Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : anticipons pour ne plus subir !

octobre 2018 par Emmanuelle Lamandé

En ouverture de la 18ème édition des Assises de la Sécurité, Guillaume Poupard, DG de l’ANSSI, et Serge Telle, Ministre d’État de Monaco, sont venus faire le point sur les grands enjeux rencontrés par les entreprises en termes de cybersécurité. La transformation numérique bouleverse nos activités et nos usages. Les menaces quant à elles se démultiplient et gagnent en sophistication, complexifiant encore plus ces nouveaux défis pour les entreprises. Malgré tout, des réponses existent, à commencer par l’anticipation et la prévention des risques.

Avec le numérique, les temporalités, les usages et les valeurs changent, explique Serge Telle, Ministre d’État de Monaco. Les menaces elles aussi évoluent et sont de différents ordres aujourd’hui : terroristes, économiques, politiques, hacktivistes… Les acteurs malveillants utilisent de plus tous les moyens possibles pour parvenir à leurs fins (exploitation du darknet, ransomwares…). Face à ces menaces et à ces nouveaux enjeux, trois exigences s’imposent, selon lui : l’attention, la mobilisation et l’adaptation.
-  Ce monde en pleine mutation doit nous permettre d’être attentif aux usages. Il faut construire de nouveaux outils de vigilance adaptés. De plus, les menaces étant aujourd’hui globales, nul ne peut tout comprendre tout seul, d’où le besoin d’échanger et de collaborer entre acteurs.
-  La mobilisation passe notamment par le déploiement des moyens adéquats, la mise en place de procédures adaptées, le développement de capacités de réaction, la formation des personnels et la mise sur pied d’équipes compétentes. La transformation numérique change également le rapport entre les administrations et les administrés. La principauté de Monaco travaille en ce sens au développement de procédures dématérialisées, de la signature électronique, d’un cloud souverain… La principauté sera aussi entièrement en 5G dès l’année prochaine. L’objectif de Monaco est de créer une smart principauté.
-  Cette révolution impose, en outre, de s’adapter en permanence. Face à la menace, nous devons selon lui avoir aussi la sagesse du philosophe. Les armes seules ne seront pas suffisantes ; il faut également un cadre de pensées et des règles morales qui imposent une certaine conscience. La question de la liberté est essentielle, elle a d’ailleurs toujours été au centre de toutes les constructions politiques.

Enfin, face à ces nouveaux défis, l’objectif n’est pas, selon lui, de développer des digues de bétons, mais des digues flottantes capables de s’adapter à la transformation numérique.

Anticipation, prévention et analyse de risques

Pour Guillaume Poupard, Directeur Général de l’ANSSI, la cybersécurité n’est plus une question d’experts aujourd’hui. Ces problématiques sont au cœur de nos sociétés, ce qui nous donne une grande responsabilité. Bien que ce sujet s’avère complexe, la question de la sécurité numérique est, selon lui, tout à fait abordable, dans la mesure où nous savons qu’en appliquant certaines règles, nous arrivons à nous protéger des principales cybermenaces et actes les plus dangereux. La sécurité numérique, si elle se veut efficiente, doit aussi passer par une approche collective.

Il est important de garder à l’esprit que la cybersécurité est une question d’anticipation, et donc de prévention. La plupart des choses se font ainsi en amont. Cette anticipation passe en premier lieu par la gestion des risques. Il est essentiel de revenir sur les fondamentaux de l’analyse de risques, mais aussi d’impliquer les décideurs et les responsables métiers dans ces analyses.

EBIOS Risk Manager : anticipons grâce au management du risque cyber

Pour accompagner les organisations dans cette démarche et élever leur niveau de cybersécurité, l’ANSSI vient de lancer EBIOS Risk Manager, une nouvelle méthode collaborative d’analyse de risques, adaptée aux nouveaux enjeux de sécurité numérique. Développée en partenariat avec le Club EBIOS et le CLUSIF, cette nouvelle méthode est une refonte de la méthode française d’analyse de risques EBIOS initiée en 1995, qui prend en compte l’environnement actuel. Cette évolution tient également compte du retour d’expérience de nombreuses organisations (OIV, administrations, entreprises, associations) et fait converger concepts et normes internationales du système de management de la sécurité de l’information.

L’objectif de cette méthode d’analyse de risques est de permettre aux dirigeants d’appréhender au juste niveau les risques cyber, au même titre que les risques stratégique, financier, juridique, d’image ou de ressources humaines. Le risque numérique doit être perçu comme un risque à part entière, qui nécessite la mise en place de mesures de sécurité adaptées aux besoins.
EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre les décideurs et les acteurs opérationnels. Elle se déploie autour de trois valeurs fondamentales : la connaissance, l’agilité et l’engagement. Cette approche de management du risque part du plus haut niveau pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles. La première étape consiste à bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents vis-à-vis de l’état de l’art et de la réglementation. La deuxième étape consiste à apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses, à même de mettre à mal ce socle de sécurité. Pour y parvenir, la méthode EBIOS Risk Manager se décline en cinq ateliers : Cadrage et socle de sécurité ; Sources de risque ; Scénarios stratégiques ; Scénarios opérationnels ; Traitement du risque.

EBIOS Risk Manager est une méthode dynamique conçue pour être éprouvée et améliorée. Elle est ainsi amenée à évoluer au contact d’une communauté d’utilisateurs engagée dans cette démarche. Le club EBIOS et le CLUSIF participeront à l’animation de la méthode auprès de cette communauté. Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite également s’appuyer sur des partenaires externes, éditeurs de logiciel. Dans cette logique, l’ANSSI lancera en 2019 un label de conformité EBIOS Risk Manager, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode. Ce label de conformité vise à faciliter la création d’outils conformes aux attentes de l’ANSSI sur le plan méthodologique pour permettre aux utilisateurs de s’approprier les concepts et de réaliser des analyses de risques de bout en bout.

De son côté, le Centre de formation à la sécurité des systèmes d’information de l’ANSSI (CFSSI) dispensera dans les prochains mois une formation pour les administrations sur la méthode EBIOS Risk Manager. En complément, des kits de formation à destination de formateurs externes à l’agence sont en cours d’élaboration avec le Club EBIOS, pour former et développer un réseau de formateurs en France et à l’international.

Bien qu’on ne puisse pas tout prévoir, on peut avoir une approche basée sur l’hygiène et les règles informatiques, explique Guillaume Poupard. Cette nouvelle version d’EBIOS marque une avancée majeure et collective, qui rend la sécurité numérique plus accessible, plus « sexy » et compréhensible par tous.

PAMS : un nouveau référentiel dédié aux prestataires de l’administration et de maintenance sécurisés

Dans l’anticipation, la règlementation a aussi un rôle clé à jouer. L’ANSSI est actuellement en train de transposer la directive NIS en France, et de fixer les obligations qui vont s’imposer aux opérateurs de services essentiels (OSE). L’agence devrait officialiser les noms des quelques 160 organisations désignées OSE dans le courant du mois de novembre. Guillaume Poupard tient cependant à rassurer les opérateurs en question. Désigner un OSE signifie aussi aller le voir, lui expliquer ses obligations, l’accompagner dans sa démarche de mise en conformité et lui faire part des ressources à sa disposition. En outre, qu’il s’agisse d’OSE ou d’OIV, l’objectif de cette démarche n’est pas de sanctionner les entreprises victimes d’attaques. « Nous sommes dans la pédagogie et le développement d’une sécurité collective, pas dans une démarche de sanction. »

L’ANSSI va également lancer un nouveau référentiel dédié aux prestataires de l’administration et de maintenance sécurisés (PAMS). Il s’agit ici de renforcer la protection de tous les prestataires qui ont accès, de par leurs métiers, à des droits privilégiés au sein des réseaux et structures de leurs clients, comme par exemple une société de gardiennage qui dispose de toutes les clés du voisinage. Il ne faut perdre de vue que la plupart des attaquants préfèrent aujourd’hui cibler les prestataires que l’entreprise directement, car ils multiplient par ce biais le nombre de victimes.

Dans leur démarche de cybersécurité, les entreprises doivent également pouvoir s’appuyer sur des prestataires de confiance. Afin de les accompagner dans leur choix, l’ANSSI certifie les prestataires que l’État estime de confiance, et leur délivre un Visa de sécurité. On compte actuellement une centaine d’entreprises labellisées par l’ANSSI, et près de 500 produits certifiés. Dans cette démarche, l’échelle européenne est également essentielle. L’harmonisation de nos règlementations et critères relatifs à la certification s’avère donc indispensable.

Renforcer nos capacités de détection & s’entraîner à la gestion de crise

Outre l’anticipation, la question de la détection est primordiale. Il n’existe pas de sécurité à 100%, c’est pourquoi il faut être en mesure de mettre en place un système de détection efficient. L’ANSSI certifie en ce sens les prestataires de détection d’incidents de sécurité (PDIS). « Nos exigences sont très élevées, mais c’est pour la bonne cause », explique-t-il. Deux sondes de détection seront également qualifiées d’ici la fin de l’année, la première signée Thales, la seconde Gatewatcher. Le développement de sondes hautes au niveau des postes est aussi un sujet sur lequel l’agence va continuer à creuser. « La priorité pour l’ANSSI est de développer ces capacités de détection : détecter plus tôt et mieux les attaques face à des cybercriminels qui sont, de leur côté, de plus en plus discrets. »

Il est, de plus, essentiel pour une entreprise de se préparer au pire, et de mettre en place un processus de gestion de crise adapté. La mise en pratique, au travers d’exercices de crise est également fondamentale. La crise ça se prépare et ça s’anticipe. La communication de crise est également un élément essentiel du processus de gestion de crise à ne pas négliger. Se préparer à cette communication de crise est indispensable. Ce type d’exercice permet aussi de pouvoir s’assurer qu’on a bien les moyens et l’expertise de faire face à la crise.

Open source : un facteur indispensable pour favoriser le partage et l’action collective

L’anticipation passe en outre par un acte collectif, basé sur le partage et l’ouverture. L’ANSSI a publié récemment dans cette optique le code source de son système d’exploitation, CLIP OS, conçu et développé depuis 2005 par l’agence pour répondre aux besoins de l’administration. Avec la publication du code source et de la documentation de CLIP OS, l’ANSSI initie un projet collaboratif en vue de développer la version 5 de son système d’exploitation durci. « L’approche par l’open source est essentielle, et passe par l’implication de chacun, y compris par les plus petits acteurs. Cette démarche se veut donc ouverte. »

L’objectif est également d’apporter des solutions aux victimes de plus petite taille, particuliers comme TPE, explique-t-il. Le dispositif www.cybermalveillance.gouv.fr, dirigé par Jérôme Notin, et incubé à ses débuts au sein de l’ANSSI, permet aux victimes d’actes de cybermalveillance de trouver informations et assistance, via la mise en relation avec des prestataires de proximité. Un kit de sensibilisation a également été mis sur pied à disposition des entreprises. Le contenu de ce kit est également disponible en licence ouverte pour que chaque entreprise puisse l’utiliser au sein de sa structure et le personnaliser.

En conclusion de son intervention, Guillaume Poupard observe une certaine maturité aujourd’hui au sein des entreprises dans la façon d’appréhender les menaces. Elles savent à présent que ces menaces existent, maintenant elles doivent passer à l’action, tout d’abord en procédant si ce n’est pas déjà fait à leur analyse de risques, et en choisissant les prestataires de confiance avec lesquels elles vont collaborer. De son côté, l’ANSSI va continuer à les aider dans cette démarche. Sa mission est, en outre, d’accompagner le progrès, c’est pourquoi elle travaille aussi au quotidien sur les nouvelles technologies et nouveaux usages (smart cities, 5G, voitures autonomes…) afin de renforcer la sécurité de demain.

Grand Prix des RSSI : découvrez les 4 lauréats de ce cru 2018

En conclusion de cette conférence d’ouverture, Florence Puybareau, Directrice des contenus chez DG Consultants, a annoncé les lauréats du Grand Prix des RSSI 2018. Lancé en mars 2017 par DG Consultants, en partenariat avec le CESIN, le CLUSIF, le CIGREF et l’ANSSI, ce trophée vise à récompenser les meilleurs projets ou démarches professionnelles en matière de sécurité informatique. Voici les lauréats de cette seconde édition :
-  Le prix du « Meilleur espoir » 2018 a été décerné à Fabien Lemarchand, RSSI de Cdiscount, pour ses différents projets menés en matière de SOC, de sensibilisation et de protection du e-commerce, intégrant différentes dimensions, dont le Bug Bounty.
-  Le prix « Culture sécurité » est attribué cette année à Viviane Maleterre, Adjointe au Chef de service SSI, Haute Autorité de Santé, pour ses actions de sensibilisation.
-  Le prix de la « Démarche la plus innovante » revient à Dominique Alleron, Regional Security Manager, AXA IT, pour la mise à disposition d’un outil automatisé de pilotage et de reporting offrant une visibilité sur l’ensemble des risques.
-  Enfin, le « Prix Spécial du Jury » est quant à lui attribué à Stéphane Tournadre, Directeur SSI, Servier, pour les actions de sensibilisation menées avec son équipe auprès des différents collaborateurs du groupe.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants