Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La révolution digitale ne se fera pas sans sécurité

octobre 2017 par Emmanuelle Lamandé

Près de 3 000 personnes étaient réunies à Monaco pendant 3 jours pour la 17ème édition des Assises de la Sécurité et des Systèmes d’Information. En ouverture de cette édition 2017, Serge Telle, Ministre d’État de Monaco, comme Guillaume Poupard, DG de l’ANSSI, sont venus faire un point sur leurs stratégies respectives en matière de SSI. Pour eux, à l’heure où le numérique est partout, rien ne sert de freiner cette révolution, mieux vaut instaurer en amont les conditions de sécurité indispensables à l’accompagnement de cette transformation.

La cybersécurité est aujourd’hui essentielle, d’autant que les menaces sont de plus en plus prégnantes, rappelle Serge Telle, Ministre d’État de Monaco. Toutefois, la sécurité dans son ensemble s’avère de plus en plus complexe, d’autant que nous n’avons pas encore étudié toutes les possibilités de la data. De nouveaux acteurs apparaissent, les temporalités changent. La capitalisation boursière d’entreprises, comme Facebook, est, quant à elle, aujourd’hui bien plus importante que celle d’entreprises « classiques » et même des états eux-mêmes. Nous sommes au cœur d’une nouvelle révolution industrielle, qui entraînera de nouveaux challenges. Certaines nouvelles menaces sont d’ailleurs le fruit de cette révolution numérique, comme par exemple l’utilisation du darknet par les réseaux terroristes…

« Plusieurs grands défis se posent à nous aujourd’hui », explique-t-il : « la sécurisation des réseaux, la mise en place de procédures adaptées, telles que le renforcement des capacités de réaction, la création d’écosystèmes pertinents… Monaco a comme ambition de définir un cadre compatible avec celui de la France et de l’Europe », explique-t-il. « Les éléments de ce cadre sont à la fois juridiques, opérationnels, avec la création de l’agence de sécurité monégasque par exemple, mais aussi économiques. Afin de favoriser ce développement et l’innovation dans ce domaine, Monaco a également mis sur pied l’incubateur Monaco Tech, qui regroupe désormais une vingtaine de start-ups. Un budget a, en outre, été alloué à la cybersécurité. Nous avons cependant conscience que nous ne sommes qu’au début du processus et que beaucoup reste encore à faire. Cependant, Monaco est l’un des états les plus sûrs du monde et nous souhaitons qu’il en soit de même dans la sphère numérique. »

De son côté, Guillaume Poupard, Directeur Général de l’ANSSI, a fait le point sur les différentes initiatives françaises initiées par l’agence et au-delà, et a rappelé que la sécurité nécessite une coopération entre tous les acteurs. La révolution digitale est aujourd’hui inévitable. Tout est numérique et ce qui ne l’est pas le sera bientôt. Les attaques, quant à elles, ne cessent de s’accroître en nombre, en efficacité et en complexité. Face à cette évolution qu’il est désormais impossible de freiner, la question ne se pose plus aujourd’hui : il est nécessaire d’instaurer les conditions de sécurité indispensables à l’accompagnement de cette transition numérique, souligne-t-il.

Toutefois, les choses évoluent aussi, selon lui, dans le bon sens en matière de sécurité numérique, et notamment de prise de conscience. Aujourd’hui, nous arrivons à un stade où la majorité des entreprises et des collaborateurs (décideurs, DSI…) ont compris qu’ils ne pouvaient pas s’opposer à la sécurité s’ils voulaient poursuivre leur bon développement, et que cette transformation numérique ne se fera pas sans sécurité. Chacun a aujourd’hui compris qu’il est une cible potentielle. Avant beaucoup ne se sentaient pas concernés par le sujet et pensaient qu’ils ne seraient jamais victimes. Les récentes vagues de cyberattaques ont permis de renforcer cette prise de conscience. Tout le monde doit être acteur de la sécurité numérique et cette dernière doit d’ailleurs faire partie du Top 3 des priorités, que ce soit dans le secteur public ou privé. De nombreux acteurs contribuent aujourd’hui à renforcer cette prise de conscience aux niveaux national et régional, comme par exemple les CCI (Chambres de Commerce et d’Industrie) qui sont aujourd’hui très actives en régions pour aider l’ANSSI dans cette démarche.

Après les OIV, la sécurité des Opérateurs de services essentiels doit être renforcée

Cependant, tout n’est pas encore positif, souligne-t-il, puisque beaucoup de sujets restent complexes à traiter, comme la cybersécurité au niveau national. La question de la cybersécurité est en effet aussi une question de souveraineté nationale. Il faut donc savoir comment protéger la nation face aux cybermenaces. La règlementation permet, en ce sens, de gagner du temps, mais aussi de renforcer la position et les discours des équipes sécurité au sein des entreprises. L’objectif est de diminuer le nombre d’attaques, de mieux les anticiper, mais aussi de réduire le temps de réaction en cas d’incident. Il faut, de plus, parfois faire des compromis, applicables et raisonnables au vu des analyses de risques.

Concernant la sécurité des OIV (Opérateurs d’Importance Vitale), plus d’un millier de systèmes d’importance vitale ont aujourd’hui été recensés. Un important travail d’identification et de sécurisation de ces systèmes, qui ne peuvent pas s’arrêter pour assurer la sécurité de la nation, a été mené. La Directive européenne NIS s’inscrit dans la lignée de la LPM, et sera effective très prochainement. Chaque pays européen devra ainsi identifier ses infrastructures critiques. La France, quant à elle, va continuer cette démarche au-delà des OIV, en renforçant par exemple le niveau de sécurité des Opérateurs de services essentiels. L’activité de ces acteurs a un impact économique et sociétal direct sur les concitoyens et l’économie.

Un important travail de réponse aux incidents est également actuellement en cours, visant à aider les acteurs (entreprises comme particuliers) de manière très pragmatique en les orientant vers des solutions concrètes. La plateforme « cybermalveillance.gouv.fr » a été créée dans cette optique. Ce dispositif interministériel d’assistance aux victimes de cybermalveillance, en phase d’expérimentation dans la région des Hauts-de-France depuis mai dernier, sera d’ailleurs lancé au niveau national le 17 octobre.

Parmi les autres axes qui restent à renforcer en termes de sécurité, il souligne l’architecture de nos réseaux. L’objectif est notamment de renforcer la protection des réseaux distants, comme les entreprises ayant des entités à l’étranger par exemple. Pour lui, il est essentiel de revenir à un cloisonnement raisonnable et d’arrêter le décloisonnement total. Certaines données doivent, en effet, être cloisonnées dans un système de protection plus poussé.

Comment choisir ces outils de sécurité ?

La question du choix des solutions de protection est également fondamentale. L’évaluation des produits de sécurité est en ce sens une nécessité, toutefois elle doit se faire de manière impartiale, indépendamment des laboratoires et des experts qui en feront l’évaluation. L’objectif est d’ailleurs à terme d’avoir une certification européenne capable d’évaluer les solutions de sécurité selon une méthodologie unique. Un important travail reste à effectuer sur ce sujet complexe. L’Agence présentera ses travaux en la matière début 2018, qui devraient amener à la création d’un « Visa de sécurité ».
La détection et la réaction aux incidents de sécurité sont aussi deux axes fondamentaux à renforcer. La plupart du temps, une entreprise ne se rend même pas compte qu’elle a été attaquée, d’où l’importance de la détection d’incidents, et ne sait pas souvent non plus comment réagir en cas d’attaque. Le recours à des prestataires de confiance, capables de traiter ces problématiques, est donc généralement nécessaire, mais au même titre que les solutions de sécurité, il faut savoir vers qui se tourner. Les certifications PDIS et PRIS ont été initiées par l’ANSSI dans cette optique.

Il faut de plus, explique-t-il, se préparer aux attaques et travailler sur la rapidité de l’échange d’informations entre les différents acteurs et pays. Il souligne d’ailleurs en ce sens une agréable surprise quant à la réactivité dans l’échange d’informations au moment des cyberattaques Wannacry…
La question de la paix dans le cyberespace reste, quant à elle, à définir, car si on ne fait rien, le cyberespace deviendra une espace de guerre. Il a, en ce sens, rappelé son opposition au hack back que certains prônent, d’autant qu’il reste très difficile d’associer une attaque à un acteur précis. Pour lui, si les spécialistes ne sont pas les premiers à porter un message, ce sera très compliqué d’instaurer la paix dans le cyberespace.

L’innovation doit passer par un développement sécurisé

Concernant les PME, il est nécessaire de pouvoir leur apporter des outils nativement sécurisés, car ce type d’entreprise ne dispose généralement pas des compétences nécessaires pour mettre en œuvre et manager la sécurité. Afin de renforcer leur niveau de protection, il faut que les PME aient recours à du Cloud sécurisé, outre bien entendu une sensibilisation des utilisateurs aux bonnes pratiques.
Dans le domaine des start-ups, notamment celles qui émergent dans l’univers des objets connectés, le principal problème est lié à la vitesse, voire la précipitation dans le développement, par souci d’être le premier à lancer telle ou telle innovation sur le marché. On se retrouve ainsi aujourd’hui avec une multitude d’objets non sécurisés et potentiellement, si ce n’est certainement, vulnérables. Cela pose de sérieux problèmes de sécurité, sans compter que ces acteurs risquent de perdre la confiance de leurs usagers, et donc à terme leurs parts de marché.

La sécurité ne peut, en outre, se faire sans sensibilisation et formation. C’est l’objectif du MOOC créé par la SecNum Académie, qui compte déjà à son actif quelques 35 000 inscrits. Le but n’est pas de juger le niveau des participants, mais bien de faire monter en compétences l’ensemble des acteurs.

Enfin, la transformation numérique est aussi un sujet de COMEX. Les décideurs doivent prendre part à ces sujets. Contrairement au numérique, la sécurité numérique n’est pas quelque chose d’intuitif, et nécessite donc un apprentissage et une démarche, toutefois qui puisse être compréhensible de tous. En outre, la sécurité ne doit pas venir s’opposer à l’innovation. Elle doit s’inscrire dans une démarche agile et venir s’intégrer en amont dans tout processus de conception. La sécurité a certes un coût, mais plus elle sera intégrée tôt dans le processus d’innovation, moins une entreprise perdra d’argent par la suite. C’est un investissement qui est rentable. Le développement de systèmes sécurisés est la clé pour améliorer la sécurité. La formation des développeurs aux règles de développement sécurisé est en ce sens essentielle, selon lui, afin de pouvoir innover et proposer des produits qui soient nativement protégés.

En conclusion de cette conférence d’ouverture, Florence Puybareau, Directrice des contenus chez DG Consultants, a annoncé les lauréats du Grand Prix des RSSI 2017. Lancé en mars dernier par DG Consultants, en partenariat avec le CESIN, le CLUSIF, le CIGREF, l’ANSSI et EUROPOL, ce trophée vise à récompenser les meilleurs projets ou démarches professionnelles en matière de sécurité informatique. 30 dossiers ont été déposés pour cette édition 2017, et 4 prix attribués :

- Le prix du « Meilleur espoir » est attribué à Frédéric charpentier, RSSI Digital de L’Oréal, pour son approche de RSSI digital, en phase avec l’évolution du métier de RSSI et son devenir.

- Le prix « Culture sécurité » revient à Kevin Heydon, Directeur sécurité de l’information au sein du Groupe L’occitane, pour sa politique innovante de sensibilisation aux risques de fuites de données professionnelles comme personnelles. Pour lui, mieux vaut associer les collaborateurs à la mise en place de cette sécurité, que de l’imposer comme un processus contraignant.

- Le prix de la « Démarche la plus innovante » a été décerné à Jean-Philippe Gaulier, alors RSSI de la DSI Groupe Orange, pour sa méthodologie d’évaluation de la politique de sécurité des sociétés de services, partenaires de la DSI. Le facteur sécurité est ainsi directement intégré dans la démarche de référencement des fournisseurs.

-  Enfin, le prix « Coup de cœur du jury » revient à Thierry Olivier, RSSI du Groupe Société Générale, pour avoir porté la transformation numérique et digitale du Groupe Société Générale au sein de la filière SSI, qui compte aujourd’hui plus de 700 collaborateurs.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants