et long terme »
Pour terminer la matinée, la table ronde « Gérer tous les risques sur l'IT à court, moyen et long terme - Cyber-risques, risques fournisseurs, risques juridiques » a réuni Olivier de Courcel, avocat à la Cour au Cabinet Feral-Schuhl / Sainte Marie, et Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d'Information aux Ministères Sociaux et Administrateur du CESIN. Olivier de Courcel a détaillé les aspects juridiques des risques sur les données, du RGPD au Cloud Act en passant par les audits et certifications de fournisseurs. Philippe Loudenot, lui, a explicité comment la sécurité était gérée dans un ensemble d'administrations très variées, allant d'une école à un CHU, avec des appareillages bio-médicaux à la sécurité parfois curieusement traitée par les fabricants.