Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GRC Interchange de SecurityVibes : Sensibilisation, dialogue et pragmatisme les maîtres mots de la GRC

décembre 2011 par Marc Jacob

Le premier GRC organisé par SecurityVibes a permis en une journée à une soixantaine de RSSI d’échanger sur le thème de la GRC. Les tables rondes étaient animées par Tristan Savalle d’Advens, Sébastien Mazas de Verizon, Habib Changriha de NetIQ, Pascal Benard d’EMC Consulting/RSA, Hervé Rousseau, OpenMinded Consulting et Gérôme Billois de Solucom. En guise d’introduction, Guy Philippe Goldstein écrivain a présenté son analyse du cas extrême d’une cyberguerre. Pour lui "ce qui semble improbable n’est pas impossible"...

>

Le cas extrême de la cyber-guerre pour Guy Philippe Goldstein n’est pas négligeable. En effet, pour lui, "ce qui est improbable n’est pas impossible". Qu’elle est la probabilité qu’un risque se réalise ? D’autre part, s’il se réalise qu’elle peut-être son impact en matière humain et financier ? Une connexion de données pourraient laisser à penser qu’une cyber-guerre peut avoir des répercussions dans le monde physique comme le fameux pipeline en Russie qui avait explosé ou encore la guerre en Estonie. En 2008, 2 millions de personnes plongées dans le noir au Brésil durant 24H suite à l’action de maître chanteur qui ont renoncé le pays. L’attaque de Bassora par Israël se serait accompagnée d’une attaque informatique qui aurait pu prendre la main sur les systèmes de radar syrien. De même, le fameux Stunex aurait bien été envoyé par un pays tiers (Israël) pour prendre la main sur un réseau Scada, donc non connecté à Internet.

En fait l’impact d’une cyber-guerre serait de plus en plus important du fait de la prééminence de l’explosion des systèmes d’informations digitales. Ainsi, 93% de l’information est devenue digitale, on dit même que "le monde a été bouffée par le Soft" depuis le début des années 2000.

Mais quelle est la probabilité d’un cyber-conflit ?

Les technologies militaires sont capables d’influencées la probabilité d’une guerre. En effet, depuis le moyen-âge à ce jour se sont juste les moyens utilisés qui vont faire passer d’un système ou l’avantage est à la défensive ou à l’offensive. L’intérêt de la cyber-guerre est que l’on donne un avantage à l’attaque. En effet, il y a souvent une impossibilité de déterminer l’attaquant donc de procéder à une riposte. De plus, l’utilisation d’un virus ne laisse pas de traces réelles de son éditeur. Pour lui, les virus très élaborés ne peuvent venir que des Etats, car, il faut du personnel très qualifié pour les élaborer, des moyens et des capacités de renseignements très élaborés. Par contre, des Etats peuvent utiliser des groupes terroristes. Par ailleurs, il faut souligner les capacités stratégiques de ces attaques : réseaux financiers, communications civiles ou intergouvernementales...

Les armes informatiques sont aujourd’hui considérées comme des armes de premières frappes, d’autant qu’il n’y a pas de détection immédiate et qu’elles sont de plus ultra précises. Aujourd’hui, c’est l’environnement qui est le plus susceptible de déclencher un conflit. D’autant, que les stratégies estiment qu’une attaque préventive donne l’avantage à l’attaquant. Ainsi, passer un certain seuil, on risque l’escalade, et ce seuil avance vers nous selon Guy-Philippe Goldstein. Il est donc important de réduire ce risque.

Comment réduire ce risque ?

Il y a la nécessité d’établir un dialogue entre les dirigeants et les techniciens. Il faut réfléchir aux possibilités techniques pour réduire ces risques en faisant appel à des outils. Il faut une réflexion entre le hardware et le software. De même, il faut sensibiliser les utilisateurs.

De la même façon que l’on avait une doctrine de la dissuasion atomique, il faut qu’il y ait le même type de doctrine dans le domaine du cyberespace. Une des approches possible est celle de Facebook qui donne des primes pour la découverte de vulnérabilités. Il y a une nécessité de partenariat public-privé pour créer des programmes d’échanges d’informations. Le même type d’échanges devrait avoir lieu entre les nations.

Avec l’accroissement de la puissance de calcul des ordinateurs, on a risque toujours plus grand "d’engloutissement" du cyberespace. Il faut espérer que nous serons capables d’éviter les erreurs commises au 20ème siècle pour créer au 21ème un cyber-espace plus responsable. Dans ce cadre les RSSI, seront en première ligne...

Après cette intervention les mini-tables-rondes autour le la GRC ont débuté.

Comment faciliter le passage des directives SSI à l’opérationnel

Hervé Rousseau, fondateur d’OpenMinded Consulting, créée en 2008, la société propose des prestations de consulting et d’intégration dans le domaine de la sécurité. Comment faciliter le passage à l’opérationnel. Autour d’une même thématique il y a eu trois approches différentes : un aspect normatif ou règlementaire. Dans ce cadre, il faut prendre en compte l’aspect métier. La PSSI de l’entreprise doit se suffire à elle même. Il est aussi nécessaire d’avoir mis en place des livrables opérationnels directement applicables. Cependant, il y a une difficulté pour traduire ces directives en applicables opérationnelles. Ainsi, la filière risque et en particulier la SSI doit être un point de passage de tous les projets. Les DSI doivent, par exemple, prendre les risques identifiés par le RSSI. Le RSSI doit être responsable de la gestion de la sécurité et utiliser la délégation aux métiers ou à la DSI afin que la sécurité soit prise en compte systématiquement dans les projets.

Concevoir et piloter un tableau de bord de conformité

Sébastien Francillon directeur de l’entité parisienne d’Advens et Christophe Cochet, Responsable Services, Advens Paris, ont présenté sa société en 2000 qui a pour objectif de délivrer la sécurité comme un service de bout en bout. Ainsi, elle offre des solutions pour produire des tableaux de bords les plus pertinents possibles et les plus exploitables. Pour lui, la GRC souvent est une accumulation de moyen sans cohérence globale. De plus, la remédiation est traitée en mode effort et non suivant une stratégie globale. Il faut donc industrialiser la démarche en automatisant les outils afin de faire de la remédiation par un processus d’amélioration continue.
Lors de cette table c’est surtout la GRC et la définition d’un tableau de bord de conformité qui a fait l’objet des discussions. Pour certains c’est du reporting d’activité, d’autres c’est un moyen pour ce « benchmarker » avec l’extérieur. Enfin, il est aussi subi car on le demande via l’audit. Il y a aussi un problème pour donner du sens à ces indications pour être lisible par les métiers. On note un problème de sémantique par rapport au mot conformité qui n’est pas le même pour tout le monde. Qui va de la règlementation, aux demandes de l’audit interne en passant par les normes PCI, ISO... Souvent, les RSSI ont mis des indicateurs sur mesure ou conforme aux règlementations surtout dans le domaine bancaire.

Comment intégrer les différentes filières risques ensembles ?

Gérôme Billois, responsable de la « practice sécurité » et risque management de Solucom a présenté son entreprise, créée il y a plus de 20 ans qui est aujourd’hui forte de 1.000 collaborateurs. Comment intégrer les différentes filières pour gérer les risques SI ? Comment tirer le meilleur parti de tous les domaines pour obtenir une vision unifiée des risques et travailler avec la DG ? Telles étaient les questions posées lors de cette table ronde. Lors de cette session il est apparu que dans les entreprises soumises aux règlementations comme la banque, l’assurance... il y a une certaine maturité contrairement Dans les autres entreprises, Il faut travailler avec les métiers, mais qui est en saturation vis à vis des risques. De plus, il faut avoir le sponsor de la DG. Cependant, il n’y a pas de réel méthodologie, ni de solutions magiques. Il est important de choisir un point de vue pour analyser les risques. Il est important de savoir qui porte le chantier. L’acteur naturel est la direction des risques, mais aussi quand elle n’existe pas le RSSI. Les premières étapes sont la classification des risques. Par contre, on a constaté qu’il y a des difficultés pour évaluer les coûts du risque. Faire travailler les différents services est un enjeu majeur pour convaincre la DG.

Démarrer et structurer son programme de GRC

EMC Consulting/RSA est une division qui est forte de 2000 consultants dans le monde dont 50 en France et 200 experts dans le monde sur la sécurité et le risque management. Dans le domaine de la GRC travaille depuis plus de 6 ans en abordant entre autre les aspects suivants ; évaluation de la maturité des clients, pour définit une Roadmap GRC, et de gestion de risques pour protéger le business de l’entreprise. La société propose un plan d’action suivi dans le temps. En termes de conformité, action au niveau règlementaire, formalisation du PCA et suivi dans le temps, Comment se lancer dans un plan de GRC ? Tel était la conférence animée par Pascal Benard. Il est important d’avoir un certain niveau de maturité sur l’identification des risques. Il faut démarrer avec un petit périmètre pour avoir des résultats rapides. Un des déclencheurs de projet est d’arriver à en faire une estimation financière des impacts. C’est un levier important pour sensibiliser en interne. Il est aussi important d’identifier les gestionnaires des risques. Il faut pouvoir à terme industrialiser les risques en s’affranchissant de la feuille Excel. Il faut passer d’une culture en silo à une approche transverse. Dans ce genre de démarche est le frein aux changements. Il est donc important de former et sensibiliser les utilisateurs pour els faire adhérer au projet. Il est aussi important d’avoir un sponsor au sein de la DG. Enfin, il faut rester pragmatique face aux contraintes opérationnelles.

La mauvaise prise en compte des métiers, un risque IT

Verizon met en avant la sécurité dans le monde du réseau, par l’acquisition de différentes entités comme Telemark, Cybertrust... Verizon offre de la surveillance de réseau, du service managé... Ainsi, la GRC permet de chapeauter l’ensemble. Ainsi, Verizon propose des services autour du PCI, de l’ARJEL... La table ronde animée par Sébastien Mazas a été centrée sur la manière d’intégrer la réalité des métiers dans la gestion des risques. Tous les acteurs sont d’accord qu’il ne faut pas oublier les métiers dans l’analyse de risque en respectant les difficultés de tout le monde. Il faut former les métiers aux impacts des risques. Dans les banques en général c’est ancré dans la culture et cette prise en compte est automatique au quotidien. Le responsable de l’analyse est souvent le RSSI, le sponsor est soit la Direction financière, soit le métier, car il y a un enjeu métier qui doit être protégé. Il y a une absence d’outils d’analyse de risque. Donc il faut encore utiliser un tableau Excel. L’ISO27005 ou EBIOS sont une bonne aide. Il ya un problème de communication entre les métiers et l’IT. Il est important de parler avec les métiers d’impacts, de fraude... L’IT doit traduire cela en analyse de risque par la suite.

Du simple provisionning IT à une véritable maîtrise des identités

NetIQ Groupe Novell solution de gestion des identités sont des projets qui permettent d’automatiser les modèles d’habilitation. Ainsi, un travail entre la RH, les métiers, la DSI et la SSI est impératif afin de fluidifier les process. La société propose aussi des solutions SIEM afin de proposer de la traçabilité et pouvoir répondre à des exigences de règlementations. La société représentée par Habib Changriha qui a animé les débats sur le thème "du simple provisionning IT à une véritable maîtrise des identités". Durant, les sessions plusieurs échanges ont eu lieu entre des entreprises soit qui avaient un système de gestion des identités jusqu’à des entreprises qui avaient des projets avec des difficultés pour commencer la mise en place. Pour celles qui ont des systèmes en place, il y a des besoins de réactivation des solutions déployées. De plus, avec l’évolution des applications, la modélisation des rôles devient de plus en plus complexe. Pour les autres, des difficultés de dialogue entre le RSSI, la DSI et les métiers pour commencer les projets ont été mis à jour.




Voir les articles précédents

    

Voir les articles suivants