Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CSO Interchange : Le RSSI stratège au service de l’entreprise

mai 2013 par Marc Jacob

Face à la cyber-intelligence, le RSSI doit devenir un stratège au service de l’entreprise a expliqué en introduction Philippe Courtot, CEO de Qualys. En outre, il a rappelé que le CSO Interchange a été créé en 2004 avec pour objectif de faciliter les échanges entre RSSI afin de bénéficier d’expertises mises en commun. Près d’une centaine de participants avaient répondu présents pour débattre sur le thème : « Le RSSI stratège au service de l’entreprise ».

En introduction, Philippe Courtot a expliqué qu’actuellement les technologies évoluent toujours plus rapidement. Aujourd’hui comme dans le passé, les nouveaux concepts sont décriés. Ainsi, le Cloud est pointé du doigt car il remet en questions les acquis des éditeurs. Pourtant, l’architecture du Cloud privé ou public est une véritable révolution qui offre des capacités de stockage infinies. Bien évidemment, la sécurité doit être présente, mais c’est un problème complexe qui nécessite l’échange, la sensibilisation...

Puis Bruno Halopeau, Strategic Advisor EC3, Europol, a présenté sa vision du rôle et de la place des organisations au travers de la stratégie de Cybersécurité de l’Union Européenne. L’Europe est très interconnecté avec un taux de 75% dont seulement 1% non connecté en haut débit. L’Europe est donc une cible privilégiée pour les pirates informatiques. Ainsi, il y a une véritable économie souterraine avec une spécialisation du crime organisé qui devient mature avec un risque faible. Face à ce phénomène la Commission Européenne se devait de réagir de façon organisée. Ainsi, elle a créé l’EC3 cette année. Auparavant, elle a élaboré un plan sur 10 ans. Elle a créé entre autre un CERT Européen et a fait des exercices européens. Le prochain aura lieu en 2014 et sera centré sur les banques. Il a rappelé que le contrat de l’ENISA a vu son mandat renouvelé en janvier dernier jusqu’en 2020. La stratégie de Cyber sécurité qui a été publiée cette année et a mis en exergue 5 points :

 la résilience face aux cyberattaques et aux catastrophes,
 la lutte contre la cybercriminalité,
 la nécessité d’une meilleure coopération entre les administrations, les entreprises, les Universités et la recherche,
 la nécessité d’une meilleure sensibilisation
 la création d’un marché intérieur avec des champions européens.

La Commission fait la différence entre la Cybersecurité et la Cyberdéfense. Elle a émis une directive en matière de sécurité informatique pour proposer un socle commun minimums avec entre autre la création d’une Agence de sécurité par pays, de CERT dans les pays où il n’y en a pas...

Elle souhaite qu’il y ait une meilleure coopération entre les Etats et que l’on arriver à automatiser les échanges d’informations. Elle propose qu’il y ait au sein des pays membres une culture de la gestion du risque. Pour cela, elle estime que l’obligation de déclaration d’incidents au moins pour les organisations et entreprises des secteurs stratégiques : énergie, réseaux de communication, secteur bancaire, gestion de l’eau, des transports... y concourra.

De nouvelles réformes vont être mises en place car les réglementations en matière de protection des données personnelles sont obsolètes. Ainsi, un cadre juridique commun va être créé, avec une autorité nationale qui pourra infliger des amendes en cas d’incident. Elle propose aussi un Droit à l’oubli avec une obligation pour les entreprises étrangères de se conformer aux réglementations européennes.

Pour combattre le cybercrime, Europol a mis en place des groupes de lutte. L’intérêt de cette création au sein d’Europol est le fait que l’ensemble des pays européens est représenté ainsi que les pays partenaires comme par exemple les Etats-Unis. Ce Centre offre un point de ralliement pour les enquêteurs européen. Il va être un centre d’expertise européen. Il devrait agir en tant que point centrale de coordination. Ainsi, il va travailler avec les agences de sécurité des pays européens, Interpol, les autres organisations internationales.... mais aussi avec des entreprises privées dans le cas où elles seraient victimes via le dépôt de plainte et la coopération avec les services d’enquête.

La commission a créé plusieurs opportunités de financements au niveau entreprises et groupes de travail avec le projet Horizon 2020 avec un budget de 70 milliards en tout dont une partie pour la sécurité.

Vers une certification mondiale pour la sécurité du Cloud avec la CSA

La deuxième Key Note a été assurée par un représentant de la Cloud Security Alliance (CSA) qui a présenté un schéma de certification en matière de Cloud Computing. Il a rappelé que le véritable problème du Cloud aujourd’hui est la sécurité. Il faut donc que les opérateurs offrent une sécurité de bout en bout, incluant aussi la chaîne de responsabilité des acteurs afin d’obtenir un niveau de confiance suffisant. Le deuxième problème concerne la disponibilité. La CSA souhaite résoudre ces deux principaux problèmes pour cela elle s’appuie sur des initiatives gouvernementales. Ces derniers soit construisent leur propre référentiel de sécurité soit s’appuient sur des référentiels existants pour publier "des règles de bonnes conduites" ou des schémas d’accréditation Cette démarche a déjà été initialisée en Asie par exemple. Ainsi, la CSA a formalisé l’Open Certification Franmework qui fixe un cadre commun pour l’ensemble des pays. Il y a trois niveaux :

 L’auto évaluation donc un déclaratif
 Un deuxième niveau avec un contrôle extérieur
 Un troisième niveau concerne la continuité des contrôles

Le premier niveau se base sur le STAR Security Trust & Assurance Registry.

Le deuxième niveau, celui du contrôle, est constitué par une matrice de contrôle CCM CSA Cloud Control Matrix. Il s’appuie entre autre sur l’ISO 27001 mais bien sûr orienté Cloud. Cette matrice est relativement figée mais au final est bon outil d’analyse. La CSA souhaite en fait permettre aux entreprises de connaître leur niveau de maturité dans le Cloud. A l’issu de l’audit, un niveau de qualification est délivrée mais sans publication du détail. Les premiers pilotes ont été faits en Asie avec en particulier Alibaba et le New Taipei. En septembre la CSA va lancer des formations de Lead Auditor avec pour objectif de certifier une dizaine d’entreprises afin de pouvoir proposer en 2014 des contrôles continues.

Les conclusions des conférences ont permis de montrer que face à ces nouvelles menaces le métier de RSSI évolue vers un rôle de conseil des métiers, En outre, les nouvelles réglementations européennes surtout en matière de divulgation des failles de sécurité et de vie privée devraient encore renforcer le rôle des RSSI au sein de leur organisation. Au final, le RSSI se positionne bien aujourd’hui comme un stratège de l’entreprise.


Voir les articles précédents

    

Voir les articles suivants