Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Petit déjeuner Verizon : comment articuler efficacement les enjeux stratégiques et réglementaires dans la conception d’un programme de Cybersécurité ?

avril 2019 par Marc Jacob

Pour ce petit déjeuner organisé par Verizon, un acteur global de la cybersécurité présent en France depuis de nombreuses années et Global Security Mag, l’accent a été mis sur la Gestion des risques et la Gouvernance. Lors de cette conférence Sabrine AZOUZ, Security Consultant, Mouhamed THIOMBANE - Senior Security Consultant, et Loïc BREAT - PS Manager Security Assurance France de Verizon ont mis en avant l’importance de mettre en place un programme de GRC dans le cadre d’une politique de Cybersécurité. Puis, Patrick Cardinael, responsable sécurité et PCI DSS référents du Crédit Agricole (fonction exacte SVP) du Crédit Agricole a apporté son témoignage sur la gestion des risques et de la conformité dans son entreprise.

Mouhamed THIOMBANE, Sabrine AZOUZ et Loïc BREAT

La mise en place d’une gouvernance est devenue absolument indispensable à la pérennité des entreprises. L’évolution des règlementations sectorielles sont là pour montrer un renforcement régulier des cadres de conformités afin de protéger les organisations à travers le monde, notamment en ce qui concerne la Cybersécurité. Dans ce cadre Verizon publie, chaque année, de nombreux rapports sur la cybersécurité, comme le DBIR, le Payment Security Report, le Verizon Insider Threat Report et est ainsi tout à fait légitime pour donner des conseils sur les bonnes pratiques à mettre en œuvre dans les entreprises.

Loïc Breat, en charge de la pratique cybersecurity de Verizon et à la tête d’une équipe de 15 personnes à introduit cette conférence en présentant son entreprise. Verizon en France intervient auprès des entreprises pour la partie télécommunications et a un écosystème pour proposer des offres de cyber sécurité. Verizon a fait l’acquisition deAOL et de Yahoo dans le domaine du contenu digital. 97% des entreprises du Fortunes 500 sont clientes de Verizon. Les plus grands cabinets d’analystes comme le Gartner, IDC ou encore Frost & Sullivan… Positionnent Verizon comme leader dans ses domaines d’activité.

En 2007, Verizon a fait l’acquisition de Cybertrust (anciennement connu sous la marque Ubizen en Belgique). Verizon dispose d’une offre de Cybersécurité qui se décline en 3 parties :
- La Cybersécurité qui inclut l’intégration Sécurité, les services SOC/SIEM/CERT et l’implémentation MSS
- La réponse à incidents avec Investigations Cyber, Analyses Forensiques et Services PFI
- La sécurité Assurance : Threat & Vulnerability (pentest…), Programme “Cyber Risques”, Services Sécurité des Paiements Services (PCI & SWIFT) et Conseil en Gouvernance, Risques et Conformité

Puis Mouhamed THIOMBANE a introduit la journée par une citation « Une faible maturité du Programme de Cybersécurité traduit une faiblesse dans la Gestion des Risques. » Pour lui, la maîtrise du risque passe par un programme de Cybersécurité mature. Pour cela il faut évaluer les risques, identifier les contraintes légales et réglementaires, définir les politiques, élaborer la stratégie définir l’architecture de sécurité, superviser le suivi et passer enfin à l’amélioration continue du processus.

La liste des contraintes légales et réglementaires s’étoffe de plus en plus. De ce fait, l’intégration dans un programme devient un véritable défi.

Une liste de contraintes légales qui s’allonge et peut décourager les équipes

Sabrine Azouz, Security consultant, pour sa part, a dressé un panorama des lois et règlements en vigueur. En Europe on a RGPD et NIS’ en France on a la LPM. De plus, les entreprises doivent se conformer à des réglementations aussi en fonction de leur secteur d’activité comme par exemple PCI DSS, SWIFT, NHS, Bâle... sans compter les standards et les bonnes pratiques comme NIST, ISO, Cobit, CIS, C5, CSA...

Sabrine Azouz donne l’exemple d’un groupe bancaire Français qui doit s’inscrire dans un cadre réglementaire important comme RGPD, DSP2, Bâle II, SWIFT CSP, PCI-DSS. De plus elle doit se conformer à l’ISO 27001, 22301, Cobit, NIST, CIS.

Ainsi, plusieurs audits devront avoir lieu toute l’année pour être conforme à toutes ses réglementations. De fait, on note une surcharge et une démotivation des équipes du fait de la complexité de gestion avec les différentes équipes et les organismes qui sont des parties prenantes. L’objectif est donc de lisser ces programmes afin d’avoir moins de travail dans l’urgence.

Mouhamed THIOMBANE rappelle que le SI évolue en permanence et implique d’avoir une nouvelle vision de la Cybersécurié. En effet, un événement isolé devient une menace persistante, le périmètre est basé sur les actifs et la données. Le réseau de l’entreprise est de plus en plus étendu avec le Cloud, les fournisseurs.

Verizon propose une approche combiné de la gouvernance, de la conformité et de la gestion des risques. L’objectif est d’établir la confiance et la résilience. Cette approche met au centre la confidentialité, la disponibilité, l’intégrité, la traçabilité et la sûreté. Elle incite donc à une adaptation à l’évolution des paradigmes pour articuler les besoins métiers, les risques, la conformité légale et réglementaire.

La mutualisation des audits est un impératif….

Sabrine Azouz prend l’exemple de la gestion des identités et des accès, de la gouvernance et de la revue de la sécurité. Pour elle, il est possible de mutualiser les audits car les contrôles sont globalement les mêmes. Par contre, pour les différences des audits résiduels devront aussi effectuer pour se mettre en conformité avec chaque réglementation.

… d’où la nécessité de définir un programme de cybersécurité

C’est pour cela qu’il faut avoir une approche combinée Gouvernance, Conformité et Gestion des Risques. Le programme de cybersécurité doit intégrer une matrice de risque. Puis, on doit définir la remédiation nécessaire. Pour cela, il faut identifier et formaliser les actions de remédiation. Par la suite, il est nécessaire de construire sa roadmap en identifiant les solutions, les adhérences et les projets contributeurs et assurer une veille technologique. Il faut aussi concevoir son architecture, construire les fiches projet. Ce programme peut prendre entre deux et trois ans pour être mis en œuvre.

Pour la construction d’une architecture cybersécurité, il faut faire une cartographie dans laquelle apparaissent les niveaux de sécurité et de leur maîtrise. L’objectif n’est pas d’être les meilleurs partout mais d’être au plus haut par rapport aux concurrents pour décourager les pirates. Ainsi, il sera possible de construire une roadmap sécurité afin d’améliorer sans cesse son niveau en fonction des risques et des enjeux métiers. En parallèle il faut bien identifier les programmes parallèles afin de réduire les efforts.

En synthèse Loïc Breat recommande de décrire une vision consciente des objectifs de confiance numérique et de résilience à atteindre. L’analyse de risque doit, donc, être réalisée en continu
Il propose de mettre en place un programme intégré qui concilie le besoin de protection et les objectifs métiers
Enfin, il est nécessaire, selon lui, de définir et de maintenir une architecture sécurité cible capable de réagir efficacement aux changements continus dans les entreprises. C’est donc ce qu’il appelle « la compliance continue. »

Patrick Cardinaël

mutualisation, proportionnalité et exemplarité pour une bonne GRC

Patrick Cardinaël, un client de Verizon, confirme que dans le domaine bancaire les contraintes sont importantes. Il faut donc mutualiser les données en entrée, travailler sur la proportionnalité et sur l’exemplarité.

Il faut en premier lieu respecter la loi et ensuite se conformer aux accords commerciaux comme par exemple PCI-DSS. Il faut aussi tenir compte des acquis dans la mutualisation. Pour, lui le travail de veille est important car l’observation des failles et attaques qui ont réussi doivent permettre de tirer des conséquences en termes d’élévation du niveau de sécurité. Il est donc nécessaire d’observer et d’analyser la manière dont procèdent les pirates.

Dans son programme, il réalise une analyse entre les demandes des différentes réglementations afin de créer une gouvernance des programmes à respecter en fonction des impératifs de chacune d’entre-elles.

Pour la proportionnalité, il faut prioriser les enjeux en fonctions des niveaux d’importance des réglementations pour le business. Un système est défini en fonction de son caractère vital pour l’entreprise. Puis ont défini des règles pour traiter la proportionnalité.

Enfin, pour l’exemplarité, le respect des réglementations passe par des lots. Il fait appel un certificateur qui ne sera pas laxiste comme par exemple Verizon, pour les lots prioritaires. Puis pour le reste des conformités, il va tenter de s’approcher le plus possible des requis. Selon lui PCI DSS, qui existe depuis le plus longtemps, et les règles de l’ANSSI sont des exigences plus formalisées et plus précises que d’autres domaines et souvent bien plus fortes. De ce fait, il prendra en référence les obligations, en termes d’audits et de sécurité pour être sûrement conforme aux autres exigences. L’objectif est ainsi d’avoir une vue d’ensemble des exigences et de la conformité et de les décliner en fonction des contextes. Dans son plan de conformité, la tolérance doit être zéro. Pour ce faire, le sponsorship de la direction pour valider cette rigueur est indispensable.

- Pour en savoir plus sur Verizon cliquez ici




Voir les articles précédents

    

Voir les articles suivants