Blockchain : est-elle aussi inviolable qu’on le prétend?

J’entend et je lis partout que la blockchain est inviolable. Qu’elle serait l’avenir de la cybersécurité. En fait il y a beaucoup de mythes autour de cette nouvelle technologie. Et cela vient essentiellement de l’essor des crypto-monnaies depuis quelques années. Il s’agit seulement d’une technologie et elle n’est pas inviolable. Elle est seulement à ses débuts et aucun cyber-criminel n’irait s’attaquer à une nouvelle technologie s’il n’y avait pas de bénéfice à en tirer. Or avec l’essor du bitcoin, les bénéfices substantiels ont commencé à devenir évidents. Les pirates ont donc commencé à s’attaquer à cette nouvelle technologie. Résultat : plus de 2 milliards de dollars ont été détournés des transactions en bitcoins utilisant la blockchain depuis début 2017. Alors, la blockchain est-elle aussi inviolable qu’on le prétend?

Cybersécurité : popularisée avec l'explosion des crypto-monnaies, la blockchain est-elle aussi inviolable qu'on le prétend?
Crédit © rawpixel.com 2019

L’utilisation de la  blockchain ne se limite pas au domaine des crypto-monnaies. Elle a de multiples applications dans les entreprises. Il y a quelques semaines, l’IDC a dévoilé ses prévisions pour 2019 concernant la transformation numérique mondiale. Deux des dix prédictions sont liées à la blockchain et IDC lui prédit un impact majeur d’ici 2021.

La blockchain apporte des solutions aux entreprises

Réduction des coûts de transaction de 35%

La première prévision est la suivante: «D’ici 2021, les chaînes de valeur de premier plan dans l’industrie, activées par les chaînes de blocs, auront étendu leurs plates-formes numériques à l’ensemble de leurs écosystèmes omni-expériences, réduisant ainsi les coûts de transaction de 35%».

Robert Parker, vice-président du groupe IDC, a expliqué comment les entreprises commencent à intégrer des projets pilotes de blockchain dans leurs programmes de transformation numérique. 42% des entreprises ont au moins un pilote actif de blockchain. Cependant, il note qu’aujourd’hui seulement une ou deux entreprises dirigent ces projets. Il donne ainsi les exemples de Walmart ou Bumble Bee.

«À compter de 2019, nous commencerons par envisager une transition vers un plus grand nombre d’initiatives basées sur des consortiums, dans lesquels toutes les chaînes de valeur se réuniront pour tirer parti des enregistrements immuables et des capacités du grand livre distribué dans la Blockchain», a déclaré Parker. « Et cela représente vraiment une opportunité de réduire considérablement les pertes dans les chaînes de valeur de l’industrie en réduisant réellement les coûts de transaction. »

Les DSI doivent donc trouver un équilibre entre la priorité donnée à la sécurité et la nécessité de partager des données au sein de consortiums et de marchés. Mais les DSI doivent également rechercher des moyens de réduire les coûts de transaction au sein des consortiums. Or, étant donné le besoin prévisible de talents et la quantité disponible de compétences, il est nécessaire d’embaucher tôt.

30% des fabricants et détaillants permettront la tracabilité complète des produits

La deuxième prédiction IDC concernant la blockchain est la suivante. « D’ici 2021, environ 30% des fabricants et des détaillants du monde entier auront instauré la confiance numérique via des services de blockchain basés sur des chaînes d’approvisionnement collaboratives permettant aux consommateurs d’accéder aux historiques des produits. »

Les avantages vont bien au-delà de la réduction des coûts de transaction. C’est l’expérience client qui s’entrouvre améliorée.

«Les consommateurs sont de plus en plus sceptiques quant à la légitimité des affirmations des détaillants et des fabricants de biens de consommation», a expliqué Parker. “Que signifie “ totalement naturel ”? Que signifie vraiment « origine durable »? Bien sûr il existe certaines normes, mais il y a beaucoup de latitude. La Blockchain offre aux entreprises la possibilité de satisfaire les attentes des clients en matière de traçabilité.

Par exemple, Bumble Bee Foods permet de tracer le poisson depuis le pêcheur jusqu’à la table du restaurant. En outre, la traçabilité présente d’autres avantages, tels que la réduction du coût des rappels. Et pour les articles de grande valeur, il existe un potentiel de solutions anti-contrefaçon.

Quels sont les risques en matière de sécurité?

Le mois dernier, l’équipe de sécurité de Coinbase a remarqué quelque chose d’étrange dans Ethereum Classic, l’une des crypto-monnaies que les internautes peuvent acheter et vendre à l’aide de la plateforme d’échange de Coinbase. Sa blockchain, l’historique de toutes ses transactions, était sous le coup d’une attaque.

La double dépense

Un pirate avait en sorte pris le contrôle de plus de la moitié de la puissance de calcul du réseau et l’utilisait pour réécrire l’historique de sa transaction. Cela lui permettait de dépenser plus d’une fois la même crypto-monnaie. C’est ce qu’on appelle la «double dépense»( « double spending » en anglais). Le cyber-criminel a été repéré en train de détourner environ 1,1 million de dollars. Coinbase affirme que rien n’a finalement été volé dans aucun de ses comptes. Une deuxième plateforme très populaire, Gate.io, a admis n’avoir pas été aussi chanceuse. Elle aurait ainsi perdu environ 200 000 dollars au profit de l’attaquant. Celui-ci, étrangement, en aurait restitué la moitié deux jours plus tard.

Il y a tout juste un an, ce scénario catastrophe était considéré comme de la science-fiction. Cependant la soi-disant attaque à 51% contre Ethereum Classic n’est, en fait, que la dernière d’une série ce cyber-attaques récentes contre les chaînes de blocs (blockchains), qui ont élevé le niveau des enjeux pour le secteur naissant.

Au total, les pirates informatiques ont volé près de 2 milliards de dollars de crypto-monnaie depuis le début de 2017. Ceci concerne principalement les échanges. C’est du moins ce qui a été révélé publiquement. Cela ne peut pas non plus être l’oeuvre  d’attaquants solitaires opportunistes. La société d’analyse Chainalysis a récemment déclaré que deux groupes, apparemment toujours actifs, pourraient, à eux seuls avoir, volé un montant cumulé d’un milliard de dollars dans les échanges.

Un processus connu

Nous ne devrions pas être surpris. Les blockchains sont particulièrement attrayantes pour les voleurs. En effet, il est impossible d’inverser les transactions frauduleuses, comme cela est souvent le cas dans le système financier traditionnel. De plus elles garantissent un anonymat complet, mettant ainsi les cyber-criminels à l’abri d’une possible identification.  En outre, nous savons depuis longtemps que, bien que les chaînes de blocs aient des fonctionnalités de sécurité uniques, elles comportent aussi des vulnérabilités uniques. Les slogans marketing et les gros titres qui parlaient d’une technologie «inviolable» sont donc totalement faux.

Cela a été compris, du moins en théorie, depuis l’apparition du Bitcoin, dans la dernière décennie. Mais c’est au cours de l’année écoulée, face à l’explosion des nouveaux projets de crypto-monnaie, que nous avons commencé à voir ce que cela signifiait dans la pratique, et en quoi ces faiblesses intrinsèques pourraient affecter l’avenir des blockchains et des actifs numériques.

Comment pirater une blockchain?

Avant d’aller plus loin, essayons de mettre quelques définitions sur les termes.

Le fonctionnement d’une blockchain?

Une blockchain est une base de données cryptographique gérée par un réseau d’ordinateurs, chacun d’entre eux stockant une copie de la version la plus récente. Un protocole de chaîne de blocs est un ensemble de règles qui dictent la manière dont les ordinateurs du réseau, appelés des noeuds, doivent vérifier les nouvelles transactions et les ajouter à la base de données. Le protocole utilise la cryptographie, la théorie des jeux et des considérations économiques pour inciter les nœuds à s’efforcer de sécuriser le réseau au lieu de l’attaquer à leurs propres fins. S’il on le configure correctement, ce système peut rendre extrêmement difficile et coûteuse l’ajout de fausses transactions. Mais, à l’inverse, la vérification des transactions valides est relativement facile.

Les avantages d’une chaîne de blocs

C’est ce qui rend cette technologie si attrayante pour de nombreuses industries, à commencer par la finance. Les services qui seront lancés prochainement par des institutions aussi renommées que Fidelity Investments et Intercontinental Exchange, propriétaire de la Bourse de New York, commenceront à enchevêtrer des chaînes de blocs dans le système financier existant. Même les banques centrales envisagent maintenant de les utiliser pour de nouvelles formes numériques de monnaie nationale.

Mais plus un système de blockchain est complexe, plus il y a de risques de faire des erreurs lors de son installation. Plus tôt ce mois-ci, la société en charge de Zcash, une crypto-monnaie utilisant des calculs extrêmement compliqués pour permettre aux utilisateurs d’effectuer des transactions privées, a révélé qu’elle avait secrètement corrigé une « faille cryptographique » intégrée accidentellement au protocole. Un attaquant aurait pu l’exploiter pour créer un nombre illimité de Zcash contrefaits. Heureusement, personne ne semble l’avoir fait avant la correction de la faille.

Qu’en est-il de la sécurité?

Cependant, le protocole n’est pas la seule chose à sécuriser. Pour négocier vous-même une crypto-monnaie ou exécuter un nœud, vous devez utiliser un logiciel client. Or, celui-ci peut également contenir des vulnérabilités. En septembre, les développeurs du principal client de Bitcoin, appelé Bitcoin Core, ont dû se débrouiller pour corriger un bug (également en secret). Celui-ci aurait pu permettre à des attaquants de créer plus de bitcoins que ce que le système n’est censé autoriser.

Malgré tout, la plupart des piratages récents qui ont fait les gros titres n’ont pas attaqué les chaînes de block proprement dites. Ils se sont portés sur les échanges, les plateformes Web sur lesquels les gens achètent échangent et détiennent des crypto-monnaies. Et beaucoup de ces éléments pourraient être responsables de mauvaises pratiques de sécurité de base. Cela a changé en janvier avec l’attaque de 51% contre Ethereum Classic.

Les attaques à 51%

La vulnérabilité aux attaques à 51% est inhérente à la plupart des crypto-devises. C’est parce que la plupart sont basées sur des blockchains qui utilisent la preuve de travail comme protocole de vérification des transactions. Dans ce processus, appelé minage (mining en anglais), les nœuds dépensent une grande quantité de puissance de calcul pour prouver qu’ils sont suffisamment dignes de confiance pour ajouter des informations sur les nouvelles transactions à la base de données.

Le principe de l’attaque

Un mineur qui contrôle d’une manière ou d’une autre la majorité de la puissance de minage du réseau peut frauder d’autres utilisateurs en leur envoyant des paiements, puis en créant une version alternative de la blockchain dans laquelle les paiements ne se sont jamais produits. Cette nouvelle version s’appelle un fork. L’attaquant, qui contrôle plus de la moitié de la puissance de minage, peut alors faire de la branche fork la version faisant autorité de la chaîne. Il peut alors procéder une seconde fois à la même utilisation de la même crypto-monnaie.

Pour les chaînes de blocs populaires, tenter ce type de vol serait probablement extrêmement coûteux. Selon le site Web Crypto51, louer suffisamment d’énergie de minage pour attaquer Bitcoin coûterait actuellement plus de 260 000 dollars par heure. Mais le coût diminue rapidement à mesure que vous descendez dans la liste comportant plus de 1 500 crypto-monnaies disponibles. La chute du prix des pièces le rend réduit encore les coûts. En effet, elle oblige alors les mineurs à éteindre leurs machines, laissant ainsi les réseaux moins protégés.

Un type d’attaque qui risque de se multiplier

Vers le milieu de 2018, les assaillants ont commencé à lancer des attaques à 51% sur une série de crypto-monnaies relativement petites et peu échangées, notamment Verge, Monacoin et Bitcoin Gold. Ils ont ainsi réussi vol total estimé à 20 millions de dollars. À l’automne, les cyber-criminels ont volé environ 100 000 $ en utilisant une série d’attaques contre une devise appelée Vertcoin. La cyber-attaque contre Ethereum Classic était la première ciblant l’une des 20 devises les plus populaires. Elle a rapporté plus d’un million de dollars aux cyber-criminels.

David Vorick, cofondateur de la plate-forme de stockage de fichiers Sia, basée sur une chaîne de blocs, prédit que la fréquence et la gravité des attaques à 51% continueront d’augmenter, et que les échanges subiront les conséquences des doubles dépenses. Selon lui, l’un des éléments moteurs de cette tendance a été la montée des soi-disant marchés hashrate. Ceux-ci permettent aux cyber-criminels de louer de la puissance de calcul pour leurs attaques. «Au final, les échanges devront être beaucoup plus restrictifs lors de la sélection des crypto-monnaies à prendre en charge», a écrit Vorick après le piratage Ethereum Classic.

Un nouveau réservoir de vers

Outre les attaques à 51%, il existe désormais une nouvelle vulnérabilité en matière de sécurité dans la blockchain. Et les chercheurs commencent tout juste à explorer ses implications. Cela porte sur les bugs liés aux contrats intelligents. Par coïncidence, l’origine d’Ethereum Classic constitue un bon point de départ pour mieux comprendre ce dont il s’agit.

Les contrats intelligents

Un contrat intelligent est un programme informatique qui s’exécute sur un réseau de chaîne de blocs. Il peut être utilisé pour automatiser le mouvement de la crypto-monnaie conformément aux règles et aux conditions prescrites. Cela a de nombreuses utilisations potentielles, telles que la facilitation de contrats légaux réels ou de transactions financières compliquées. Une autre utilisation consiste à créer un mécanisme de vote permettant à tous les investisseurs d’un fonds de capital-risque de décider collectivement de la manière dont l’argent sera réparti.

Une telle organisation porte le nom de Decentralized Autonomous Organization (DAO ou en français « Organisation Autonome Décentralisée »). Il s’agit d’une organisation fonctionnant grâce à un programme informatique qui fournit des règles de gouvernance à une communauté. Ces règles sont transparentes et immuables car inscrites dans un réseau de chaîne de blocs. Elles s’appuient sur une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle

Un tel fonds, a été créé en 2016 à l’aide d’un système de chaîne de blocs appelé Ethereum. Peu de temps après, un attaquant a volé plus de 60 millions de dollars de crypto-monnaie en exploitant une faille imprévue dans un contrat intelligent régissant la DAO. La faille permettait au pirate informatique de continuer à demander de l’argent à des comptes sans que le système n’enregistre que l’argent avait déjà été retiré.

Comme le montre cette attaque, un bug dans un contrat smart live peut créer un type d’urgence unique. Dans les logiciels traditionnels, On peut corriger un bug grâce à un correctif. Dans le monde de la blockchain, ce n’est pas si simple. Les transactions sur une chaîne de blocs ne peuvent pas être annulées. Déployer un contrat intelligent, c’est un peu comme lancer une fusée, explique Petar Tsankov, chercheur à l’ETH Zurich et cofondateur de la startup de sécurité des contrats intelligents appelée ChainSecurity. « Le logiciel n’a pas le droit à l’erreur »

Comment corriger les failles dans une chaîne de blocs

Il existe cependant quelque chose qui peut s’apparenter à des correctifs. Bien qu’ils ne puissent pas être patchés, certains contrats peuvent être «mis à niveau». Cette mise à niveau se fait en déployant des contrats intelligents supplémentaires qui vont interagir avec eux. Les développeurs peuvent également créer des commutateurs de neutralisation centralisés sur un réseau pour arrêter toute activité dès la détection d’un piratage. Mais pour les utilisateurs aucune annulation de transaction n’est possible. Et donc, pour l’argent qui leur aura déjà été volé, il sera trop tard.

La seule façon de récupérer l’argent consiste à réécrire l’historique. C’est à dire à revenir au point situé sur la blockchain avant l’attaque. Il faut alors créer un fork pour une nouvelle chaîne de blocs et demander à tous les utilisateurs du réseau de l’utiliser. C’est ce que les développeurs d’Ethereum ont choisi de faire. La plupart des membres de la communauté, mais pas tous, se sont tournés vers la nouvelle chaîne, que nous connaissons maintenant sous le nom d’Ethereum. Un groupe plus restreint de détenteurs est resté sur la chaîne d’origine, qui est devenue Ethereum Classic.

Le mois dernier, l’équipe de Tsankov chez ChainSecurity a sauvé Ethereum d’une possible répétition de la catastrophe de DAO. A la veille d’une importante mise à niveau logicielle prévue, la société a informé les principaux développeurs d’Ethereum que cela aurait pour conséquence de laisser certains contrats sur la chaîne de blocs désormais vulnérables au même type de bug qui a conduit au piratage de DAO. Les développeurs ont rapidement reporté la mise à niveau et feront une nouvelle tentative plus tard ce mois-ci.

Les risques liés aux chaînes de blocs

Néanmoins, selon Victor Fang, cofondateur et PDG de la société de sécurité Anchain.ai, blockchain, des centaines de contrats intelligents Ethereum étaient déjà vulnérables à ce soi-disant virus de la réentrance. Selon des recherches effectuées l’année dernière, des dizaines de milliers de contrats pourraient contenir un autre type de vulnérabilité. Et la nature même des chaînes de blocs publiques signifie que, si un bug de contrat intelligent existe, les pirates le trouveront, car le code source est souvent visible sur la chaîne de blocs. «Cela est très différent de la cybersécurité traditionnelle», déclare Fang, qui travaillait auparavant pour la société de cybersécurité FireEye.

Les contrats de buggy, en particulier ceux qui détiennent des milliers ou des millions de dollars, ont attiré des pirates informatiques aussi avancés que ceux qui s’attaquent aux banques ou aux gouvernements. En août, AnChain a identifié cinq adresses Ethereum derrière une attaque extrêmement sophistiquée qui exploitait une faille contractuelle dans un jeu populaire pour voler 4 millions de dollars.

Comment contrer les cyber-criminels?

AnChain.ai est l’une des nombreuses entreprises récentes créées pour faire face à la menace de piratage de la blockchain. Il utilise l’intelligence artificielle pour surveiller les transactions et détecter les activités suspectes. Il peut également analyser le code du contrat intelligent pour rechercher les vulnérabilités connues.

Des pistes sont en train d’apparaître

D’autres sociétés, y compris la chaîne de sécurité de Tsankov, développent des services d’audit basés sur une technique informatique bien connue appelée vérification formelle. L’objectif est de prouver mathématiquement que le code d’un contrat fera réellement ce que ses créateurs ont voulu. Ces outils d’audit, qui ont commencé à faire leur apparition au cours de la dernière année environ, ont permis aux créateurs de contrats intelligents d’éliminer bon nombre des bugs qui avaient été «à portée de main», a déclaré Tsankov. Mais le processus peut être coûteux et prendre du temps.

Il pourrait également être possible d’utiliser des contrats intelligents supplémentaires pour mettre en place des «primes de bogues» basées sur une chaîne de blocs. Cela encouragerait les utilisateurs à signaler les défauts en échange d’une récompense de crypto-monnaie, explique Philip Daian, chercheur à l’Initiative pour les cryptomonnaies et les contrats de la Cornell University.

N’est-ce pas déjà trop tard?

Mais s’assurer que le code est propre n’ira que très loin. Après tout, une blockchain est un système économique complexe. Celui-ci dépend du comportement imprévisible des humains, et les gens rechercheront toujours de nouvelles façons de le jouer. Daian et ses collègues ont montré comment les attaquants avaient déjà compris comment tirer profit des contrats populaires. C’est ce qui se passa avec Ethereum, par exemple.

Conclusion

Si on vante la technologie de la blockchain pour sa sécurité, elle est toutefois très vulnérable dans certaines conditions. Parfois, une mauvaise exécution peut être en cause ou des bugs logiciels non intentionnels. D’autres fois, c’est plus une zone grise. C’est le résultat complexe des interactions entre le code, l’aspect économique de la blockchain et la cupidité humaine. C’est théoriquement connu depuis le début de la technologie. Maintenant que tant de blockchains existent dans le monde, nous apprenons ce que cela signifie réellement. Mais souvent l’apprentissage se fait à la dure.

 

Gestion des services : la révolution en marche

Dans une époque de changement qui semble annoncer la fin de l’ancien monde et l’avènement d’un nouveau, la gestion des services TI suit la tendance. Il semble en effet que le changement ce soit maintenant. Les principaux cadres de bonnes pratiques et les normes ITSM viennent d’évoluer tous en même temps ces derniers mois. Le résultat, après un grand débat entre les experts mondiaux du domaine est clair. Le changement est assez radical mais tous vont plus ou moins dans le même sens. Pour les plus conservateurs, il reste possible de limiter la gestion de services aux frontières de l’informatique. Bien sûr il existe toujours également une frange d’insoumis aux référentiels et cadres de bonnes pratiques. Mais pour ceux qui ont compris que le monde est global et que l’entreprise doit être agile et ne peut pas survivre avec des silos, alors, en ITSM, la révolution est en marche! 

Gestion des services TI : la révolution ITSM en marche (COBIT 2019, ITIL 4, VerISM, ISO 20000)
Crédit © rawpixel 2019

Fin février, AXELOS a publié le modèle de base de la nouvelle version d’ITIL sous le titre « ITIL 4 Foundation ». J’ai d’ailleurs écrit mon article précédent sur le contenu de cette publication : ITIL saison 4 – La renaissance longtemps attendue.

Fin d’année dernière, la nouvelle version de l’ISO / CEI 20000-1 a été publiée. En novembre 2018, l’ISACA a également publié la nouvelle version de son cadre de référence de la gouvernance et du management de l’information et des technologies, COBIT 2019. Quelques semaines avant, le niveau professionnel de VeriSM avait également vu le jour. CMMI-SVC a également été publié à son niveau 2.0. Cependant, CMMI-SVC n’étant pas librement disponible, je ne pourrai donc pas vous en parler …

Après une lecture approfondie de chacun et même, pour certain une implication dans leur mise à jour, j’éprouve le sentiment que tous les cadres de gestion des services commencent à se ressembler. Bien sûr c’est compréhensible car il y a le besoin ressenti de s’adapter au monde actuel. Mais, il y a plus. Ils se ressemblent de plus en plus dans architecture même. Peut-être alors serait-il opportun de les fusionner tous ensemble? Cela permettrait d’avoir un seul cadre de gestion des services pour les gouverner tous. C’est d’ailleurs l’ambition affichée par l’ISACA avec COBIT 2019.

Je vais donc décrire les aspects des différents cadres de gestion de services actuels qui me semblent étrangement similaires.

C’est un système avant tout

ISO 20000-1:2018

ISO / IEC 20000-1 définit son cadre comme un système de management de service (SMS) depuis de nombreuses années. Il est défini comme « un système de management permettant de diriger et de contrôler les activités de gestion de services de l’organisation. »

Note 1 à l’article: « Un SMS comprend les règles de gestion de services, les objectifs, les plans, les processus, les informations documentées et les ressources requises pour la planification, la conception, la transition, la fourniture et l’amélioration des services pour répondre aux exigences spécifiées dans ISO / IEC 20000-1. « 

ITIL 4

ITIL 4 est désormais livré avec un système de valeur de service (SVS), défini comme « un modèle représentant la manière dont tous les composants et activités d’une organisation travaillent ensemble pour faciliter la création de valeur ». (la valeur étant l’objectif de fournir un service). Cela ressemble beaucoup au SMS exigé par la norme ISO/IEC 20000-1.

COBIT 2019

COBIT 2019, pour sa part, fournit une cascade d’objectifs partant des besoins de parties prenantes. Ces besoins se déclinent en objectifs d’alignement. Finalement ils se cascadent en objectifs de gouvernance et de management de l’information et des technologies. Tout cela a pour but de satisfaire l’exigence de valeur (bénéfices-risques-ressources) des paries-prenantes grâce à des services de gestion de l’information et des TI. 7 composants (processus, politiques et procédures, information, structures organisationnelles, culture, éthique et comportement, application, infrastructures et services et enfin personnes, connaissances et compétences) soutiennent désormais chaque objectif.

Différences ou similarités?

Y a-t-il une différence? Pas vraiment. Le message commun est le même. Vous avez besoin d’un ensemble complexe d’activités, de processus, de structures organisationnelles, de politiques, etc. qui fonctionnent bien ensemble pour fournir un service. Et l’objectif de ce service est de créer de la valeur pour les parties prenantes de l’organisation. Au premier rang de ces parties prenantes figurent les actionnaires et propriétaires de l’organisation.

Exit les processus dans le nouveau monde

Les processus ne sont plus très en vogue ces temps ci. Il faut bien reconnaître que beaucoup de gens ne comprenaient pas bien ce qu’étaient les processus. Du coup on a assisté à une dérive de l’utilisation des processus au détriment de leurs raisons d’être.  Les processus devenaient LA raison d’être du cadre mis en oeuvre, conduisant à des aberrations flagrantes. Je vous invite à relire mes articles Les changements à l’heure de DevOps ainsi que les trois articles relatifs à l’utilisation catastrophique d’ITIL dans beaucoup d’organisations : ITIL – Les raisons d’échec dans votre organisation, ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

Exigences dans ISO 20000-1:2018

ISO / IEC 20000-1, dans la clause 8, fait référence aux exigences relatives aux opérations du système de management. Et chacun reconnaîtra dans ces exigences les processus de gestion de service habituels. Il s’agit simplement d’exigences qui sont logiquement organisées en fonction des domaines d’activité. Ainsi chacun peut définir ses processus à sa guise et les appeler comme il le souhaite. La seule obligation est alors de respecter les exigences.

Pratiques dans ITIL 4

ITIL 4 s’est écarté des 26 processus dans la version 2011 et compte maintenant 34 pratiques de gestion. Ces pratiques incluent désormais les méthodes générales, les procédures de service et les pratiques techniques. Une pratique est explicitement plus qu’un simple processus. C’est « un ensemble de ressources organisationnelles conçues pour accomplir un travail ou réaliser un objectif ». Ce que sont exactement ces ressources (à l’exception des personnes) reste inexpliqué. Mais c’est là que COBIT 2019 vient à la rescousse.

Maillage de gestion dans VeriSM

VeriSM définit un maillage de gestion qui remplit une fonction similaire et comporte des composants similaires: ressources, technologies émergentes, pratiques de gestion et environnement.

L’idée directrice du modèle VeriSM est de construire un modèle d’opération couvrant 4 groupes d’activités en s’appuyant et en mixant intelligemment l’utilisation de pratiques et de facilitateurs issus des 4 pôles du « management maillé » :

  • L’environnement : les éléments « stabilisateurs » (processus, métriques, outillages), les concurrents, la culture, les contraintes légales, etc.
  • Les ressources : équipes, budgets, actifs, connaissance, temps, etc.
  • Les pratiques de management : ITIL / COBIT / CMMI / IT4IT, ISO/CEI 20000, ISO/CEI 27000, DevOps, agilité, lean management, PPM, SIAM, etc.
  • Les technologies émergentes : cloud, containers, IoT, big data, automation, dont certaines ne sont plus forcément émergentes mais désormais intégrées dans la fourniture de services.

Pour chaque produit, ces domaines sont pris en considération et interagissent.

Objectifs de gouvernance des TI dans COBIT 2019

COBIT 2019 définit 40 objectifs de gouvernance et de gestion, qui ressemblent à des processus de COBIT 5. Mais au final, cela va bien au delà des 40 processus. Chaque objectif est atteint grâce à l’exécution d’un processus qui le soutient. Mais il est nécessaire pour atteindre chaque objectif de s’appuyer sur 6 autres composants qui viennent « aider » le processus. Les  « objectifs » de COBIT 2019 ressemblent ainsi davantage aux pratiques d’ITIL 4. COBIT est très explicite sur ce qui constitue ses objectifs. D’ailleurs les composants qui soutiennent les objectifs existaient déjà dans COBIT 5 sous le terme de facilitateurs (« enablers »). On les appelle désormais les sept composants: processus, structures organisationnelles, flux et éléments d’information, personnes, aptitudes et compétences, culture et comportement, politiques et procédures, services, infrastructure et applications. Et c’est exactement ce dont vous avez besoin dans un SMS (ou SVS, si vous voulez).

Le modèle central

Tous les cadres de management et de gouvernance des services s’architecturent autour d’un modèle central (« Core Model »). Cela ne fait que renforcer leurs similarités.

COBIT 2019

COBIT a vraiment été le premier cadre permettant de distinguer gouvernance et gestion des services TI. L’ISACA a adopté l’ISO/IEC 38500 (Gouvernance des TI) dans son modèle et continue de le faire dans sa version 2019. En dehors de cela, le modèle comprend 40 objectifs, qui sont très similaires aux pratiques de ITIL 4.

Dans la version précédente, COBIT 5 s’appuyait sur la norme ISO 15504 qui permettait d’évaluer l’aptitude des processus à créer de la valeur. Mais à quoi sert d’avoir des processus très performants pour la création de valeur s’ils sont mal ou pas utilisés? Dans COBIT 2019, l’ISACA abandonne ce système pour se rapprocher du modèle CMMI qui combine aptitude et maturité. Si les processus sont aptes et que l’organisation est mature alors la création de valeur sera au rendez-vous. COBIT se rapproche donc également de la nouvelle version CMMI-SVC 2.0. Il faut dire que depuis deux ans CMMI appartient désormais à l’ISACA…

ISO 20000-1:2018

Même si c’est le même sous-comité (ISO / IEC JTC1 / SC40) qui développe ISO / IEC 38500 et ISO / IEC 20000, ISO / IEC 20000-1 reste délibérément à l’écart de la gouvernance. C’est une décision voulue de séparer clairement les travaux des deux groupes de travail et de ne pas créer de chevauchement entre les normes. Cela dit, il est évident que les deux normes interagissent. Il vous suffit alors de définir une interface claire entre gouvernance et gestion. En termes de phases des activités de gestion de service, ISO/IEC 20000-1 utilise la séquence planification (Plan), mise en œuvre (Do), maintenance (Check) et amélioration continue (Act).

VeriSM

VeriSM a franchi une étape supplémentaire en définissant un modèle qui commence par la gouvernance (également basé sur ISO/IEC 38500), puis se dirige vers les pratiques de gestion de service via les principes de gestion de service. Ces principes traduisent les conseils reçus de la Gouvernance en pratiques permettant d’orienter les pratiques de gestion des services (elles-mêmes construites à l’aide du maillage de gestion). C’est l’organisation elle-même qui définit ses principes. Les pratiques de gestion des services passent par les phases suivantes: définir, produire, fournir, répondre. On reconnaît là encore le cycle d’amélioration continue décrit dans le PDCA.

ITIL 4

ITIL 4 fait quelque chose de très similaire à VeriSM, mais place ses principes directeurs ITIL (principes définis, contrairement à ceux de VeriSM) avant ceux de gouvernance, ce qui implique que ces principes s’appliquent non seulement à la gestion des services, mais également à la gouvernance dans son ensemble). Les phases ITIL 4 (dans leur chaîne de valeur de service) sont nommées différemment. Mais elles sont similaires à ISO/IEC 20000-1 et à VeriSM. On retrouve planification, engagement, conception et transition, obtention / création, fourniture et support, amélioration.

Adaptation à Lean, Agile, DevOps

Tout le monde veut être Lean, Agile et faire du DevOps ces derniers temps. On critique souvent les cadres de gestion de services classiques. On leur reproche d’être trop normatifs, rigides et lents pour pouvoir être combinés avec ces méthodes modernes. Ce n’est d’ailleurs pas que Lean ou Agile soient très modernes. Lean trouve son origine quelque part vers le milieu du 20e siècle. L’Agile a pour sa part été défini, sur la base des principes Lean, en 2001. Mais c’est la grande mode du moment. Il n’est pas non plus impossible de combiner l’ITSM classique avec les principes Lean et Agile. Il vous suffit seulement de mettre en œuvre vos pratiques ITSM en conséquence.

VeriSM

Quoi qu’il en soit, VeriSM a été le premier à supprimer ouvertement le caractère prescriptif perçu de la gestion des services et a proposé le maillage de gestion décrit ci-dessus. Vous utilisez toutes les ressources, technologies émergentes, pratiques de gestion (c’est là que Lean, Agile et DevOps entrent en jeu), dans n’importe quel environnement dont vous avez besoin en fonction du type de service que vous souhaitez fournir. Ainsi, si vous développez vos services logiciels en vous basant sur les pratiques de DevOps, vous pouvez utiliser VeriSM pour gérer le service. Si vous hébergez une application Internet Banking et souhaitez un contrôle strict des modifications, vous pouvez également le faire avec VeriSM. Cela introduit une flexibilité pratiquement infinie dans la manière dont les organisations peuvent mettre en œuvre leurs pratiques de gestion des services.

ITIL 4

Comme mentionné précédemment, ITIL 4 utilise maintenant des pratiques au lieu de processus. Cela constitue clairement un pas en avant. Le passage aux pratiques offre la même souplesse de mise en oeuvre de la gestion des services que ce que VeriSM avait proposé auparavant. Vous choisissez votre méthode de gestion des services en fonction du service que vous fournissez, tout en prenant appui sur ITIL 4. Notez que les auteurs sont très clairs sur le fait qu’ITIL 4 ne fournit que des lignes directrices. Les meilleures pratiques n’existent plus que dans l’esprit des responsables marketing d’Axelos.

COBIT 2019

De toute évidence, COBIT 2019 reste non normatif. Ses composants peuvent être configurés de sorte que vos services utilisent la méthodologie dont vous avez besoin.

Soutenir la transformation numérique

VeriSM

VeriSM était vraiment le premier framework qui expliquait explicitement que la gestion des services devait être mise à niveau pour prendre en charge la transformation numérique actuelle, où tous les services ont un composant informatique, sont en ligne ou utilisent des technologies modernes. Il s’agissait d’une avancée majeure par rapport à la gestion de services informatiques classique. Celle-ci était davantage axée sur les technologies de l’information et ne tenait pas compte de l’entreprise dans son ensemble. VeriSM indique explicitement que l’organisation dans son ensemble est le fournisseur de services. Ce n’est donc pas seulement le département informatique qui fournit des services.

ITIL 4

ITIL 4 suit cette tendance, en élargissant son champ d’action aux fournisseurs de services en général. D’ailleurs, ITIL 4 évite principalement  l’utilisation de l’expression ITSM. Il est intéressant de noter que ITIL indique que les services modernes ne concernent pas uniquement la numérisation, ni la technologie, mais principalement le mode de fonctionnement des organisations. Moins de silos, plus d’équipes interfonctionnelles.

COBIT 2019

La première phrase de COBIT 2019 dit tout: « À la lumière de la transformation numérique, l’information et la technologie (I & T) sont devenues essentielles pour le soutien, la durabilité et la croissance des entreprises. »

ISO/IEC 20000-1

L’ISO / IEC 20000-1, malgré son abstraction, s’efforce également de réduire la complexité, la quantité de documentation et la capacité de travailler avec des constellations de fournisseurs (voir SIAM). Ceci n’est pas explicite, mais a été pris en compte dans sa refonte.

Conclusion

Quoi de neuf dans la gestion des services? Bien sûr, tous les cadres commencent à se ressembler étrangement. Certains mettent l’accent sur certains aspects plus que d’autres, mais dans l’ensemble, le tableau est clair.

L’objectif du Service Management est de générer de la valeur pour le fournisseur de services et ses clients. L’objectif est atteint grâce à un système organisé de gouvernance et de gestion. Le système consiste en des pratiques dans divers domaines. Ces domaines couvrent les activités commerciales, informatiques et d’autres services du fournisseur de services. La gestion des services passe par différentes phases d’utilisation de pratiques, s’appuyant sur des processus, des ressources, des informations et des technologies. La nature de ces services importe peu, dans la mesure où ils conviennent au type de services que vous fournissez.

En fin de compte, tout cela devrait préparer le fournisseur de services à l’ère numérique. En 2020, les consommateurs s’attendent à tout trouver en ligne. Mais ils veulent un service rapide et efficace, dont la technologie de l’information est un composant intrinsèque. Mais en aucun cas la technologie ne peut être le seul composant du service. C’est un facilitateur, d’ailleurs reconnu sous ce nom dans COBIT 5 et qui devient un composant dans COBIT 2019.

Le moment est-il venu de créer une véritable gestion des services d’entreprise qui aille bien au delà des TI?

Vous avez des remarques ou des commentaires? N’hésitez pas, la rubrique commentaires est à votre disposition. Si vous aimez cet article, un petit « like » fait toujours plaisir. Vous pouvez également partager cet article et vous abonner à notre blog. C’est entièrement gratuit et cela vous permettra de rester informé(e) de la publication de nos articles.

La cybersécurité a besoin de femmes. Explications.

Il y a quelques jours, le 8 mars dernier, se déroulait la journée internationale du droit des femmes. Et cette année encore, nous constatons toujours une inégalité entre les hommes et les femmes. C’est également vrai dans le domaine de la cybersécurité où seulement 20% des professionnels sont des femmes. Bien que cela représente une hausse de 11% depuis 2013, il reste encore beaucoup à faire dans les carrières de cybersécurité. Dans le même temps, selon Cybersecurity Ventures, il y aura jusqu’à 3,5 millions de postes vacants d’ici 2021. Alors, est-ce une réelle opportunité pour les femmes dans un monde en pleine transformation numérique?

La cybersécurité a besoin de femmes - Explications
Crédit © rawpixel.com 2019

Être une pionnière comporte des défis. Mais selon les professionnels de la cybersécurité que je côtoie régulièrement, les femmes sont tout à fait à la hauteur. Alors essayons de comprendre les raisons de cette situation et comment elle pourrait évoluer très rapidement.

Pourquoi est-ce important de combler le fossé entre les sexes en cybersécurité?

La diversité des perspective est indispensable

Tout d’abord, il est nécessaire de bien comprendre pourquoi c’est si important. L’objectif n’est pas simplement d’engager plus de femmes pour augmenter les pourcentages. L’argument en faveur d’une plus grande égalité des sexes dans la cybersécurité ne se limite pas seulement à juste vs injuste, ou à homme vs femme. C’est simplement, que le fait d’avoir plus de femmes sur le lieu de travail est bon pour le business. En effet, la diversité des points de vue, du leadership et de l’expérience est toujours un facteur positif pour les affaires.

Cette constatation peut d’ailleurs s’appliquer à n’importe quel rôle dans une entreprise. Elle ne se limite pas au domaine de la cybersécurité. Par contre elle est tout particulièrement pertinente pour la cybersécurité. Il est nécessaire d’avoir des personnes d’origines, de sexe, de cultures différentes dans les équipes de cybersécurité. En effet, les cyber-criminels qu’elles poursuivent (acteurs de la menace, pirates informatiques, cyber-criminels) possèdent également une grande variété de formations, de cultures et d’expériences. Plus nous aurons de personnes et d’expériences différentes pour défendre nos réseaux et meilleures seront nos chances de réussite.

Le nombre de postes non pourvus est en expansion

De plus, comme je l’ai mentionné dans l’introduction, la cybersécurité est confrontée actuellement à un problème lié au manque de compétences disponibles sur le marché. Il serait donc totalement préjudiciable, sur un critère tel que le sexe, de limiter le nombre de professionnels de ce secteur. La demande en professionnels de la sécurité ayant les bons niveaux de connaissance et de compétence est très forte. En outre, la menace pour les victimes et les réseaux critiques est de plus en plus vaste. Donc,   les femmes aussi bien que les hommes peuvent tout à fait réussir une carrière percutante et enrichissante dans ce domaine.

Et pourtant aujourd’hui, quand on pense au CISO, on imagine immédiatement un homme. Pourtant une femme peut tout à fait être CISO. Il commence d’ailleurs a y en avoir dans les grandes entreprises internationales, même si les hommes restent largement majoritaires. Par exemple on peut citer Shamia Naidoo qui est l’actuelle Global CISO chez IBM ou Debbie Wheeler, CISO pour la compagnie aérienne Delta ou encore Dr. Jay, CISO chez XEROX et ancienne CIO (DSI) de la Maison Blanche. Malheureusement, en France et dans les pays francophones en général, il y en a encore très – trop – peu, comme Mylène Jarossay, membre fondateur du CESIN et CISO de LVMH.

Les défis auxquels sont confrontées les femmes en cybersécurité

Tout d’abord, les femmes ont trop souvent un problème de perception de la cybersécurité (et de la technologie en général). La technologie ou la sécurité sont souvent considérées comme des professions masculines. Et c’est juste de dire qu’il y a clairement peu de femmes dans ces domaines. Aussi beaucoup de femmes ne considèrent pas encore ces professions peuvent offrir des opportunités de carrière viables.

L’éducation et la culture

Malheureusement, ce point de vue est souvent enraciné dès l’enfance. Dès le plus jeune âge, les femmes sont sensibilisées au fait que les hommes sont bons en sciences et techniques et que les femmes ne le sont pas. Elles seront le plus souvent orientées vers des filières artistiques, littéraires ou commerciales. Malgré l’évolution des mentalités durant ces dernières années, il faut hélas reconnaître que les préjugés demeurent.

Et cette perception est renforcée lorsque les femmes qui poursuivent une carrière dans le secteur de la technologie se révèlent être les seules dans la salle. Dans presque toutes les équipes d’ingénierie dont j’ai fait partie, il n’y avait toujours qu’une ou deux femmes. Le manque de diversité des sexes est clairement évident, en particulier lorsque vous assistez à des événements tels que le Black Hat ou le HackFest de Québec, et que les hommes constituent la grande majorité des participants.

Dès lors, la culture de travail peut rester bloquée dans un cycle de préjugés inconscients qui se perpétue. Tout au long de ma carrière, j’ai remarqué que les femmes devaient redoubler d’efforts pour obtenir des opportunités et être reconnues. Cela tient peut-être en partie au fait que les gens, consciemment ou non, ont tendance à embaucher et à promouvoir des personnes qui leur ressemblent. Et donc naturellement les hommes embauchent… des hommes. Les femmes ne devraient pourtant pas se sentir intimidées. Mais c’est souvent la réalité à laquelle elles font face dans l’industrie.

La facilitation du changement

Ces problèmes sont difficiles à résoudre car ils sont subtils et omniprésents. Ce sont des problèmes profonds, liés à la culture et à l’éducation. Pour changer cela il faut faciliter le changement culturel et cela prend beaucoup de temps. Au bout du compte, la meilleure façon de permettre ce changement dans le secteur de la cybersécurité, c’est de supprimer les obstacles pour les femmes et de permettre à plus de femmes d’entrer.

Et lorsqu’on leur en donne l’opportunité, c’est exactement ce qu’elles font. Dans les formations que j’anime régulièrement dans diverses régions du monde, en sécurité et en gouvernance, je constate une augmentation régulière du nombre de femmes. C’est un signe encourageant certes. Cependant il faut bien reconnaître que tous les pays ne sont pas logés à la même enseigne. Dans le monde francophone, il reste énormément de chemin à parcourir. Les préjugés sont malheureusement encore tenaces et les réticences très fortes.

Les femmes qui font de la cybersécurité aiment leur travail

L’amour du travail est une affaire profondément individuelle. Cependant voici pourquoi la résolution des problèmes évoqués précédemment valait (et vaut) la peine pour ces femmes.

« La cybersécurité consiste essentiellement à protéger les personnes contre les dommages et, lorsqu’une personne est victime, à découvrir qui l’a fait », a récemment déclaré Priscilla Moriuchi, directrice du département Strategic Threat Develoment à Recorded Future. « J’aime protéger les gens du mal, poursuivre les cybercriminels et continuellement apprendre. J’aime mon travail. »

Pavi Ramamurthy, qui travaille dans le secteur de la sécurité depuis 15 ans, aime également le travail quotidien en matière de cybersécurité. « J’aime construire une grande variété de programmes de sécurité, ou simplement être au cœur d’un incident de sécurité et diriger le processus de réponse à l’incident. Chacun vient avec sa propre série d’excitations et de défis. C’est enrichissant de réfléchir avec mon équipe sur les moyens de s’améliorer et également de nous tenir au courant des nouveautés en matière de sécurité, des professionnels et des nouvelles technologies. »

Maggie McDaniel, directrice de Finished Intelligence chez Recorded Future, a opté pour la cybersécurité en milieu de carrière et aime constater l’impact de son travail. « J’aurais pu rester là où j’étais, en faisant la même chose tous les jours, ou je pouvais aller dans un environnement stimulant et provoquer des changements , » dit-elle. « L’environnement, en évolution rapide, me permet de rester sur mes gardes et rend ma carrière intéressante. »

Jessica Ortega de Sitelock, quant à elle, souligne la flexibilité souvent nécessaire pour ces rôles. « De nombreuses entreprises de technologie proposent désormais des formations à votre rythme, des certifications et une possibilité de travailler à distance, faisant de la cybersécurité l’un des meilleurs chemins de carrière pour ceux qui privilégient l’équilibre travail-vie personnelle. »

Quelques trucs pour les femmes envisageant une carrière en cybersécurité

Si vous êtes une femme et que vous souhaitez changer de carrière pour vous orienter vers la cybersécurité, vous le pouvez sans aucun doute. Voici quelques trucs qui peuvent vous aider à mieux vous préparer.

1. Ne soyez pas intimidée et sachez saisir votre chance

Il est absolument nécessaire de saisir votre chance lorsqu’elle se présente et de commander le respect dans un domaine dominé par les hommes pour acquérir les connaissances et l’expérience nécessaires pour réussir. Ce n’est un secret pour personne que la technologie est un domaine à prédominance masculine. C’est aussi un domaine où sévissent encore de nombreux détracteurs. Ils se demandent si les femmes ont vraiment leur place à leurs côtés. Vous devrez sans doute lutter et postuler plusieurs fois pour occuper différents postes avant de devenir analyste de sécurité.

Rappelez-vous que la sécurité ne nécessite pas de dons magiques innés. Vous pouvez apprendre tout aussi bien qu’un homme ce que vous devez savoir pour réussir. N’ayez pas peur de vous battre pour ce que vous voulez.

2. Bâtissez votre réseau et trouvez des mentors dans le secteur

Une fois que vous avez terminé la préparation initiale avec des lectures, des cours en présentiel et en ligne, commencez à tisser des liens. Participez à des réunions et rencontrez des gens de l’industrie dans le domaine de la cybersécurité. Rejoignez un groupe comme Women in CyberSecurity (WyCyS) ou Women in Technology International (WITI) et, bien sûr, assistez à des conférences.

Trouver un mentor est une étape qui peut faire toute la différence. Contactez un acteur du secteur, idéalement un leader d’opinion, et recherchez un mentor. Il y a beaucoup d’hommes et de femmes, qui sont déjà dans le domaine et qui peuvent donner des conseils, répondre aux questions et vous orienter dans la bonne direction.

Un bon mentor peut fournir des conseils précieux sur la manière de trouver votre place dans la cybersécurité et de faciliter les opportunités de mise en réseau. Idéalement, trouvez une femme, professionnelle en cybersécurité, qui saura vous apprendre les ficelles du métier et, surtout, vous apprendre de ses erreurs. Il y a de la force dans les nombres. Cependant, n’ayez pas peur de prendre conseil auprès d’un professionnel de la cybersécurité. Il y a beaucoup d’experts et beaucoup de connaissances à exploiter.

3. Recherchez d’abord des opportunités en interne

Il n’est peut-être pas nécessaire de changer d’entreprise pour changer de carrière. Le meilleur endroit pour commencer est souvent au sein de votre société actuelle. Etablissez des relations avec votre propre équipe de sécurité. Il existe de nombreuses opportunités dans des domaines tels que la sensibilisation et la formation à la sécurité, la gestion de programme de sécurité, la réponse aux incidents et la rédaction technique, pour n’en nommer que quelques-unes.

Si l’équipe de sécurité de votre entreprise doit combler un poste vacant, vous avez un avantage. En effet, vous connaissez déjà l’entreprise, son environnement, sa culture et son activité. Vous pourrez peut-être alors combiner l’auto-apprentissage et la formation continue pour pouvoir démarrer un nouveau rôle.

4. Agissez avec confiance

C’est souvent le conseil le plus difficile à mettre en œuvre pour les femmes, surtout si elles se sentent en sous-effectif ou si elles sont ignorées. « J’avais beaucoup entendu parler des femmes qui ne se sentaient pas entendues lors des réunions, mais la première fois que cela m’est arrivé, ma mâchoire est presque tombée au sol », a déclaré Rose Elliott, senior director of product engineering de Tenable.io. « J’ai pensé: « Oh, c’est ce dont ils parlent. » J’ai même approché l’homme qui dirigeait la réunion par la suite. Mais cela s’est reproduit le lendemain. C’est terrible que ce soit juste une chose à laquelle il faut s’habituer . Mais depuis j’ai appris à exprimer mon opinion et à me sentir à l’aise. « 

L’astuce? Parler et agir de manière décisive, même si vous ne vous sentez pas nécessairement complètement sûre de vous. « De nombreuses femmes ont tendance à parler avec moins de confiance si elles ne sont pas certaines à 100% de ce qu’elles disent, alors que les hommes parlent avec confiance même s’ils sont relativement incertains », a déclaré R. Elliott.  «En fait, j’ai reçu un témoignage essentiel de la part d’un ancien directeur / mentor de sexe masculin: lorsque vous vous sentez vraiment anxieux, appuyez fort, car votre intuition est généralement la bonne.»

5. Mettez l’accent sur l’apprentissage

Comme pour toute carrière, la cybersécurité se base sur un parcours d’apprentissage. Personne de doit être intimidé par ce domaine. Cela semble très technique et très complexe. Et croyez-moi, ça l’est. Donc, bien sûr, ne vous attendez pas non plus à être un expert dès le départ. Nous avons tous quelque chose de nouveau à apprendre, hommes comme femmes, et dans ce domaine il y a de la place pour une expertise technique approfondie, mais aussi pour des généralistes et des gestionnaires. Chaque jour, un nouveau défi se présente et une chance d’apprendre quelque chose de nouveau surgit.

Alors, la cybersécurité est-elle pour vous? Moriuchi a la réponse: « Ce travail est destiné à tous ceux et toutes celles qui sont intellectuellement curieux, disposés à penser de manière non conventionnelle et à s’engager dans une vie d’apprentissage. » Vous vous reconnaissez dans cette description? Alors peut-être que vous devriez envisager de regarder les opportunités qui se présente dans un domaine en pleine expansion avec la transformation digitale des organisations.

Vous vous posez encore des questions?  Votre expérience peut être partagée? Vous avez des remarques sur le contenu de cet article? Les commentaires sont là pour vous permettre de lancer le débat et d’échanger. Profitez-en! Si vous avez aimé cet article vous pouvez aussi nous laisser un « like ». Ou, vous pouvez aussi vous abonner à notre blog pour recevoir une alerte lors de la parution de nos articles.

 

 

ITIL saison 4 ou la renaissance longtemps attendue

Il en va ainsi des grandes séries à succès. Malgré les épisodes successifs au cours desquels les familles se constituent avant de s’entre-déchirer tout le monde attend la nouvelle saison avec intérêt. Il en va de même pour ITIL. Les familles (OGC, APMG, Cabinet Office, AXELOS) se sont déchirées, les unions se sont faites et défaites. Beaucoup pensaient que les personnages et l’intrigue avaient un peu vieilli. Mais une nouvelle équipe de scénaristes chevronnés vient de mettre au monde la nouvelle saison pour une renaissance espérée et longtemps attendue. ITIL 4 tiendra-t-il ses engagements?

En tout cas, après avoir pu lire le scénario du premier épisode, nous, on y croit. Il en va ainsi des grandes séries à succès. Malgré les épisodes successifs au cours desquels les familles se constituent avant de s’entre-déchirer tout le monde attend la nouvelle saison avec intérêt. Il en va de même pour ITIL. Les familles (OGC, APMG, Cabinet Office, AXELOS) se sont déchirées, les unions se sont faites et défaites. Beaucoup pensaient que les personnages et l’intrigue avaient un peu vieilli. Mais une nouvelle équipe de scénaristes chevronnés vient de mettre au monde la nouvelle saison pour une renaissance espérée et longtemps attendue. ITIL 4 tiendra-t-il ses engagements? En tout cas, après avoir pu lire le scénario du premier épisode, nous, on y croit. 

ITIL 4 : nouvelle saison - Rennaissance longtemps attendue
Crédit © rawpixel 2019

La première chose à savoir sur cette nouvelle saison c’est qu’il s’agit bien d’une nouvelle saison de la même série. Vous y retrouverez tout ce que vous aimiez dans ITIL V3 et ITIL 2011. La particularité de la saison 4 c’est qu’elle se concentre autour de la notion de création de valeur. Bien sûr le personnage central reste le fournisseur de services TI (comprenez la DSI). Mais désormais un autre personnage devient incontournable. Il s’agit bien entendu du client. C’est à dire celui pour qui, et avec qui le service va être conçu, en co-création.


ITIL 4 définit un service comme :

«Un moyen de permettre la co-création de valeur en facilitant les résultats que les clients souhaitent obtenir, sans que le client ait à gérer des coûts et des risques spécifiques.»


La clé pour comprendre ITIL 4 consiste à comprendre comment les termes valeur, résultats, coûts et risques ont été utilisés, et en quoi cela est fondamental pour la fourniture de services informatiques.

Pour bien comprendre ce que tout cela signifie, appuyons-nous sur des définitions extraites de la publication : ITIL 4 Foundation.

Valeur:  «Les avantages, l’utilité et l’importance perçus de quelque chose». Il est essentiel de comprendre que la valeur n’est pas absolue. Elle ne se mesure pas en termes financiers (ou du moins, pas seulement). Nous ne pouvons mesurer la valeur de nos services pour nos clients que si nous comprenons comment ils les perçoivent.

Résultats: Il existe une différence entre les résultats et les résultats du service (extrants). Un résultat est un résultat activé par les extrants d’un service. Par exemple, un extrant d’un service de préparation au permis de conduire peut être le document « permis de conduire » délivré par l’examinateur. Le résultat final, par contre, c’est le fait que vous avez désormais le droit de conduire un véhicule.

Co-création de valeur: en gestion des services TI, en tant que fournisseurs de services, nous ne créons pas de valeur directe pour nos clients. J’ai l’habitude de toujours dire dans les formations que je délivre, que la seule chose que nous créons, ce sont des coûts supplémentaires. Si nous travaillons plutôt avec nos clients, nous pouvons créer de la valeur pour les deux parties (pour nous et pour eux). Le client en a alors clairement pour son argent, car le service lui permet de réaliser quelque chose d’important pour lui.

Par exemple, un service de transport peut permettre à un client de se rendre à une réunion à temps. Le fournisseur de services tire également profit du service. Cela peut prendre la forme d’argent que le client paie pour le service. Mais il existe d’autres types de valeur pour le fournisseur de services. Ainsi, par exemple, il peut développer de nouvelles capacités ou des relations qui lui permettent d’offrir des services supplémentaires.

Gestion des coûts et des risques spécifiques: chaque service élimine certains coûts et risques du client. Par exemple, le client peut ne plus avoir besoin d’employer et de gérer un personnel technique coûteux, car le fournisseur de services dispose de la capacité requise. Chaque service impose également des coûts et des risques au client. Les coûts incluent tous les frais que le client doit payer au fournisseur de service, ainsi que d’autres coûts tels que la formation du personnel ou la fourniture d’une connexion réseau pour lui permettre d’accéder au service. La valeur du service est directement affectée par le solde de ces coûts et risques ajoutés et supprimés.

Les 4 dimensions de la gestion des services

La deuxième chose que vous devez savoir sur ITIL 4, c’est qu’il décrit quatre dimensions de la gestion des services. Ces quatre dimensions doivent être prises en compte afin de garantir qu’une organisation adopte une approche équilibrée. Ces dimensions, ou perspectives, doivent être incluses dans toute conception de service, dans toute conception de gestion de service et dans tout plan d’amélioration. Ce sont:

Les organisations et les personnes: Cela inclut la culture, les systèmes hiérarchiques, les rôles et responsabilités, les connaissances et les compétences nécessaires pour planifier, gérer et fournir des services.

L’information et la technologie: Cette dimension inclut l’information et la technologie associée, nécessaires pour fournir des services (serveurs, stockage, réseaux, bases de données, etc.). Mais cela inclut également l’information et la technologie nécessaires pour gérer ces services (outils ITSM, bases de connaissances, informations de configuration, etc.).

Les partenaires et les fournisseurs: la dimension partenaires et fournisseurs nous aide à prendre en compte toutes les relations nécessaires pour fournir une prestation de services efficace. En effet, dans l’environnement business du 21ème siècle, aucun fournisseur de services ne peut tout faire par lui-même. Nous travaillons tous avec un grand nombre d’organisations, souvent externes, qui contribuent de différentes manières aux services que nous fournissons.

Le flux de valeur et les processus: cette dimension prend en compte toutes les activités, flux de travail, contrôles et procédures nécessaires pour réussir. Ils doivent fonctionner ensemble de manière transparente pour répondre à la demande entrante des clients et des utilisateurs et contribuer à la création de valeur.

Le système de valeur des services (SVS)

La troisième chose que vous devez savoir sur ITIL 4 est qu’il introduit un concept nouveau. Il s’agit du système de valeur de service ITIL (SVS), illustré ci-dessous et extrait de la publication ITIL Foundation.

Le système de valeur des services selon ITIL 4
Crédit © AXELOS 2019

Le SVS invite les praticiens à réfléchir à la manière dont tous les composants nécessaires à la fourniture de services peuvent fonctionner ensemble pour aider à créer de la valeur pour les clients. Il encourage les fournisseurs de services à travailler de manière flexible et en coopération pour créer, eux-mêmes, de la valeur, au lieu de créer des silos individuels et de se concentrer sur l’optimisation de ce qui se passe à l’intérieur de ceux-ci.

Il n’y a plus lieu de définir une structure rigide. Le SVS montre comment combiner des composants de différentes manières pour s’adapter aux circonstances spécifiques.

Examinons de plus près les composants du SVS.

Opportunité, demande et valeur

Comme le montre le diagramme ci-dessus, les opportunités et la demande sont les éléments déclencheurs de tout ce que fait un fournisseur de services. En fin de compte, le système de valeur de service doit permettre la création conjointe de valeur, pour le fournisseur de services, ses clients et d’autres parties prenantes.

La chaîne de valeur du service

La chaîne de valeur des services est au cœur du SVS. Elle décrit six activités essentielles pour répondre à la demande et faciliter la création de valeur.

Le SVS en détail dans ITIL 4
Crédit © AXELOS 2019

Les activités de la chaîne de valeur des services sont les suivantes:

  • Planifier: Cette activité crée des plans, des portefeuilles, des architectures, des politiques, etc. pour assurer une compréhension commune de ce que l’organisation tente de réaliser et de la façon dont cela sera réalisé.
  • Améliorer: cette activité crée des plans et des initiatives d’amélioration pour garantir l’amélioration continue de tous les produits, services et pratiques dans les quatre dimensions de la gestion des services.
  • Engager: Cette activité permet d’engager les parties prenantes et de comprendre leurs besoins.
  • Conception et transition: cette activité crée des services nouveaux et modifiés et veille à ce qu’ils répondent aux attentes des parties prenantes en matière de qualité, de coût et de délai de commercialisation.
  • Obtenir / Construire: cette activité acquiert ou/et crée des composants de service, s’assure qu’ils sont disponibles quand et où ils sont nécessaires et qu’ils répondent aux spécifications convenues.
  • Fournir et soutenir: Cette activité garantit la fourniture des services et leur prise en charge de manière à répondre aux attentes des parties prenantes.

Mais ITIL 4 ne décrit pas simplement ces activités clés. Il fournit également des conseils sur la manière de les planifier, de les gérer et de les améliorer.

Les principes directeurs

Les principes directeurs d’ITIL 4 fournissent des conseils pratiques sur la manière dont les organisations peuvent planifier et gérer leurs services informatiques. Ils peuvent être utilisés pour guider la prise de décision, établir des priorités et sélectionner des opportunités d’amélioration. Ils permettent d’aider une organisation à adopter les idées d’ITIL et à les adapter à leurs contextes spécifiques. Si vous connaissez ITIL Practitioner, vous pouvez reconnaître les principes directeurs d’ITIL. Cependant  ils ont été étendus et mis à jour pour ITIL 4.

Ces principes directeurs ne doivent pas être traités séparément. Vous devez donc penser à chacun d’eux chaque fois que vous devez prendre une décision. Vous pouvez même les imprimer sur une grande feuille de papier et les coller sur le mur de votre salle de réunion. Il s’agit de:

1. Focus sur la valeur

Tout ce que l’organisation fait doit être associé, directement ou indirectement, à la création de valeur pour les parties prenantes. Les plus importants de ces acteurs sont les consommateurs de services, mais la valeur pour les autres acteurs doit également être prise en compte.

2. Commencez où vous êtes

Ne partez pas de zéro et construisez quelque chose de nouveau sans vous préoccuper de ce qui est déjà disponible. Les services, processus, programmes, projets et personnes actuels sont généralement réutilisables.

3. Progressez itérativement avec le feedback

N’essayez pas de tout faire en même temps. Organisez le travail en sections plus petites, faciles à gérer, pouvant être terminées rapidement. Utilisez les commentaires avant, pendant et après chaque itération pour vous assurer que les actions sont ciblées et appropriées, même si les circonstances changent.

4. Collaborer et promouvoir la visibilité

Travailler ensemble à travers les frontières produit des résultats qui ont une plus grande implication, une plus grande pertinence par rapport aux objectifs et une probabilité accrue de succès à long terme. Le travail et les conséquences doivent être rendus visibles, les ordres du jour cachés évités et les informations partagées dans toute la mesure du possible.

5. Penser et travailler de manière holistique

Les résultats en souffriront si l’organisation ne travaille pas sur le service dans son ensemble. Elle ne doit pas travailler seulement sur ses parties. Les résultats sont fournis aux clients par le biais d’une gestion et d’une intégration appropriées des informations, de la technologie, de l’organisation, des personnes, des pratiques, des partenaires et des accords, lesquels doivent tous être coordonnés pour offrir une valeur ajoutée.

6. Restez simple et pratique

Utilisez le nombre minimum d’étapes nécessaires pour atteindre les objectifs. Éliminez tout ce qui ne contribue pas à la création de valeur. Utilisez une réflexion axée sur les résultats pour trouver des solutions pratiques qui produisent des résultats.

7. Optimiser et automatiser

Vous devez optimiser votre travail et éliminer le gaspillage avant d’automatiser quoi que ce soit. Ensuite, utilisez la technologie pour réaliser tout ce dont elle est capable. L’intervention humaine ne devrait se produire que dans les cas où elle apporte une valeur réelle. Tout le reste devrait pouvoir être automatisé.

L’amélioration continue

Pour atteindre l’excellence et matière de services, les organisations ont besoin d’une amélioration constante de chaque aspect du système de gestion des services. Cela inclut l’amélioration de l’ensemble du système, ainsi que de tous les produits, services, composants de service, personnes, pratiques et relations. ITIL 4 définit un modèle d’amélioration continue qui peut aider à orienter et à soutenir la planification de l’amélioration.

ITIL 4 : le modèle d'amélioration continue
Crédit © AXELOS 2019

Vous l’aurez reconnu, ce modèle est hérité du modèle d’amélioration continue d’ITIL V3. Il comporte toutefois une étape supplémentaire « Take action ». Cela permet que le modèle s’appuie sur 7 étapes comme pour les autres référentiels et normes.

Les pratiques décrivent comment le travail est réalisé

ITIL 4 décrit également 34 pratiques qui sous-tendent et soutiennent la chaîne de valeur des services. Ces pratiques incluent de nombreuses fonctionnalités familières aux personnes ayant étudié les versions précédentes d’ITIL. On y retrouve notamment la gestion des incidents, la gestion des problèmes et la gestion des versions. Mais il existe également plusieurs nouveaux domaines tels que la gestion des risques, la gestion de projet et la gestion de l’architecture.

Les pratiques sont beaucoup plus que de simples processus. Elles incluent également des idées issues de chacune des quatre dimensions de la gestion des services (organisations et personnes, information et technologie, partenaires et fournisseurs, chaînes de valeur et processus).

ITIL 4 regroupe les pratiques en trois domaines, mais il est important de réaliser qu’elles ne sont pas indépendantes. ITIL 4 décrit la manière dont différentes combinaisons de pratiques fonctionnent ensemble pour générer de la valeur et décourage les organisations de créer des silos autour de pratiques individuelles.

Je vais simplement énumérer les pratiques ici, car cet article est déjà très long. Je vous en dirai d’avantage sur les pratiques individuelles dans de futurs articles.

Pratiques générales de gestion

  • Gestion d’architecture
  • Amélioration continue
  • Gestion de la sécurité de l’information
  • Gestion des connaissances
  • Mesure et rapport
  • Gestion du changement organisationnel
  • Gestion de portefeuille
  • La gestion de projet
  • Gestion de la relation
  • Gestion des risques
  • La gestion financière des services
  • Gestion de la stratégie
  • Gestion des fournisseurs
  • La gestion des effectifs et des talents

Pratiques de gestion de service

  • Gestion de la disponibilité
  • Analyse commerciale
  • Gestion de la capacité et des performances
  • Le contrôle des changements
  • La gestion des incidents
  • Gestion des actifs informatiques
  • Surveillance et gestion des événements
  • Gestion des problèmes
  • Gestion des versions
  • La gestion du catalogue de services
  • Gestion de la configuration du service
  • Gestion de la continuité de service
  • Conception du service
  • Centre de service
  • Gestion des niveaux de service
  • Gestion des demandes de service
  • Validation et test du service

Pratiques de gestion de la technologie

  • Gestion de déploiement
  • Gestion des infrastructures et des plateformes
  • Développement et gestion de logiciels

La gouvernance

Enfin, ITIL 4 reconnaît que la gouvernance est un élément essentiel du système de valeur de service. La gouvernance dirige et contrôle l’organisation, en veillant à l’alignement des activités de gestion sur les objectifs et les intentions généraux.

ITIL 4 stipule que: «La gouvernance du SVS est réalisée à travers: l’évaluation du SVS, en évaluant le SVS régulièrement, en dirigeant puis en surveillant les performances du SVS». On retrouve d’ailleurs les trois axes de la gouvernance de COBIT (Evaluer, diriger et surveiller).

Malheureusement il faut bien constater la faible adoption de la gouvernance des TI par l’ensemble du secteur et, en fait, la faible compréhension de la gouvernance et de l’alignement sur celle-ci des cadres de meilleures pratiques. ITIL ne fait pas exception. On constate de même une faible utilisation de COBIT, qui reste le principal cadre de gouvernance de l’information et des technologies.

Il s’agit donc d’un autre défi pour ITIL 4: s’aligner sur le système de gouvernance informatique et amener l’entreprise à prendre son rôle au sérieux dans la gouvernance du SVS. La gouvernance est importante pour garantir que les opportunités et les demandes entrant dans le SVS sont hiérarchisées en conséquence pour la performance et la conformité de l’organisation.

Cela garantit que l’entreprise n’exige pas que toutes ses fonctionnalités d’innovation dépassent le besoin de gérer les risques (tels que la dette technique), la conformité et la sécurité.

La gouvernance signifie que la valeur est réalisée en bout de chaîne et que les analyses de rentabilisation ont été réalisées. Il s’agit d’un bon moyen de fournir des informations sur l’efficacité des analyses de rentabilisation au lieu de simplement exiger des fonctionnalités.

Conclusion

Les versions précédentes d’ITIL ont aidé les entreprises à passer d’un processus à un cycle de vie des services. ITIL 4 poursuit ce chemin en se concentrant désormais davantage sur la création de valeur de bout en bout.

ITIL 4 s’appuie donc sur les idées et les processus développés dans les versions précédentes d’ITIL. Il adopte également une vision beaucoup plus large de la gestion des services informatiques. Il prend ainsi en compte tout ce dont les fournisseurs de services et les consommateurs de services ont besoin pour créer de la valeur conjointement.

Les idées et les concepts que vous avez appris dans ITIL V3 sont toujours aussi valables qu’ils l’ont toujours été. Mais ITIL 4 vous aide à les lier dans le cadre d’un système de valeur de service. Si votre organisation adopte cette approche actualisée, vous constaterez que vous serez en mesure de travailler avec vos clients pour créer de la valeur de manière efficace et efficiente!

Vous avez des questions ou des remarques, voire une expérience à partager. Alors, n’hésitez pas à mettre un commentaire à cet article et à lancer le débat. Et si vous aimez nos articles, pourquoi pas un « like » ou un abonnement à notre blog. C’est entièrement gratuit.

10 raisons majeures pour embaucher un CISO

Dans un précédent article, nous avons passé en revue les responsabilités et les compétences indispensables d’un CISO. Dans un monde en pleine transformation numérique, la sécurité de l’information et la cybersécurité sont des préoccupations vitales. Je vous propose donc, aujourd’hui de revenir, au travers de quelques exemples, sur les raisons pour lesquelles toute organisation doit absolument avoir un CISO. Nous évoquerons aussi les contraintes, la position hiérarchique, les salaires et les risques courus par les CISO.

CISO : Pourquoi il est indispensable dans une organisation
Crédit © rawpixel.com 2019

Chaque jour apporte son lot de nouvelles informations alarmantes en matière de cybersécurité. Cela va de l’intégrité des élections, ou d’informations bancaires volées à la dernière cyber-attaque contre l’ICANN. Vous avez sans doute l’impression qu’il vous faut un décodeur pour comprendre tout cela. Surtout quand ce n’est pas votre métier, c’est d’autant plus inquiétant qu’on n’y comprend rien. Pourtant cela semble très grave si on se fie à la mine sinistre des dirigeants qui communiquent sur le sujet. Alors, info ou intox?

Une façon de commencer à déchiffrer le jargon et l’intrigue consiste à essayer de voir ces problèmes sous l’angle du Directeur de la Sécurité de l’Information (CISO). Le CISO est généralement le plus haut responsable de la cybersécurité, membre du comité de direction, au sein d’une entreprise.

Un peu d’histoire

Le rôle de CISO remonte à 1994. Le géant bancaire Citigroup (alors Citi Corp. Inc.) avait été victime d’une série de cyber-attaques d’un pirate informatique russe, Vladimir Levin. La banque a créé le premier bureau exécutif mondial dédié à la cybersécurité. Elle a engagé Steve Katz pour le diriger.

Aujourd’hui, Katz est un nom de premier plan dans l’industrie. Il travaille comme consultant en cybersécurité et a toujours soutenu des initiatives de partage d’informations de grande valeur en finance, et plus récemment dans le domaine de la santé.

Selon Katz, il est important que les gens comprennent les responsabilités de ceux qui supervisent la cybersécurité. De cette façon, ils sont mieux préparés à interpréter les gros titres et à savoir distinguer ce qui compte vraiment.

Les investisseurs doivent également comprendre le fonctionnement de leur entreprise. De plus en plus de sociétés de cybersécurité arrivent sur un marché encombré. Elles cherchent du business, des fonds de capital-risque ou de nouveaux capitaux provenant d’une introduction en bourse.

Les responsabilités du CISO

Les responsabilités du CISO varient. Elles évoluent selon le secteur d’activité, la taille de l’entreprise et la réglementation à laquelle l’organisation est soumise. Des entreprises différentes structurent la cybersécurité de manières différentes. Cependant il existe de nombreux thèmes communs.

Dans les grandes organisations, le CISO supervise souvent une équipe de professionnels de la sécurité travaillant pour l’entreprise. Les petites entreprises peuvent sous-traiter ce travail à une entreprise externe fournissant des services gérés. Beaucoup font une combinaison des deux.

Nous avons compilé cette liste des responsabilités du CISO sur la base de recherches issues de ressources publiques, privées et universitaires ainsi que des offres d’emploi et d’entretiens avec des responsables de la cybersécurité et des dirigeants qui les embauchent.

Opérations de sécurité

Cette fonction implique une analyse en temps réel des menaces. Cela comprend la supervision des outils permettant de surveiller les pare-feu, les points d’entrée, les bases de données et d’autres environnements internes d’une entreprise. Quand quelque chose ne va pas, ces personnes sont censées découvrir et classifier les problèmes.

Cyber-risques et cyber-intelligence

Les conseils d’administration demandent souvent au CISO de prendre les devants face aux nouveaux types d’attaques qui pourraient être nuisibles, aux transactions commerciales qui pourraient présenter un risque de violation ou à de nouveaux produits susceptibles d’affaiblir la sécurité.

En 2017, Verizon a fait baisser de 350 millions de dollars le prix d’achat de Yahoo. Cela faisait suite à la révélation qu’une violation de données avait touché plus de personnes que Yahoo n’avait déclaré. C’est un exemple d’évaluation  du coût d’un risque de cybersécurité par Verizon.  Apparemment, la société aurait d’ailleurs souhaité un rabais plus important, pouvant atteindre 925 millions de dollars.

Lorsqu’un haut responsable du bureau du directeur du renseignement national a déclaré à un panel à Aspen que des agents iraniens possédaient des cyber-armes ciblant les infrastructures américaines, il s’appuyait sur une collection complexe d’informations de cyber-intelligence.

Violations de données et prévention de la fraude

Les personnes qui envoient des informations sensibles par courrier électronique, ou les initiés qui volent la propriété intellectuelle en quittant leur entreprise, sont deux exemples de ce que les CISO gèrent au quotidien. Ils utilisent des outils qui surveillent le flux d’informations dans une organisation pour détecter les grandes quantités de données quittant l’entreprise.

Quand Elon Musk a déclaré qu’un ingénieur chez Tesla avait été signalé pour l’envoi de code source à l’extérieur de l’entreprise, c’est l’équipe cybersécurité, sous la responsabilité du CISO qui l’avait découvert.

Architecture de la sécurité

Le CISO a un rôle d’architecte de sécurité. Il construit l’épine dorsale de la sécurité d’une entreprise. Parfois, il partie du début, parfois il part d’un existant. Il décide où, comment et pourquoi les pare-feu seront utilisés. C’est également lui qui prend des décisions sur la séparation ou la segmentation de certains réseaux. Il peut aussi faire appel à des testeurs d’intrusion ou à des pirates éthiques pour tester les défenses qu’ils a créées pour l’entreprise.

Si vous vous demandiez comment les logiciels de de ransomware WannaCry ou NotPetya se déplaçaient si rapidement entre différentes parties de certaines entreprises touchées, cela tient au fait que de nombreuses entreprises disposaient de réseaux «plats» sans aucun moyen de mettre en quarantaine l’attaque entre les business units. Un architecte de sécurité aurait pu les aider à construire, pro-activement, un réseau plus résilient.

Gestion des identités et des accès

Les CISOs ont la responsabilité des informations d’identification. C’est généralement un membre d’une équipe de cybersécurité qui vous attribue votre nom d’utilisateur et votre mot de passe auprès d’une nouvelle société. Ces professionnels déterminent qui a accès à quels outils, qui reçoit quelles adresses e-mail et la rapidité avec laquelle ces informations sont supprimées dès lors que quelqu’un est licencié ou quitte la société.

Ce dernier point est essentiel. Et, s’il est mal géré, il peut entraîner d’importantes pertes de données. Dans une affaire célèbre impliquant une société d’ingénierie du Tennessee, un ancien employé a pu accéder à des informations précieuses pendant plusieurs années après son départ chez un concurrent, car ses informations d’identification n’avaient jamais été supprimées.

Gestion de programme

Une fois qu’une entreprise a mesuré ses risques, rassemblé des informations et cartographié l’emplacement de ses données, elle peut identifier des vulnérabilités. Pour combler ces lacunes, les entreprises lancent des projets et des programmes. Les responsables de programmes de cybersécurité n’ont pas toujours une formation technique approfondie. Par contre, ils savent comment créer et gérer de nouvelles initiatives destinées à renforcer la sécurité de l’entreprise.

Un exemple de programme commun serait la mise à jour des systèmes avec des correctifs de sécurité sur une base régulière. Lorsque la gestion du programme est mal gérée, vous pouvez oublier des correctifs, comme celui qui a conduit à la violation massive des données chez Equifax et qui a coûté son poste à Richard Smith, son CEO.

Investigations et enquêtes légales

En outres, les CISO sont les «flics» du département cybersécurité, et bon nombre d’entre eux sont issus de la police. Lorsqu’un incident se produit, ils peuvent travailler avec des agences légales extérieures, des sociétés de conseil, des agences gouvernementales ou parfois seuls pour mener des enquêtes judiciaires. Si un employé se fait prendre à envoyer du code source par courrier électronique, ce sont les employés de l’équipe cybersécurité qui prouveront ensemble ce qui s’est produit et qui peuvent ensuite l’auditionner à ce sujet.

Lorsque le Comité national démocrate a mobilisé Crowdstrike et travaillé avec le FBI sur des attaques par courrier électronique présumées au cours de la campagne de 2016, il s’agissait de deux équipes de professionnels des enquêtes qui ont en partie tenté de déterminer qui avait perpétré l’attaque. Les résultats de l’investigation légale sont ceux que vous pouvez lire dans l’acte d’accusation de 12 ressortissants russes publié en juillet dernier par Rod Rosenstein.

Gouvernance

Tout cela peut coûter très cher. Ces employés peuvent aider à gérer le budget et à fournir d’autres types de supervision. Les programmes de sécurité doivent continuer à fonctionner sans quoi ils risquent de ne jamais être finis. Les réglementations changent fréquemment, et des employés doivent être embauchés pour ces postes. Une bonne gouvernance peut impliquer la mise en place d’un cadre basé sur des facteurs importants pour l’entreprise et le bon fonctionnement de l’ensemble de l’organisation de cybersécurité. Un manque de gouvernance peut entraîner de gros problèmes. Par exemple les dirigeants ne sont jamais clairement informés des problèmes informatiques majeurs de leur organisation. Ou encore les hauts responsables ne reçoivent jamais une formation adéquate sur la détection des tentatives de phishing.

En fin de compte, la sécurité concerne les personnes

La profession de sécurité a maintenant bien défini l’ensemble de ces rôles, mais en 1994, Katz était parti de zéro.

Le monde des télécommunications et Internet commençaient tout juste à se développer. Le pirate informatique, Levin, avait tenté de voler 10 millions de dollars. Il avait joué avec le système de transfert de fonds international, qui était exploité sur des lignes téléphoniques.

Des employés de Citi découvrirent la fraude en examinant les transactions par fil. Ils virent les anomalies et remontèrent une alerte rouge à la haute direction.

«Cela montre l’importance des personnes dans le processus global de sécurité de l’information. Votre plus grand risque et votre plus grand atout », a-t-il déclaré.

La police arrêta ensuite Levin à l’aéroport JFK de New York. Un tribunal de district le condamna ensuite à trois ans de prison pour ses crimes.

Sur ces fonds volés, tout a été récupéré, sauf 400 000 dollars, a expliqué Katz. Ce montant est largement inférieur à celui de nombreuses cyber-attaques courantes en 2019.

Les 5 qualités essentielles d’un CISO

L’année dernière, un rapport du Ponemon Institute intitulé «L’évolution du rôle des CISO et leur importance pour l’entreprise» – montrait que le rôle du CISO devenait de plus en plus crucial dans le monde actuel de menaces omniprésentes de cybersécurité, en particulier en matière de gestion des risques de l’entreprise, en déployant des analyses de sécurité et en protégeant les dispositifs Internet of Things (IoT).

Cependant, un autre élément clé du rapport est que le rôle du responsable de la sécurité de l’information s’élargit depuis quelques années. Il est ainsi passé de responsable des services de sécurité (RSSI) à responsable de l’ensemble de l’organisation en matière de sécurité (CISO). Aujourd’hui, ce rôle incarne une position de leader. Celai nécessite une présence au sein la direction, d’excellentes compétences en communication et une pensée vive et organisée. En tant que tel, le CISO doit non posséder une expertise technique et des compétences en leadership. Mais il doit également comprendre les activités de son entreprise et pouvoir exprimer les priorités de sécurité d’un point de vue commercial.

Mais qu’est-ce que cela signifie vraiment pour les responsables de la sécurité de l’information en poste aujourd’hui? Quelles sont les qualités les plus importantes que doivent posséder les CISO pour intégrer la sécurité dans tous les processus métier et assumer le rôle de leader dans une stratégie de sécurité informatique à l’échelle de l’entreprise? Considérons cinq des plus importantes.

1. Il doit comprendre la mission de l’entreprise et aligner la sécurité sur les objectifs de l’entreprise.

Le CISO se confronte au défi de la nécessité de trouver un équilibre la sécurité et les besoins du business. Les entreprises d’aujourd’hui ont besoin d’informations pour pouvoir fonctionner. Certes, un CISO peut créer une forteresse totalement inviolable et indestructible pour protéger l’entreprise. Les informations seront protégées mais elles ne pourront tout simplement pas s’en échapper. Mais une telle forteresse empêchera probablement le business de travailler et l’entreprise de gagner de l’argent.

Un excellent CISO examine la situation dans son ensemble. Il doit aligner ses objectifs sur les objectifs généraux de l’entreprise et sur sa mission actuelle. Son rôle n’est pas de contrôler l’entreprise. Par contre, son rôle est de lui permettre de réaliser ce qu’elle doit accomplir de manière relativement sûre. Cela nécessite de la planification et une bonne communication avec les autres parties prenantes de l’organisation afin de garantir l’efficacité du programme de sécurité et de l’aligner correctement sur les objectifs généraux de l’entreprise. Dans la mesure où la sécurité de l’information est en concurrence avec les autres objectifs de l’entreprise, un bon CISO s’assurera que la stratégie sera validée, approuvée et formalisée par un conseil ou un comité de gouvernance interne composé des parties prenantes de l’informatique et du management.

2. Il doit avoir une présence exécutive et la capacité d’influencer le conseil d’administration

Une grande partie du travail d’un CISO consiste à communiquer directement avec le conseil d’administration. Selon l’étude du Ponemon Institute, 65% des CISO dépendent directement du conseil d’administration. D’après cette étude, 60% sont responsables d’informer l’organisation sur les nouvelles menaces, technologies, pratiques et exigences de conformité. Enfin,  60% sont directement rattachés à la Direction Générale.

Cependant, la majorité des membres du conseil ne comprennent généralement pas le langage de la sécurité de l’information. Cela signifie que le CISO doit avoir la capacité de traduire leurs exigences, leurs objectifs et leurs rapports en des termes qu’un conseil d’administration peut parfaitement comprendre et, au final, développer sa crédibilité et leur confiance.

Cela nécessite une présence de la direction. C’est ce que Harvard Business Review définit comme «la capacité de projeter une confiance en soi mature, un sentiment que vous pouvez prendre le contrôle de situations difficiles et imprévisibles; prenez des décisions difficiles en temps utile et tenez bon avec les autres membres talentueux et volontaires de l’équipe de direction». Un CISO efficace aura donc une présence forte au sein de l’équipe de direction. Il l’utilisera non seulement pour représenter la position de la société en matière de sécurité, mais aussi pour influencer les autres dirigeants de manière cohérente avec les buts et objectifs de sécurité, et pour établir et entretenir des relations de travail efficaces avec tous les membres du conseil d’administration.

3. Il doit posséder des compétences de leadership exceptionnelles

Une bonne sécurité est le résultat d’un effort d’équipe. Il s’agit d’un processus métier continu qui nécessite l’adhésion des employés et des dirigeants de l’ensemble de l’organisation. Le poste de CISO comporte des aspects basés sur la technologie. Cependant, à de nombreux égards, le succès dépend de sa capacité de communiquer, à créer des relations, à déléguer et à diriger par l’influence, par opposition à une poigne de fer.

Il est essentiel que les CISO établissent des relations de confiance plutôt que d’imposer leur autorité sur les employés. La plupart des employés ne se considèrent pas comme une menace à la sécurité de l’entreprise. Mais les actions qu’ils entreprennent, leur prise de conscience des risques et la manière dont ils utilisent leurs propres dispositifs informatiques ainsi que ceux de l’organisation lorsqu’ils sont connectés au réseau sont susceptibles d’ouvrir la voie à des cyberattaques. En tant que tels, les CISO ont une responsabilité en matière d’application. Les bons CISOs, cependant, ne gouverneront pas par décret. A l’inverse, ils donneront aux membres de l’équipe de l’ensemble de l’organisation l’opportunité de prendre une part active à la gestion des risques liés à l’information.

En outre, le CISO doivt clairement définir qui participe à la prise de décision en matière de sécurité. Et son rôle est de veiller à ce que ces personnes disposent également des capacités et des compétences nécessaires pour prendre des décisions en matière de gestion des risques de l’entreprise. La documentation joue ici un rôle clé dans la réduction de la complexité de la synchronisation des rôles et des responsabilités entre les individus et les unités métiers. Le CISO s’assurera qu’il n’y a pas de faille de couverture, que la sécurité est bien gérée à tous les niveaux des départements et que les actifs de la société sont protégés.

4. Il doit se concentrer sur sa propre éducation et sur son développement personnel

Le champ de la cybersécurité évolue constamment et de nouvelles menaces apparaissent en permanence. Les CISO doivent consacrer une part importante de leur activité à la formation continue et à rechercher des sources d’information qui les tiennent au courant de tous les développements en matière de cyber-menaces et de sécurité informatique.

Bien entendu, les enjeux sont extrêmement élevés. Les cybercriminels sont constamment à la recherche de faiblesses dans les organisations qu’ils peuvent cibler. Le CISO doit maintenir un fossé aussi large que possible entre les cybercriminels et les programmes de sécurité de l’organisation. Et cela n’est possible qu’avec un apprentissage continu.

Pour cette raison, chaque CISO doit s’engager dans un développement personnel continu. Cela se traduit dans des programmes de formation et d’éducation pour se familiariser avec les technologies émergentes, les nouvelles exigences de conformité et le besoin perpétuel d’amélioration de la sécurité.

5. Il doit maintenir l’éthique en matière de cybersécurité au premier plan

L’éthique joue un rôle crucial dans toute stratégie de défense rationnelle en matière de cybersécurité. En l’absence de normes et de règles claires, il est pratiquement impossible de distinguer les responsables de la sécurité des criminels contre lesquels ils sont censés protéger les données et les systèmes de l’organisation.

À mesure que le volume de données qu’une organisation collecte sur ses clients, ses prospects, ses employés et d’autres personnes augmente, sa responsabilité de gestion et de protection de ces données augmente également. La confidentialité des données est étroitement liée à la sécurité, et CISO doit mener activement des discussions sur la quantité d’informations personnelles identifiables conservées et sur la quantité de données anonymisées. En outre, le CISO doit mettre en œuvre et appliquer une politique de pratiques éthiques à suivre par le personnel informatique et de sécurité, et réviser cette politique régulièrement conformément aux dernières réglementations et directives.

Le CISO doit également disposer d’un plan de réponse complet en cas d’incident à activer immédiatement en cas d’infraction. Il est important de noter que ce plan doit contenir évidemment des détails techniques sur la manière de réagir. Mail il doit aussi  comporter des instructions pratiques à l’intention des équipes juridiques, qui tiennent également compte de considérations éthiques essentielles. Le temps est bien sûr un facteur important pour réagir à une cyber-attaque. Informer les clients de tout impact, tel que le vol de données et d’informations d’identification, devrait donc faire partie intégrante du plan d’intervention.

Après une cyber-attaque les clients se sentent vulnérables. Aussi, le manque de transparence soulève-t-il logiquement de sérieuses questions sur les normes éthiques de l’entreprise. Une entreprises victime d’une violation de données est souvent sujette à  des poursuites. De plus, elle subira presque toujours des dommages à la réputation. En outre, tout retard sur l’annonce publique peut aggraver ces conséquences.

Conclusion

En résumé, un bon CISO possède un excellent esprit de leadership. Il est capable d’exercer une présence affirmée dans la salle de conseil d’administration. Sa capacité de communiquer efficacement sur la mission de sécurité est primordiale. Il doit également établir des relations solides au sein de l’entreprise. Enfin il est responsable de l’alignement des programmes de sécurité des informations sur les objectifs de l’entreprise. En outre, il doit s’engager pour sa formation continue et son développement personnel. Il doit également placer l’éthique en matière de cybersécurité et la réputation de l’entreprise au centre de toutes ses activités. Les entreprises du monde entier font aujourd’hui face à des menaces de plus en plus sophistiquées. Celles-ci proviennent d’une multitude de sources différentes. Dès lors, un bon CISO doté des compétences et des qualités requises est plus crucial et plus précieux que jamais.

 

En France et dans de nombreux pays francophones, on a l’habitude de nommer un RSSI au lieu d’un CISO. Pourtant le positionnement hiérarchique et les responsabilités sont différents. Qu’en pensez-vous? Merci d’apporter vos réactions et vos expériences en commentaire.

Guide COBIT 2019 : de A jusqu’à Z

COBIT 2019 vient d’être publié par l’ISACA et les certifications commencent tout juste à être disponibles. Pour l’instant seul le niveau Foundation et le Bridge sont proposés. Le reste suivra en Avril. C’est donc le bon moment, me semble-t-il, pour comprendre ce que COBIT 2019 apporte vraiment aux organisations. Il fallait trouver une façon un peu ludique de vous le présenter. J’ai donc choisi cette approche originale d’un guide sous forme d’un abécédaire. Je vous laisse le découvrir en vous amusant et j’attends vos commentaires.

COBIT 2019 - Guide de A jusqu'à Z
Crédit © rawpixel 2019

J’ai déjà eu l’occasion de décrire quelques aspects importants de COBIT 2019, notamment dans mon introduction à COBIT 2019. C’était fin 2018, au moment de la publication des deux premiers volumes par l’ISACA.

COBIT est un cadre conçu pour prendre en charge la gouvernance et la gestion de l’information d’entreprise, incluant les technologies associées. Il aide les organisations à créer de la valeur pour divers groupes de parties prenantes en priorisant leurs besoins. Il aide également les organisations à atteindre leurs objectifs en établissant un partenariat entre l’informatique et le reste de l’entreprise, plutôt que de traiter la DSI comme une entité à part.

Bien sûr, COBIT 2019 va beaucoup plus loin que cela. C’est pourquoi j’écris aujourd’hui cet article afin de donner un aperçu de haut niveau de ce qu’est vraiment COBIT. Cela complète un précédent article : « 10 étapes pour bien démarrer avec COBIT 2019« . Je vous invite également à jeter un coup d’œil à mon dernier article « Atteignez vos objectifs de gouvernance grâce à COBIT 2019 » qui met en lumière les principaux changements entre COBIT 5 datant de 2012 et la nouvelle version améliorée.

Alignement des objectifs

Un des mécanismes essentiels de COBIT est la cascade d’objectifs. Le concept de cascade d’objectifs consiste en une approche descendante qui aide les organisations à créer des objectifs d’entreprise à partir des besoins et facteurs de motivation des parties-prenantes. Ces objectifs d’entreprise (ou objectifs stratégiques) se transforment ensuite en objectifs d’alignement. Dans le domaine informatique, les objectifs d’alignement «mettent l’accent sur l’alignement de tous les efforts informatiques avec les objectifs commerciaux». Enfin, les objectifs d’alignement se transforment en objectifs de gouvernance et de gestion de l’information et des technologies associées (EGIT).

La cascade d'objectifs de COBIT 2019
Crédit © ISACA 2019

Bénéfices pour les parties prenantes

L’ISACA déclare qu ’«… une majorité d’entreprises indiquent que moins de la moitié de leurs initiatives informatiques apportent réellement les avantages attendus

Si vous travaillez dans l’informatique (ou tout autre service dépendant des services informatiques), vous avez sûrement dû rencontrer, par exemple, un produit technologique acheté et installé avec toutes les promesses du monde. Mais vous constaterez que finalement, il ne livre pas ce qui était attendu. Le but recherché c’est la réalisation des bénéfices commerciaux et c’est ce que COBIT aide les organisations à faire: utiliser les technologies de l’information pour obtenir les résultats souhaités.

Composants de gouvernance de COBIT 2019

Dans COBIT 2019, des composants – vous les connaissez peut-être en tant que facilitateurs ou « enablers » dans COBIT 5 – existent pour aider une entreprise à gouverner et gérer avec succès son information et la technologie associée. Le but de chaque composant est défini par les objectifs d’alignement de l’organisation dans le cadre d’un processus en cascade d’objectifs. 

Dans COBIT, il y a sept composants:

  1. Les processus
  2. Structures organisationnelles
  3. Les flux d’information et éléments
  4. Personnes, aptitudes et compétences
  5. Politiques et procédures
  6. Culture, éthique et comportement
  7. Services, infrastructure et applications.

Ces sept composants fonctionnent ensemble pour garantir que l’objectif de gouvernance est en adéquation avec la stratégie de l’organisation.

DevOps

COBIT 2019 intègre désormais explicitement DevOps. DevOps illustre à la fois une variante de composant et une zone d’intérêt. Pourquoi? DevOps est un thème actuel sur le marché et nécessite certainement des orientations spécifiques. Cela en fait donc une zone d’intérêt (Voir la lettre Z).

DevOps comprend un certain nombre d’objectifs génériques de gouvernance et de gestion du modèle central COBIT, ainsi qu’un certain nombre de variantes de processus et de structures organisationnelles liés au développement, aux opérations et à la surveillance. DevOps nécessite également la mise en place d’une certaine culture et d’une  attitude d’ouverture d’esprit, de partage des compétences ainsi que sortir les équipes de leur zone de confort. De même DevOps nécessite une certain niveau d’automatisation (services, infrastructures et applications). Il est clair que DevOps constitue une zone d’intérêt, priorisée parmi les premières et en cours de développement.

Economique et efficient

COBIT vise à maintenir la conformité des organisations et à réduire les risques au sein de l’informatique, ce qui peut les aider à économiser de l’argent. Par exemple, être exposé à un risque particulier pourrait entraîner des conséquences très coûteuses et indésirables pour une entreprise, tant sur le plan financier que sur le plan de la réputation.

Il aide également à traduire les besoins des parties prenantes en objectifs et utilise des méthodes approfondies (telles que les tableaux de bords équilibrés mentionnée ci-dessous) pour garantir que les activités opérationnelles restent sur la bonne voie (performances) et restent alignées sur la vision de l’entreprise. Cela aussi permet d’économiser de l’argent à long terme, car l’argent n’est pas gaspillé pour des activités ou des processus qui n’apportent aucune valeur à l’organisation.

Facteurs de conception

Les facteurs de conception sont des facteurs qui peuvent influer sur la conception du système de gouvernance d’une entreprise et la positionner de manière appropriée pour réussir dans l’utilisation de son SI.

COBIT répartit les facteurs de conception dans11 catégories qui peuvent d’ailleurs se combiner entre eux.

Les facteurs de conception de COBIT 2019
Crédit © ISACA 2019

Gouvernance de l’information et des technologies

L’objectif principal de COBIT 2019 est de fournir aux entreprises des lignes directrices sur la gouvernance ET la gestion de l’information et des technologies de l’information d’entreprise.

COBIT considère ces disciplines comme des domaines distincts et les traite donc comme tels. L’aspect gouvernance de COBIT aide les organisations à rester en conformité et à réduire les risques liés à l’informatique. La direction doit ensuite planifier, élaborer, exécuter et surveiller les activités conformément à l’orientation fournie par la gouvernance pour atteindre les objectifs de l’organisation.

Hollistique

Le cadre permet une approche globale de la gouvernance et de la gestion de l’informatique d’entreprise. Le tableau de bord équilibré (décrit à la lettre T) aide à faire correspondre les objectifs de l’informatique à ceux de l’organisation et montre leur lien avec les objectifs de gouvernance de COBIT.

En utilisant cette approche globale, c’est-à-dire en fusionnant informatique et business, les relations entre l’organisation et les TI peuvent être considérablement améliorées. L’informatique devient alors une partie intégrante de l’entreprise au lieu d’être traitée comme une entité distincte.

Intégré (cadre de gouvernance et de management)

L’un des principes sous-jacents de COBIT est qu’il s’intègre bien à d’autres référentiels et normes du secteur, tels que ISO, ITIL, TOGAF, PMBOK, SFIA, etc..

Le point important, c’est qu’il ne cherche pas à remplacer d’autres cadres. Au lieu de cela, les autres cadres devraient être utilisés ensemble pour atteindre les résultats souhaités. COBIT aide également les entreprises à utiliser pleinement les cadres qui sont peut-être déjà en place. Considérez-le donc comme un cadre global permettant de les intégrer.

aJustable aux organisations

Chaque entreprise se distingue des autres par de nombreux aspects: taille, secteur, environnement réglementaire, spectre des menaces, rôle de l’informatique dans l’organisation, choix tactiques liés à la technologie, etc.

COBIT les désigne collectivement comme des « facteurs de conception » – (voir F comme facteurs de conception).

Les organisations doivent adapter leur système de gouvernance pour tirer le meilleur parti de l’utilisation de leur SI. Il n’existe pas de système de gouvernance unique pour l’information et la technologie d’entreprise qui convienne à tous.

La personnalisation signifie qu’une entreprise part du modèle central COBIT et applique des modifications à ce cadre générique. La réalisation de ces modifications intervient en fonction de la pertinence et de l’importance d’une série de facteurs de conception.

Ce processus s’appelle «conception du système de gouvernance de l’information et de la technologie d’entreprise».

Kanban et autres méthodes agiles

Dans sa conception même, COBIT 2019 intègre les concepts issus des méthodes agiles (Kanban, SAFE, Scrum, Lean IT, DevOps). Il s’adapte donc à toute organisation souhaitant améliorer son agilité business sur la base de son système d’information et de la technologie associée.

Lois et réglementations

Le monde du droit et de la réglementation peut être très déroutant et difficile à maîtriser. Comme dans le monde des technologies, les choses peuvent évoluer très rapidement.

COBIT peut aider les organisations à rester en conformité. En effet, il s’aligne sur les normes de gouvernance acceptées dans le monde entier. Il s’appuie également sur les lois, les réglementations et les accords contractuels, et facilite l’élaboration de politiques internes en matière de conformité.

Mapping

C’est certainement un mot que nous pouvons associer à COBIT, car la cartographie apparaît dans plusieurs domaines:

  • Les objectifs sont mis en correspondance avec les objectifs de gouvernance du tableau de bord équilibré
  • Les besoins des parties prenantes sont mis en correspondance avec les objectifs de l’entreprise
  • Le cadre COBIT peut être mappé sur d’autres cadres, travaillant ensemble pour réussir.

Nouveautés de COBIT 2019

La publication de COBIT 2019 date de novembre 2018. Il contient un certain nombre d’éléments nouveaux, modifiés et mis à jour. J’ai déjà mentionné les composants, les zones d’intérêt et les facteurs de conception. Le management de la performance dans COBIT 2019 est un autre exemple qu’on doit mentionner. Il examine le fonctionnement du système de gouvernance et de gestion de votre organisation, ainsi que de tous les composants.

Pour connaître le détail des nouveautés de COBIT 2019, je vous invite à lire un de mes précédents articles : COBIT 2019 – Les nouveautés.

Objectifs de gouvernance et de management

Les objectifs de Gouvernance et de Management sont maintenant au nombre de 40. Chaque objectif est supporté par un processus qui sera associé aux autres composants permettant d’atteindre cet objectif. Les objectifs se répartissent en cinq domaines.

COBIT 2019 : domaines des objectifs de gouvernance et de management

Performance (management de la)

Le management de la Performance COBIT (CPM) fait référence au fonctionnement du système de gouvernance et de gestion et de tous les composants d’une entreprise, ainsi qu’à la manière les améliorer au niveau requis. Il inclut des concepts et des méthodes tels que les niveaux de capacité et les niveaux de maturité. COBIT 2019 repose sur les principes suivants:

  • Simple à comprendre et à utiliser
  • Conformité avec le modèle conceptuel COBIT, et prise en charge de ce modèle
  • Fournir des résultats fiables, reproductibles et pertinents
  • Doit être flexible
  • Devrait supporter différents types d’évaluations

Le modèle CPM s’aligne largement sur les concepts CMMI® Development 2.0 et les étend:

  • Les activités de processus sont associées à des niveaux de capacité. Ceci est inclus dans le guide COBIT: Objectifs de gouvernance et de gestion.
  • D’autres types de composants de gouvernance et de gestion (structures organisationnelles, informations, par exemple) peuvent également avoir des niveaux de capacité définis pour eux dans les futures directives que l’ISACA pourrait publier.
  • Les niveaux de maturité sont associés à des zones d’intérêt (c’est-à-dire un ensemble d’objectifs de gouvernance et de gestion et des composants sous-jacents) et seront atteints si tous les niveaux de capacité requis sont atteints.

Qualité de l’information

Toute organisation ayant besoin de technologie pour conserver et transmettre ses informations peut utiliser COBIT. Il fournit des conseils sur les systèmes d’information de l’organisation afin de s’assurer qu’ils sont conformes, sécurisés et fiables. De plus, COBIT fournit aux entreprises les informations dont elles ont besoin pour comprendre, utiliser et gérer les processus et l’infrastructure informatiques.

Risque et ressources optimisées pour créer de la valeur

L’objectif principal de COBIT en matière de gouvernance est défini comme suit: «création de valeur», basée sur trois éléments:

  1. Réalisation des bénéfices – la citation, «la seule raison valable d’investir dans un changement fondé sur la technologie est de générer des bénéfices» est un bon point de départ pour décrire cet élément.
  2. Optimisation des risques – il existe deux types de risques, le mauvais et le bon. L’optimisation des risques consiste à éviter autant que possible les mauvais risques et à rechercher de manière proactive les bons risques qui rapporteront.
  3. Optimisation des ressources: il s’agit de veiller à ce que le service informatique dispose des ressources appropriées pour atteindre les objectifs de l’entreprise. Cela comprend la technologie, les ressources humaines et les processus. Il se concentre sur l’optimisation de ces ressources pour une fourniture efficace et cohérente de services informatiques. Et, sans les ressources adéquates en place, les organisations peuvent gaspiller de l’argent, laisser tomber les consommateurs et nuire au moral du personnel.

Le cadre aide à trouver le meilleur équilibre entre ces facteurs, de manière à ce que chaque groupe de parties prenantes puisse bénéficier d’une valeur optimale.

Système de gouvernance pour la transformation numérique

La nouvelle version mise à jour de COBIT reconnaît que la transformation numérique modifie le mode de travail des entreprises. Elle indique qu’il n’est plus acceptable que le conseil d’administration d’une organisation «délègue, ignore ou évite des décisions relatives à l’information et à la technologie». L’information et la technologie sont des outils essentiels dans un monde numérique. Les conseils d’administration et les cadres supérieurs doivent donc être étroitement associés. alors même que la création de valeur dépend de plus en plus de la numérisation.

Tableaux de bord équilibrés (BSC)

Le système de tableaux de bord équilibrés (Balanced Score Cards) est utilisé depuis de nombreuses années dans les entreprises pour aider les organisations à suivre leurs activités opérationnelles et s’assurer qu’elles s’efforcent de respecter la vision, la mission et les objectifs de l’entreprise. COBIT apporte le système de tableaux de bord équilibrés au service informatique pour aider à aligner les objectifs informatiques sur les besoins de l’entreprise.

Le tableau de bord équilibré (BSC) lui-même comporte quatre dimensions:

  1. Financier (l’organisation travaille-t-elle dans les limites de son budget et réalise-t-elle un bénéfice?)
  2. Client (l’organisation fournit-elle des services / produits que le client aime?)
  3. Interne (l’organisation optimise-t-elle tous ses processus pour fournir ses services de manière efficace?)
  4. Apprentissage et croissance (l’organisation est-elle en constante amélioration?)

Les objectifs de COBIT se répartissent sur les quatre dimensions des BSC. Le cadre précise si la relation de chaque objectif est primaire ou secondaire par rapport aux objectifs de gouvernance de COBIT. L’objectif de gouvernance est, rappelons-le la réalisation de bénéfices, l’optimisation des risques et l’optimisation des ressources.

Utilisateurs mieux satisfaits

Avec COBIT, les besoins des utilisateurs professionnels sont analysés et intégrés à des objectifs. Cela les aide à accroître leur satisfaction à la fois de l’utilisation des services (car ceux-ci répondent désormais à leurs besoins) et de l’interaction avec les technologies de l’information (parce qu’ils sont pris en compte dans le développement du processus). Dès lors, le cadre, ainsi que d’autres éléments, aident le service informatique à fournir la meilleure expérience utilisateur possible.

Valeur assurée pour les parties prenantes

Les parties prenantes sont toujours le point de départ de COBIT. L’analyse des parties prenantes consiste notamment à déterminer qui elles sont, ce dont elles ont besoin et ce qu’elles veulent.

Il est important ensuite de différencier leurs besoins et leurs désirs. Les désirs sont souvent «agréables à avoir», ce qui n’est tout simplement pas réalisable. Par contre, les besoins sont des exigences. L’organisation doit impérativement les satisfaire afin de fournir une valeur aux parties prenantes. En effet, comme le dit COBIT, la création de valeur est la raison pour laquelle les organisations existent.

Worldwide

Des entreprises du monde entier utilisent COBIT comme cadre de gouvernance. Reconnu dans le monde entier, il peut être mis en œuvre dans toute organisation qui s’appuie sur l’information et la technologie pour faciliter ses opérations commerciales. L’ISACA met à disposition des utilisateurs, sur son site web un document montrant les principales utilisations de COBIT comme cadre de gouvernance ou d’audit dans les différents pays du monde.

eXemples de mise en oeuvre

Se voulant clairement moins théorique que la version précédente, la documentation de COBIT 2019 inclut désormais de nombreux exemples destinés aux responsable de la conception et de la mise en oeuvre d’un système de gouvernance spécifique dans leur organisation. COBIT 2019 apparaît désormais comme une boîte à outils directement utilisable dans toute organisation.

Yes you can

Pour reprendre la devise du Président Obama, vous pouvez, vous aussi participer à l’évolution de COBIT 2019.

COBIT a été développé à l’origine par l’ISACA. L’ISACA est  une association professionnelle indépendante à but non lucratif regroupant plus de 140 000 professionnels de la gouvernance, de la sécurité, des risques et de l’assurance dans 187 pays.

L’ISACA a choisi un modèle «open source» pour COBIT 2019. Les utilisateurs ont donc désormais la possibilité de fournir de manière proactive un retour d’information et de proposer des améliorations, et de nouvelles évolutions qui seront publiées au besoin.

Zones d’intérêt

Une zone d’intérêt (focus area) décrit un sujet, un domaine ou un problème de gouvernance qui peut être traité par un ensemble d’objectifs de gouvernance et de gestion et leurs composants.

Les zones d’intérêt peuvent contenir une combinaison de composants de gouvernance génériques et de variantes.

Le nombre de zones d’intérêts est pratiquement illimité. C’est ce qui rend COBIT ouvert. L’ajout de nouvelles zones d’intérêt interviendra à la demande ou avec la contribution d’experts et de praticiens.

Les 4 zones d’intérêts actuellement priorisées et en cours de publication sont :

  • Petites et moyennes entreprises,
  • Cybersécurité,
  • Risques,
  • DevOps

Voici donc mon abécédaire de COBIT 2019, de A jusqu’à Z. Je ne vous cache pas que cela n’a pas été facile de trouver les mots adéquats pour certaines lettres rarement utilisées en français (K, W, Y, Z par exemple). J’ai essayé d’inclure les modifications de la version 2019 autant que possible. Pensez-vous qu’il faudrait ajouter d’autres sujets? N’hésitez pas à laisser vos remarques et commentaires. Nous vous en remercions.

Top 10 des certifications qui paient

2019 vient de commencer et déjà les tendances sur les certifications qui paient le mieux commencent à émerger. Cette année marque un tournant complet en tête du classement. Vous souhaitez investir dans une formation et une certification? Voici donc le top 10 des certifications qui paient en 2019.

Top 10 des certifications qui paient en 2019
Crédit © rawpixel.com 2019

Chaque année, en février, Global Knowledge publie sa liste annuelle de certifications informatiques les mieux rémunérées. Cette liste reflète les philosophies changeantes et les tendances technologiques ayant un impact considérable sur les départements informatiques. Il s’agit là des tendances constatées des États-Unis. Cependant, chacun sait que la tendance aux USA ne fait que précéder ce qui se passe ensuite en France et, à plus long terme, en Afrique. Il faut donc considérer cette liste comme une pré-tendance. Le rapport définitif concernant l’Europe et l’Afrique ne sera publié que vers le milieu de l’année. Nous y reviendrons donc à ce moment.

Les certifications les mieux payées de cette année révèlent une forte poussée sur des sujets bien particuliers tels que l’informatique en nuage, la cybersécurité, les réseaux et la gestion de projets. De fait, le cloud et la gestion de projet prennent les cinq premières places.

Les certifications les plus recherchées et les mieux payées

Voici donc le classement des 10 certifications les mieux payées en 2019 sur le territoire Américain.

  1. Google Certified Professional Cloud Architect
  2. Project Management Professional (PMP)
  3. Certified ScrumMaster
  4. AWS Certified Solutions Architect – Associate
  5. AWS Certified Solutions Developer – Associate
  6. Microsoft Certified Solutions Expert (MCSE): Server Infrastructure
  7. ITIL Foundation
  8. CISM – Certified Information Security Manager
  9. CRISC – Certified in Risk and Information Systems Control
  10. CISSP – Certified Information Systems Security Professional

1. Google Certified Professional Cloud Architect

Cette certification a vu le jour en 2007. Elle permet aux professionnels de l’informatique de se qualifier en tant qu’architecte cloud sur la plateforme GCP (Google Cloud Platform). Elle démontre la capacité de concevoir, développer et gérer une architecture cloud sécurisée, évolutive et fiable à l’aide des technologies Google Cloud Platform (GCP).

C’est la première année que GCP Cloud Architect apparaît en tête de la liste de certifications les mieux rémunérées. Les compétences en cloud sont essentielles pour presque toutes les organisations. En général, les emplois dans le domaine de l’infonuagique rapportent plus de 100 000 dollars par an aux États-Unis. De plus, les décideurs ont toujours du mal à pourvoir tous les postes vacants dans ce domaine. Ce sont deux raisons pour lesquelles GCP a fait sensation lors de ses débuts.

Comment vous certifier?

L’examen de certification s’adresse à un architecte qui doit comprendre quelle solution convient le mieux à un scénario donné. Il n’y a pas de questions dédiées à une utilisation spécifique du produit. L’examen doit être passé en personne dans un centre de test Kryterion.

Quel salaire pouvez-vous espérer?

Aux USA, le salaire annuel moyen pour les titulaires de cette certification est de 139.529 $ (soit environ 123.000 Euros).

2. Project Management Professional (PMP)

PMP a été créé et est administré par le Project Management Institute (PMI). Il s’agit de la certification la plus importante reconnue par l’industrie, aux USA, pour les gestionnaires de projets. Elle offre aux employeurs et aux clients l’assurance qu’un chef de projet possède à la fois l’expérience et les connaissances nécessaires pour définir, planifier et exécuter efficacement leurs projets. La détention du PMP est souvent le facteur de différenciation clé dans la sélection des personnes à engager ou à qui confier d’importantes initiatives de projets organisationnels.

Pour plus d’informations sur le PMP, je vous invite à consulter un de mes précédents articles : PRINCE2 vs PMP : quelle méthode de gestion de projets choisir?

Comment vous certifier?

La certification PMP repose sur deux facteurs: l’expérience de la gestion de projet et le succès des examens. Pour obtenir leur certification, les personnes doivent suivre 35 heures de formation de préparation au PMP. De plus, ceux qui ont moins d’un bac+3 doivent avoir 7500 heures d’expérience en gestion de projet, tandis que ceux qui ont un bac+3 ou plus doivent en avoir 4500. Pour devenir certifié, vous devez postuler sur le site Web de PMI. Ensuite, une fois votre candidature approuvée, vous pouvez vous inscrire à l’examen via Prometric.

Pour conserver la certification PMP, 60 unités de développement professionnel (PDU, similaires aux CPE ou CPD des autres certifications) sont nécessaires tous les trois ans.

Quel salaire pouvez-vous espérer avec un PMP?

Aux USA, le salaire moyen d’un chef de projet certifiés PMP est de 135.798 $ (soit environ 120.000 Euros).

3. Certified ScrumMaster

L’obtention d’une certification Certified ScrumMaster confirme que vous comprenez la méthodologie Agile Scrum et que vous maîtrisez la mise en pratique de Scrum. Un ScrumMaster certifié dirige une équipe et l’aide à travailler ensemble pour apprendre le framework Scrum et à atteindre son plus haut niveau de performance. Le ScrumMaster élimine également les perturbations internes et externes qui pourraient nuire à la réalisation des objectifs. L’obtention de cette certification vous fait bénéficier d’une adhésion de deux ans à Scrum Alliance.

Certified ScrumMaster figurait au huitième rang de la liste des certifications les mieux payées de l’année dernière. Elle monte donc de 5 places dans le classement. Ceci traduit une demande en forte progression de professionnels certifiés face à une offre de certifiés encore assez faible.

Comment vous certifier?

La certification ScrumMaster certifié a été créée et est gérée par Scrum Alliance. Elle oblige l’intéressé à suivre le cours de deux jours de préparation à la certification ScrumMaster®. Après avoir réussi ce cours, vous devrez réussir l’examen.

La certification est valable deux ans à compter de la date de certification initiale. Le renouvellement de votre certification, requiert d’obtenir 40 unités d’éducation Scrum (SEU) au cours de chaque période de deux ans.

Quel salaire pouvez-vous espérer avec une certification ScrumMaster?

Aux USA, en 2019, le salaire annuel moyen d’un ScrumMaster certifié s’établit à 135.441 $ (soit environ 120.000 Euros).

4. AWS Certified Solutions Architect – Associate

L’examen de niveau associé AWS Certified Solutions Architect témoigne de l’expertise d’une personne dans la conception et le déploiement de systèmes évolutifs sur AWS. Il n’est donc pas surprenant que cette certification figure de nouveau dans le top 5 en raison du besoin du marché en architectes de solutions AWS qualifiés et certifiés. Cette certification existe depuis plusieurs années et montre l’ampleur de la demande d’année en année en raison de la croissance du cloud.

Il s’agit de l’étape préalable à l’obtention de la certification AWS Certified Solutions Architect – Professional.

Comment vous certifier?

Pour pouvoir passer la certification, vous devez avoir une expérience pratique avec l’environnement AWS (Amazon suggère six mois ou plus). L’examen est informatisé et proposé dans les centres de test PSI. L’examen de certification AWS Certified Solutions Architect – Associate aborde divers sujets, dont la conception sur AWS, la sélection des services AWS appropriés pour une situation donnée, l’entrée et la sortie de données vers et depuis l’environnement AWS, l’estimation des coûts AWS et la détermination des coûts. des mesures de contrôle.

Quel salaire pouvez vous espérer?

Le salaire moyen aux USA, en 2019, d’un AWS Certified Solutions Architect – Associate est de 132.840 $ (soit environ 117.000 Euros).

5. AWS Certified Developper – Associate

Cette certification fait partie du top cinq pour la deuxième année consécutive. Elle valide l’expertise technique dans le développement et la maintenance d’applications sur AWS, par opposition à la conception de la solution avec la certification Solutions Architect. L’obtention de la certification AWS Certified Developer démontre la capacité à utiliser efficacement les kits SDK AWS pour interagir avec des services dans des applications et écrire du code qui optimise les performances des applications AWS.

L’explosion de popularité de la certification AWS Certified Developer est directement liée à la croissance rapide des entreprises développant des applications en nuage afin de développer rapidement leur empreinte et de rester compétitives. Cela est également lié à l’explosion exponentielle des objets connectés (IoT) et du développement mobile, dont une grande partie est soutenue par des ressources dans le cloud.

Comment vous certifier?

Pour être certifié, vous devez justifier d’une expérience pratique d’un ou de plusieurs langages de programmation, ainsi que de l’environnement AWS (Amazon demande une durée minimum de six mois ). L’examen est informatisé et proposé dans les centres de test PSI, comme tous les examens AWS. L’examen de certification AWS Certified Developer – Associate aborde un grand nombre de sujets, notamment l’utilisation des SDK pour interagir avec les services AWS, la sélection des services AWS appropriés pour une situation donnée, la création d’un code optimisant les performances des services AWS utilisés dans une application et la sécurité du codage. pour accéder aux services AWS.

Quel salaire pouvez vous espérer?

En 2019, toujours aux USA, le salaire annuel moyen d’un certifié AWS Developper – Associates s’établit à 130.369 $ (soit environ 115.000 Euros).

6. Microsoft Certified Solutions Expert (MCSE) : Server Infrastructure

Cette certification a été retirée en 2017, mais elle n’expire pas pour ses détenteurs. Elle a été remplacée par la certification MCSE: Cloud Platform and Infrastructure. À la fin de 2018, Microsoft a commencé un virage important, passant des certifications axées sur la technologie aux certifications basées sur les rôles. En conséquence, MCSE: plate-forme et infrastructure cloud a été retiré et divisé en quatre certifications différentes, dont trois se concentrant sur les rôles d’administrateur Azure, de développeur et d’architecte de solutions et sur l’infrastructure de base MSCE: Core, qui est plus proche de la priorité locale de MCSE: infrastructure de serveur.

Microsoft a sauté dans le jeu de la certification cloud avec les deux pieds. L’augmentation exponentielle de la demande de spécialistes en cloud qualifiés, associée à une stratégie multi-cloud utilisée par la plupart des entreprises, a permis aux nouvelles certifications Azure basées sur des rôles de pénétrer le marché avec une demande exceptionnellement élevée.

Comment vous certifier?

Bien qu’il y ait maintenant plus d’options pour ceux qui avaient autrefois convoité MCSE: Infrastructure de serveur, ces options sont maintenant définies plus clairement. La stratégie de gestion de la charge de travail de votre entreprise (et dans le cas d’une stratégie centrée sur le cloud, votre rôle) déterminera les nouvelles certifications que vous rechercherez. Une stratégie sur site s’adapte à la nouvelle infrastructure MCSE: Core Infrastructure, tandis qu’une stratégie cloud s’adresse à un rôle: administrateur, développeur / ingénieur cloud ou architecte de solutions cloud. L’ajout de rôles supplémentaires est prévu dans le futur.

Quel salaire pouvez vous espérer avec une certification MCSE?

Actuellement, aux USA, le salaire moyen d’une personne certifiée MCSE est de l’ordre de 121.288 $ (soit environ 107.000 Euros).

7. ITIL Foundation

Au cours des 30 dernières années, ITIL est devenu le cadre de gestion informatique le plus largement utilisé dans le monde. Pourquoi? Il s’agit d’un ensemble de meilleures pratiques permettant d’aligner les services fournis par le système informatique sur les besoins de l’organisation. Il couvre tout, de la gestion de la disponibilité et des capacités à la gestion des changements et des incidents, en plus de la gestion des applications et des opérations informatiques.

Et cette année, ITIL vient d’être mise à niveau. ITIL 4 sort ce mois-ci et s’aligne sur les nouvelles méthodes de travail accompagnant la révolution numérique, telles que DevOps, Agile et Lean IT.

ITIL 4 Foundation est la certification d’entrée de gamme ITIL et fournit un aperçu de haut du modèle central et de ses composantes.

Cette certification est acceptée comme un cadre pour la gestion des services TI. En tant que telle, elle diffère des autres certifications de cette liste. Elle est également l’une des rares à se focaliser sur la co-création de valeur par les métiers et l’informatique .

Comment se certifier?

Pour obtenir la certification, vous devez simplement réussir l’examen. Il n’y a pas d’autres conditions préalables pour l’examen Foundation. La réussite de cette certification constitue toutefois un pré-requis à la poursuite des cours ITIL de niveau supérieur

Quel salaire pouvez-vous espérer avec une certification ITIL Foundation?

En 2019, aux USA, le salaire annuel moyen d’une personne titulaire d’une certification ITIL Foundation (v3 ou 2011) s’établit à 120.766 $ (soit environ 106.500 Euros).

8. CISM – Certified Information Security Manager

L’ISACA a créé et maintient la certification CISM. Il s’agit d’une certification axée sur le management, destinée aux professionnels qui construisent et gèrent la sécurité des informations d’une entreprise. Le CISM encourage les meilleures pratiques en matière de sécurité internationale. Le CISM s’adresse typique aux rôles de CISO et de RSSI. Pour en savoir plus, je vous invite à lire un de mes précédents articles : CISM vs CISSP.

Comment vous certifier?

L’examen est proposé chaque année au cours de plusieurs périodes de test désignées et est assisté par ordinateur. L’inscription se fait via le site Web ISACA, ainsi que par un localisateur d’examens. L’examen se déroule dans les centres PSI.

Cette certification nécessite également au moins cinq ans d’expérience dans le domaine des systèmes d’information, dont au moins trois en tant que responsable de la sécurité. Votre expérience doit avoir été acquise dans les 10 ans précédant l’examen. Si vous n’avez pas l’expérience requise, vous disposez de cinq ans suivant la réussite à l’examen pour l’acquérir. Il existe quelques équivalences à l’exigence d’expérience pour cette certification. Des crédits de formation continue (CPE) sont nécessaires chaque année pour maintenir votre certification.

Quel salaire pouvez-vous espérer avec un CISM?

Le salaire moyen annuel, en 2019 aux USA, d’un CISM est de 118.412 $ (ce qui équivaut à environ 104.500 Euros).

9. CRISC – Certified in Risk and Information Systems Control

L’ISACA propose et gère également cette certification. CRISC est la meilleure certification en termes de maîtrise des risques. Des professionnels certifiés CRISC aident les organisations à comprendre les risques de l’entreprise et possèdent les compétences nécessaires pour mettre en œuvre, développer et gérer des contrôles de systèmes d’information.

Comment vous certifier?

Pour obtenir la certification CRISC, vous devez avoir au moins trois ans d’expérience dans au moins deux des quatre domaines couverts par la certification et vous devez réussir l’examen. L’expérience doit être acquise au cours des 10 années précédentes ou au plus cinq ans après avoir réussi l’examen. L’examen n’est proposé que pendant les fenêtres désignées chaque année et est assisté par ordinateur. L’inscription se fait via le site web ISACA. Utilisez le localisateur CBT pour trouver un site de test chez PSI.

De plus, des crédits de formation professionnelle continue (CPE) sont nécessaires chaque année pour conserver votre certification. L’obtention de la certification CRISC nécessite des efforts continus et des années de planification. Toutefois il s’agit d’une certification de premier plan depuis des années. Et avec la le développement continu de l’informatique nuagique, elle restera très demandée dans les années à venir.

Quel salaire pouvez-vous espérer avec un CRISC?

En 2019 aux USA, le salaire moyen annuel pour une personne titulaire de la certification CRISC est de 117.395 $ (soit environ 103.500 Euros).

10. CISSP – Certified Information Systems Security Professional

Proposé par le consortium indépendant ISC (International Information Systems Security Certification) ² le CISSP est conçu pour démontrer son expertise en matière de sécurité. Comme pour les autres certifications liées à la sécurité, la demande est forte. Et elle devrait le rester pendant de nombreuses années encore.

CISSP est un indicateur largement reconnu de connaissances, d’expérience et d’excellence figurant sur le CV de nombreux professionnels de l’informatique. Le CISSP n’est pas simplement une recommandation émanant de groupes industriels. Il a atteint une position respectée en tant que certification IT importante. L’importance de cette certification notable se traduit par son apparition sur un nombre important d’offres d’emploi. Effectuer une recherche d’emploi révèle qu’un nombre impressionnant de postes en TI et en sécurité exigent que les candidats soient certifiés CISSP.

Comment se certifier?

L’examen est disponible dans les centres de test Pearson Vue. Les candidats au CISSP doivent avoir au moins cinq ans d’expérience rémunérée à temps plein dans au moins deux des huit domaines du CISSP. Si vous n’avez pas d’expérience professionnelle, vous pouvez toujours obtenir le titre de partenaire (ISC) ² en passant l’examen tout en cherchant à obtenir la certification complète. Vous aurez jusqu’à six ans pour compléter l’expérience requise.

L’examen porte sur huit domaines de la sécurité informatique, notamment la sécurité et la gestion des risques, la sécurité des communications et du réseau, la sécurité du développement de logiciels, la sécurité des actifs, l’architecture et l’ingénierie de la sécurité, la gestion des identités et des accès, l’évaluation et les tests de sécurité et les opérations de sécurité. Pour rester certifiés, les CISSP doivent obtenir chaque année des crédits de formation professionnelle continue (CPE).

Quel salaire pouvez-vous espérer avec un CISSP?

Le salaire annuel moyen d’un CISSP, en 2019 aux USA, s’établit à 116.900 $ (soit un peu plus de 103.000 Euros).

.

Top 5 des types de cyber-attaques en 2019

Votre entreprise risque d’être la victime de cyber-criminels. Afin de vous permettre de mieux cerner les menaces de sécurité auxquelles vous êtes exposés, en voici le top 5 en 2019. Pour chaque catégorie de cyber-attaque, je vous propose également quelques contre-mesures possibles.

Top 5 des types de cyber-attaques en 2019
Crédit © rawpixel.com 2019

Une cyber-attaque consiste en tout type d’action offensive qui cible des systèmes informatiques, des infrastructures, des réseaux informatiques ou des dispositifs informatiques personnels. Les cyber-criminels utilisent des méthodes diverses pour voler, modifier ou détruire des données ou des systèmes d’information.

En 2019, selon le dernier rapport d’IBM, chaque entreprise dans le monde à une probabilité de 28% de subir une cyber-attaque.De plus, le coût moyen d’une violation de données s’élève à 3,4 millions de dollars. Il est donc préférable de connaître le risque auquel vous êtes exposé si vous voulez mieux vous prémunir. A chaque type d’attaque correspondent une ou plusieurs réponses permettant de réduire le risque. Nous vous proposons ici le top 5 des cyber-attaques que vous avez le plus de risque de devoir affronter.

1. Attaque par déni de service (DoS) ou par déni de service distribué (DDoDS)

Une attaque par déni de service surcharge les ressources d’un système. Elle l’inonde de demandes au delà de sa capacité maximum.. Ainsi, le système ne peut plus répondre aux demandes de service des utilisateurs autorisés. Une attaque DDoS est aussi une attaque sur les ressources du système. Mais elle est lancée à partir d’un grand nombre d’autres machines hôtes infectées par des logiciels malveillants contrôlés par l’attaquant (botnet).

Contrairement aux attaques qui sont conçues pour permettre à l’attaquant d’obtenir ou d’augmenter l’accès, le déni de service ne procure pas d’avantages directs aux attaquants. La satisfaction du déni de service est une motivation pour certains. Cependant, si la ressource attaquée appartient à un concurrent, alors l’avantage pour l’attaquant peut être tout à fait réel. Mais souvent, l’objectif d’une attaque DoS est de mettre un système hors ligne pour qu’une autre attaque puisse être lancée simultanément. L’attaque DoS sert ainsi à masquer la véritable attaque qui se déroule en parallèle. Vous pourrez retrouver ce point dans un de mes précédents articles décrivant la chaîne cyber criminelle (cyber kill chain). Un exemple courant est le détournement de session, que je décrirai plus tard.

Pour tout savoir sur les attaques de type DoS et DDoS, vous pouvez également télécharger cet excellent document de l’ANSSI : Comprendre et anticiper les attaques DDoS.

Il existe différents types d’attaques DoS et DDoS ; les plus courantes sont l’attaque TCP SYN flood, teardrop attack, smurf attack, ping-of-death attack et l’utilisation des botnets.

Attaque TCP SYN Flood

Ici, les cyber-criminels exploitent l’espace tampon à l’initialisation d’une session TCP (Transmission Control Protocol). Le dispositif de l’attaquant inonde la petite file d’attente du système cible de demandes de connexion (SYN). Mais lorsque le système cible répond à ces demandes, le dispositif de l’attaquant ne réagit pas. Le système cible se trouve alors bloqué en attente de la réponse. En générant suffisamment de connexions incomplètes de ce type, il est possible de surcharger les ressources du système et ainsi de l’empêcher d’accepter de nouvelles requêtes, avec pour résultat un déni de service.

Contre-mesures possibles :

  • Placez les serveurs derrière un pare-feu configuré pour arrêter les paquets SYN entrants.
  • Augmentez la taille de la file d’attente de connexion et diminuez le délai de temporisation des connexions ouvertes.

Attaque Teardrop

Elle consiste à envoyer des paquets TCP qui se recouvrent en jouant sur le champ de fragmentation dans les paquets du protocole Internet séquentiel (IP) sur l’hôte attaqué. Le système attaqué tente de reconstruire les paquets pendant le processus mais il échoue. Le système cible devient alors désorienté et plante.

Contre-mesures possibles :

Appliquez les correctifs système pour vous protéger contre cette attaque DoS ou désactivez SMBv2 et bloquez les ports 139 et 445.

Attaque Smurf

Il s’agit là d’un ping flooding un peu particulier. C’est une attaque axée sur les réseaux. Ce procédé comporte deux étapes:

  • La première consiste à récupérer l’adresse IP de la cible par spoofing.
  • La seconde est d’envoyer un flux maximal de packets ICMP ECHO (ping) aux adresses de Broadcast. Chaque ping comportant l’adresse spoofée de l’ordinateur cible.

Si le routeur permet cela, il va transmettre le broadcast à tous les ordinateurs du réseau, qui vont répondre à l’ordinateur cible. La cible recevra donc un maximum de réponses au ping, saturant ainsi totalement sa bande passante… Bien entendu, plus de réseau comporte de machines et plus c’est efficace… Ce processus est répétable et peut être automatisé pour générer d’énormes d’encombrements du réseau.

Contre-mesures possibles :

Pour vous protéger contre ce genre d’attaque, vous devez désactiver les diffusions dirigées par IP sur les routeurs. Ceci empêchera ou limitera la demande de diffusion d’écho ICMP sur les périphériques réseau. Une autre option serait de configurer les systèmes finaux pour les empêcher de répondre aux paquets ICMP à partir d’adresses de diffusion. Vous pouvez également configurer le firewall pour filtrer les packets ICMP echo ou les limiter à un pourcentage de la bande passante.

Ping of death

Un ping a normalement une longueur maximale de 65535 ((2 exp 16) – 1) octets, incluant une entête de 20 octets. Un ping of death c’est un ping qui a une longueur de données supérieure à la taille maximale. Lors de son envoi, le ping of death est alors découpé en packets plus petits. L’ordinateur cible qui reçoit ces paquets doit les reconstruire. Il peut alors subir des débordements de tampon et d’autres plantages. Certains systèmes ne gèrent pas cette fragmentation, et se bloquent, ou crashent complètement. D’où le nom de cette attaque.

Contre-mesures possibles :

Pour commencer, mettez à jour votre OS. Puis effectuez un test avant que quelqu’un d’autre le fasse à votre place. Si le système réagit correctement, il n’y a pas de problème. Dans le cas contraire, les attaques Ping of death peuvent être bloquées en utilisant un pare-feu qui vérifiera la taille maximale des paquets IP fragmentés.

Botnets

Les botnets sont les millions de systèmes infectés par des logiciels malveillants sous le contrôle de cyber-criminels, afin d’effectuer des attaques DDoS. Ces robots ou systèmes zombies sont utilisés pour effectuer des attaques contre les systèmes cibles. De la sorte, ils submergent souvent la bande passante et les capacités de traitement du système cible. Ces attaques DDoS sont difficiles à retracer parce que les botnets sont situés dans des lieux géographiques différents.

Contre-mesures possibles :

Il est très difficile de se protéger contre les botnets. Par contre, on affaiblit les botnets grâce aux mesures suivantes :

  • Le filtrage RFC3704 empêchera le trafic en provenance d’adresses piratées et aidera à assurer la traçabilité du trafic jusqu’à son réseau source correct. Par exemple, le filtrage RFC3704 supprimera les paquets des adresses de liste bogon.
  • Le filtrage des trous noirs, qui élimine le trafic indésirable avant qu’il n’entre dans un réseau protégé. Lorsqu’une attaque DDoS est détectée, l’hôte BGP (Border Gateway Protocol) doit envoyer des mises à jour de routage aux routeurs des FAI afin qu’ils acheminent tout le trafic en direction des serveurs victimes vers une interface null0 au prochain saut.

2. Attaque de l’homme au milieu

On parle d’attaque de l’homme au milieu (Man in the Middle ou MitM) lorsqu’un pirate s’insère entre les communications d’un client et d’un serveur. C’est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l’internaute lambda. L’attaquant doit d’abord être capable d’observer et d’intercepter les messages d’une victime à l’autre. Les pirates interceptent les e-mails, l’historique de votre navigation sur Internet et les réseaux sociaux pour cibler vos données sécurisées et commettre des actes criminels.

attaque homme du milieu

Contrairement au phishing qui nécessite que vous baissiez votre garde involontairement et que vous ouvriez votre ligne de défense, une attaque dite de l’homme du milieu est une cyber-attaque passive. Elle se fait sans que vous en ayez conscience.

Elle affecte laussi bien es particuliers que les entreprises. Personne n’est à l’abri. En 2015, une importante opération menée par Europol a piégé 49 membres d’un groupe de cyber-criminels. Ils ciblaient des victimes à travers toute l’Europe. Leurs méthodes impliquaient l’utilisation de techniques de piratage informatique pour pénétrer des communications de confiance entre les entreprises et leurs clients. Une fois à l’intérieur, ils ont surveillé les communications et poussé les victimes peu méfiantes à transférer de l’argent sur leurs comptes bancaires.

Méthodes d’attaque

L’augmentation spectaculaire des bornes wifi gratuites et des connexions à haut débit a contribué à améliorer nos vies. Mais c’est aussi une aubaine pour les criminels qui veulent espionner ou intercepter vos activités en ligne.

Les voyageurs constituent une cible facile pour les cyber-criminels. Une méthode d’attaque classique consiste à créer sa propre connexion wifi. Imaginez que vous vous trouvez dans votre restaurant préféré. Vous configurez alors vos paramètres wifi pour vous connecter au réseau gratuit. Les réseaux disponibles listés sont-ils tous des réseaux wifi légitimes, ou certains appartiennent-ils à un pirate?

Cette question est primordiale. En effet, une fois que vous vous connectez à un faux réseau, le pirate obtient l’accès instantané à votre appareil. Il est très facile pour un pirate de créer des bornes wifi frauduleuses lui permettant d’avoir accès aux informations personnelles des personnes qui tentent de s’y connecter.

Détournement de messagerie

Le détournement de messagerie consiste à cibler des comptes de messagerie et à espionner des communications. Une fois infiltrés dans ce système fermé, les cyber-criminels peuvent envoyer de faux e-mails ou des imitations très réalistes. Généralement il s’agit de demande d’un transfert d’argent, de vos informations financières ou encore de vos mots de passe. Cela peut être particulièrement problématique lorsque les cibles sont des dirigeants d’une entreprise. Ils peuvent ainsi recevoir de faux e-mails semblant pourtant authentiques et leur demandant de transférer de l’argent.

Détournement de session

Le détournement de session est une attaque courante, où le pirate prend le contrôle des cookies de votre navigateur. Les cookies sont de petits morceaux de données qui stockent des renseignements sur les sites Web que vous visitez. Grâce à cet accès, le cyber-criminel peut voler tout un tas de données. Il peut s’agir de vos informations de connexion ou de vos informations personnelles saisies dans les formulaires en ligne.

Comment se protéger d’une attaque de type homme au milieu?

L’essentiel est de faire en sorte de naviguer en toute sécurité.

  • Cryptez le trafic entre le réseau et votre appareil à l’aide d’un logiciel de chiffrement de navigation. Vous pourrez ainsi repousser les éventuelles attaques dites de l’homme du milieu.
  • Vérifiez toujours la sécurisation des sites que vous visitez. La plupart des navigateurs affichent un symbole de cadenas à côté de l’URL lorsqu’un site Web est sécurisé. Si vous ne voyez pas ce symbole, vérifiez que l’adresse Web commence par « https ». Le « S » signifie « sécurisé » et garantit que vos données ne seront pas susceptibles d’être interceptées par des cyber-criminels.
  • Utilisez un pare-feu. C’est également un moyen fiable de protéger vos données de navigation. Sans être infaillible, un pare-feu fournit un degré de sécurité supplémentaire lorsque vous utilisez un réseau wifi public. Si vous naviguez souvent sur un réseau wifi public, configurez un réseau privé virtuel (VPN). Ce type de réseau protège votre trafic et complique la tâche des pirates qui voudrait l’intercepter.
  • Mettez vos logiciels de sécurité à jour. Les cyber-criminels ne cessent de s’adapter et de se perfectionner. Vous devriez donc en faire de même. En mettant à jour votre solution de sécurité, vous avez accès en permanence à des outils les plus actualisés. Et ils surveilleront votre activité en ligne pour une navigation sécurisée et agréable.

3. Phishing et Spear Phishing

L’hameçonnage (phishing) est la pratique consistant à envoyer des courriels qui semblent provenir de sources fiables. Le but est d’obtenir des renseignements personnels ou d’influencer les utilisateurs à faire quelque chose. Il combine l’ingénierie sociale et la supercherie technique. Cela peut prendre la forme d’une pièce jointe à un mail qui charge un logiciel malveillant sur votre ordinateur. Cela peut également être d’un lien vers un site Web illégitime qui peut vous amener à télécharger des logiciels malveillants ou à communiquer vos renseignements personnels. Pour une description détaillée, je vous invite à relire un de mes précédents articles : Phishing mode d’emploi.

L’hameçonnage au harpon (spear phishing) est un type particulier d’activité d’hameçonnage très ciblé. Les cyber-criminels prennent le temps de faire des recherches sur leurs cibles pour créer des messages personnels et pertinents. Pour cette raison, l’hameçonnage au harpon peut être très difficile à identifier et encore plus difficile à défendre. L’une des façons les plus simples qu’un pirate peut utiliser pour mener une attaque de harponnage est l’usurpation de courriels. Par exemple l’information dans la section « De » du courriel donne l’impression qu’elle provient de l’une de vos connaissances. Ce peut être votre direction ou un partenaire d’affaire. Les cyber-criminels utilisent souvent le clonage de site web pour donner de la crédibilité à leur histoire. Ils copient des sites Web légitimes pour vous tromper en fournissant des informations personnellement identifiables (IPI) ou des identifiants de connexion.

Comment vous protéger de l’hameçonnage ou de l’hameçonnage au harpon?

Pour réduire le risque d’être victime d’hameçonnage, je vous propose ces techniques simples :

  • Pensée critique – Ne considérez jamais un courriel comme fiable par défaut. Peut-être simplement êtes-vous occupé ou stressé ou avez-vous 150 autres messages non lus dans votre boîte de réception. Arrêtez-vous un instant et analysez soigneusement le courriel.
  • Survolez les liens – Déplacez votre souris sur le lien, mais ne cliquez surtout pas dessus ! Il suffit de laisser le curseur de votre souris sur le lien et de voir où il vous emmènerait réellement. Appliquer la pensée critique pour déchiffrer l’URL.
  • Analyse des en-têtes de courriel – Les en-têtes de courriel définissent comment un courriel est arrivé à votre adresse. Les paramètres « Reply-to » et « Return-Path » doivent conduire au même domaine que celui indiqué dans l’email.
  • Sandboxing – Vous pouvez tester le contenu des e-mails dans un environnement sandbox, en enregistrant l’activité à partir de l’ouverture de la pièce jointe ou en cliquant sur les liens à l’intérieur de l’e-mail.

4. Attaque par drive by download

Les attaques Drive by-download sont une méthode courante pour propager des logiciels malveillants. Les cyber-criminels recherchent les sites Web non sécurisés. Ils y implantent alors un script malveillant dans le code HTTP ou PHP sur l’une des pages. Ce script, invisible, peut installer des logiciels malveillants directement sur l’ordinateur d’une personne qui visite le site. Il peut aussi rediriger la victime vers un site contrôlé par les cyber-criminels. Les Drive by-download peuvent se produire lors de la visite d’un site Web ou de l’affichage d’un message électronique ou d’une fenêtre contextuelle.

Contrairement à de nombreux autres types d’attaques de cybersécurité, un drive-by ne nécessite pas qu’un utilisateur active l’attaque. Ainsi, même si vous n’avez pas cliqué sur un bouton ou ouvert une pièce jointe malveillante, vous pouvez être infecté. Un téléchargement par drive-by download peut profiter d’une application, d’un système d’exploitation ou d’un navigateur Web qui contenant des failles de sécurité dues à des mises à jour échouées, ou à l’absence de mises à jour.

Méthode d’attaque

Attaque de type drive by download
Crédit © Sophos

Une attaque de type drive by download se déroule en 5 étapes.

Le terme drive-by download décrit la manière avec laquelle les malwares infectent votre ordinateur, lors de la simple visite d’un site web qui utilise un code malveillant (l’étape 1 de la cyberattaque : le point d’entrée).

La plupart du temps, il s’agit de sites officiels, qui ont été corrompus et qui vous redirigent vers un autre site web sous le contrôle de hackers (l’étape 2 d’une attaque web la distribution).

Aujourd’hui, les cyber-criminels utilisent des malwares sophistiqués, disponibles sous la forme d’un kit d’exploit, et qui permettent de trouver une vulnérabilité au sein de votre logiciel parmi des milliers de possibilités.

Lorsque votre navigateur internet est redirigé vers le site web qui héberge un kit d’exploit, il examine votre système d’exploitation, votre navigateur internet et les autres logiciels (comme votre lecteur de PDF ou le lecteur vidéo). L’objectif est de trouver une faille de sécurité qu’il pourra exploiter (l’étape 3 de la cyber-attaque : l’exploit).

Lorsque le kit d’exploit a identifié une vulnérabilité, l’étape 4 d’une attaque web l’infection, peut commencer. Dans la phase d’infection d’une attaque web, le kit d’exploit télécharge le logiez malveillant qui s’installe alors sur votre ordinateur.

Pour finir, vient l’étape 5 d’une attaque webl’exécution. Lors de cette étape,  le logiciel malveillant fait ce pour quoi il a été conçu, à savoir rapporter de l’argent à son maître.

Par exemple, le malware connu sous le nom de Zbot (APT), peut avoir accès à vos emails et vos comptes bancaires. Un autre type de charge utile est appelée ransomware. Le logiciel malveillant prend en otage vos fichiers en les cryptant et vous demande de payer une rançon pour les récupérer.

Comment vous protéger contre une attaque de type drive-by?

Pour vous protéger contre les attaques par drive-by-download, vous devez tenir à jour vos navigateurs et systèmes d’exploitation. Evitez également  les sites Web qui pourraient contenir des codes malveillants. Tenez-vous-en aux sites que vous utilisez normalement – mais gardez à l’esprit que même ces sites peuvent être piratés. Ne conservez pas trop de programmes et d’applications inutiles sur votre machine. Plus vous avez de plug-ins, plus il y a de vulnérabilités exploitable par des attaques par drive-by-download.

5. Attaque par mot de passe

Méthode d’attaque

Les mots de passe sont le mécanisme le plus couramment utilisé pour authentifier les utilisateurs d’un système d’information. L’obtention de mots de passe est donc une approche d’attaque commune et efficace. Les cyber-criminels obtiennent l’accès au mot de passe d’une personne de multiples façon. Il  suffit souvent de regarder autour du bureau de la personne, de sniffer la connexion au réseau pour acquérir des mots de passe non cryptés, d’utiliser l’ingénierie sociale, d’accéder à une base de données de mots de passe ou de le deviner directement. La dernière approche peut se faire de manière aléatoire ou systématique :

  • Deviner un mot de passe par un passage en force brutal signifie essayer de nombreux mots de passe en espérant que l’un d’entre eux fonctionne. Les cyber-criminels appliquent alors une certaine logique en essayant des mots de passe liés au nom de la personne, à sa fonction, à ses loisirs, à ses proches ou à des éléments similaires.
  • Dans une attaque par dictionnaire, un dictionnaire de mots de passe communs est utilisé pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une approche consiste à copier un fichier crypté contenant les mots de passe, à appliquer le même cryptage à un dictionnaire de mots de passe couramment utilisés et à comparer les résultats.

Comment vous protéger?

Afin de vous protéger contre les attaques par dictionnaire ou par force brute, vous pouvez mettre en œuvre une politique de verrouillage de compte qui verrouillera le compte après quelques tentatives de mot de passe invalides.

Vous avez un témoignage ou un commentaire? Alors ne soyez pas timide et laissez-nous un commentaire. Plus il y a d’échanges sur ce sujet sensible et plus les gens seront informés et sensibilisés. N’oubliez pas : la probabilité de subir une cyber-attaque en 2019 est de 28%. Si cet article vous a plu, vous pouvez aussi nous laisser un « like » et vous abonner à notre blog.

ITIL 4 Foundation – Une toute nouvelle certification

A l’heure où AXELOS lance la nouvelle certification ITIL 4 Foundation, regardons si, et en quoi elle est vraiment nouvelle. Non seulement le référentiel de bonnes pratiques d’ITSM d’AXELOS est revu en profondeur, mais les certifications aussi. Exit l’usine à gaz du schéma de formation et de certification d’ITIL v3. L’idée est de mieux coller aux besoins des organisations, aujourd’hui moins orientées sur la technique et les processus. Le syllabus de la certification ITIL 4 Foundation a donc été complètement repensé et c’est un bien.

ITIL 4 Foundation : une toute nouvelle certification
Crédit © rawpixel.com 2019

La certification ITIL 4 Foundation est conçue comme une introduction à ITIL 4. Elle permet aux candidats de comprendre la gestion des services informatiques à travers un modèle opérationnel de bout en bout pour la création, la livraison et l’amélioration continue de produits et de services basés sur la technologie. L’objectif est clairement d’amener les candidats à comprendre comment l’informatique peut aider le business à créer de la valeur. Il y a de nombreuses années qu’on ressert le même discours. Cette fois, AXELOS a mis l’accent sur cet aspect avec notamment le concept de co-création entre les TI et les parties prenantes. Ce concept est totalement au coeur du modèle central dans ITIL 4.

Le nouveau syllabus

Les objectifs de la formation et de l’examen de certification

La formation ITIL 4 Foundation a pour objectif d’initier les candidats à la gestion des services basés sur des systèmes informatiques modernes. Elle a pour objet de leur fournir une compréhension du langage commun et des concepts clés. Elle leur montre comment ils peuvent améliorer leur travail et celui de leur organisation grâce aux directives ITIL 4. En outre, cette formation permettra au candidat de comprendre le cadre de gestion du service ITIL 4 et comment il a évolué, pour adopter les technologies et les méthodes de travail modernes.

Le cours ITIL 4 Foundation s’adresse à toute personne travaillant dans l’informatique qui recherche une formation en gestion des services informatiques et une compréhension de la manière de fournir une valeur business. Il concerne également toute personne cherchant à mettre à niveau sa certification et ses connaissances ITIL v3.

L’examen de certification a pour but d’évaluer si le candidat peut démontrer une connaissance et une compréhension suffisantes du cadre de gestion de service ITIL 4. En outre, la certification ITIL 4 Foundation est une condition préalable pour passer les certifications de niveau supérieur. Ces dernières évaluent l’aptitude du candidat à appliquer les parties pertinentes du cadre ITIL dans son contexte.

Le cours de préparation

Conçu pour une durée d’étude optimale de 2 jours (hors examen), le cours est une introduction à ITIL 4. Il vous permet de comprendre une nouvelle façon de voir la gestion des services informatiques via un système de valeur de service (SVS).

Quelle est la différence entre ITIL v3 et ITIL 4? En résumé, ITIL v3 décrit la gestion des services autour de 26 processus et fonctions faisant partie d’un cycle de vie continu en 5 étapes : stratégie des services, conception des services, transition des services, exploitation des services et amélioration continue des services. Tout le corpus de connaissances v3 est toujours très utile et pertinent!

ITIL 4 vous présente une vue plus évoluée d’un système de valeur de service (SVS), qui fournit une image globale de ce que signifie réellement contribuer à la valeur de l’entreprise. Le cadre intègre désormais également des concepts de modèles tels que Lean IT, Agile et DevOps.

Le contenu détaillé du syllabus

Les concepts testés lors de l’examen s’articulent autour de 7 thèmes correspondant chacun à un module d’apprentissage.

  1. Concepts clés de la gestion des services (12,5% des questions d’examen)
  2. Principes directeurs d’ITIL (15%)
  3. Les 4 dimensions de la gestion des services (5%)
  4. Gestion des services et création de valeur (SVS) (2,5%)
  5. Activités de la chaîne de valeur et leurs interactions  (5%)
  6. Introduction aux 15 pratiques d’ITIL (17,5%)
  7. Plongée en profondeur dans les 7 pratiques essentielles (42,5%)
    • Amélioration continue
    • Gestion des changements
    • La gestion des incidents
    • Gestion des problèmes
    • Gestion des requêtes de service
    • Le centre de services
    • La gestion des niveaux de service

La différence avec la version précédente réside dans le fait que l’orientation processus est maintenant moins centrale. Mais surtout les éléments de l’ancienne certification practitioner sont maintenant intégrés dès le niveau Foundation. Dans mes précédents articles ITIL – les raisons d’échec dans votre organisation, ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre, je mettais l’accent sur la mise en oeuvre des pratiques ITIL 2011 qui était le plus souvent défaillante. Le contenu de la certification practitioner était théoriquement là pour combler les manques des publications centrales dans ce domaine. Hélas, cette certification n’a eu que peu de succès. Dans ITIL 4, les aspects de mise en oeuvre font désormais partie du syllabus dès la certification Foundation. C’est un véritable progrès.

Format de l’examen

Le format de l’examen ne change pas par rapport à l’examen Foundation d’ITIL 2011. Il se compose toujours de 40 questions multi choix et se déroule sur une heure. Le score de passage est toujours de 65% (26 bonnes réponses sur 40). Disponible en anglais à partir du 28 février, l’examen se déroule en ligne ou sur papier. Et il est toujours géré par Peoplecert. Les organismes de formation accrédités (ATOs) le proposent également à la fin de leurs sessions de formation.

Le cursus complet des certifications ITIL 4

Le cursus complet des certifications s’articule désormais autour de deux grandes lignes : ITIL 4 Managing Professional et ITIL 4 Strategic Leader. Quelle que soit la filière choisie, la certification ITIL 4 Foundation est un pré-requis exigé.

Nouveau parcours de formations et de certifications ITIL 4
Crédit © AXELOS 2019

Pour découvrir en détail l’ensemble de ces certifications, je vous invite à consulter mon article ITIL 4 : De nouvelles certifications. L’ensemble de ces formations et les certifications correspondantes seront lancées au deuxième semestre 2019.

Pont ou pas pont?

On me pose souvent cette question : y a-t-il un « bridge » possible pour les gens qui possèdent une certification ITIL v3 ou 2011.? La réponse est clairement oui pour les niveaux MP (Managing Professional) et SL (Strategic Leader). Mais seulement à condition d’être déjà ITIL v3 Expert ou d’avoir accumulé au minimum 17 crédits sur ITIL v3 ou ITIL 2011. Dans le cas contraire, vous devrez repasser les examens ITIL 4 correspondants.

Pour la certification Foundation, dans la mesure où elle constitue le socle des autres modules, il n’existe pas de pont. Tout le monde doit donc passer la certification ITIL 4 Foundation pour démarrer son parcours sur la nouvelle version.

Comment se préparer à l’examen de certification ITIL 4 Foundation?

Pour vous préparer à l’examen de certification ITIL 4 Foundation, il existe diverses possibilités. Cependant, AXELOS n’exige pas que vous suiviez une formation préalablement à la certification. Vous pouvez donc décider de travailler par vous-même avec les publications officielles et de vous lancer.

Un certain nombre d’ATOs (organismes de formation accrédités par AXELOS/Peoplecert) proposent d’ores et déjà des session de préparation de trois types :

  • Cours en ligne (en auto-apprentissage)
  • Formation à distance
  • Session publique en présentiel
  • Formation intra-entreprises (directement dans votre organisation).

Dans tous les cas, vérifiez bien l’accréditation de l’organisme de formation auquel vous faites appel. En effet, seuls les ATOs ont l’autorisation d’accéder et de reproduire la documentation officielle d’AXELOS. De plus leurs formateurs sont évalués et audités régulièrement. Ces audits portent à la fois sur leur connaissance d’ITIL 4, mais aussi sur leurs compétences pédagogiques. Cela garantit donc la qualité de la formation qui vous est dispensée.

Cet article vous a intéressé? N’hésitez pas à poster vos remarques et vos questions en commentaire. Cela permet d’alimenter un débat entre nos lecteurs. Merci également de nous mettre un « like » si vous aimez et à nous suivre régulièrement. 

Violations de données : un gouffre financier évitable?

Comme chaque année depuis 13 ans, IBM vient de publier son rapport sur les coût des violations de données. Cette année, le coût moyen des violations de données dans le monde est en hausse de 6,4% par rapport à l’année précédente. Il atteint désormais 3,86 millions de dollars (environ 3,4 millions d’euros). Le coût moyen de chaque enregistrement perdu ou volé contenant des informations sensibles et confidentielles a également augmenté de 4,8% par rapport à l’année dernière pour atteindre 148 $ (soit environ 130 euros). Ce sont des sommes considérables. Imaginez le coût de la violation de données qui a affecté les hôtels Marriott fin 2018. 500 millions d’enregistrements de données personnelles de clients ont été affectées!! 

Violations de données : un gouffre financier pour les entreprises
Crédit © rawpixel.com 2019

Dans cet article, je vous explique comment on évalue ces coûts et comment essayer de les réduire. Cela vous permettra également d’identifier les impacts auxquels vous devez vous attendre lorsque cela vous arrivera. Vous remarquez que je n’ai pas dit « si cela vous arrive ». En effet, cela vous arrivera à coup sûr. Voyons donc les enjeux de sécurité de l’information auxquels vous devez faire face…

Le temps c’est de l’argent

Beaucoup connaissent l’adage selon lequel «le temps, c’est de l’argent». C’est un conseil judicieux pour quiconque soumis à un stress persistant dans sa vie professionnelle (et personnelle). Cela s’applique également aux violations de données. L’étude 2018 sur le coût des violations de données, réalisée par IBM / Ponemon Institute, est un guide indispensable à l’intention des CISO (Responsables de la Sécurité de l’Information), des CPO (responsables de la protection de la vie privée), des DPO (responsables de la protection des données), des gestionnaires de risques et des consultants. Elle leur permet de mieux gérer leurs cyber-risques et les coûts concomitants en cas d’infraction aux réglementations (RGPD par exemple).

Le rapport souligne le coût élevé des violations de données. Dans le même temps, souvent, les responsables de la cybersécurité ignorent si ou quand de telles violations ont lieu dans leurs réseaux. Certains gardent la tête dans le sable et ne privilégient pas suffisamment la détection comme moyen de connaissance. Les réglementations récentes en matière de confidentialité exigent le signalement en temps voulu d’une violation de données lorsque le Responsable du Traitement en a connaissance. Cela peut peut-être amener certains à penser qu’éviter de connaître une violation est une bonne stratégie. Cela permettrait de réduire les coûts associés aux rapports.

Une mauvaise stratégie des entreprises

Hélas, cette «stratégie de l’autruche» n’est pas seulement imprudente et contraire à l’éthique. Elle est bien plus coûteuse pour les organisations. Elle peut même s’avérer catastrophique. Une détection plus rapide des violations de données peut réduire considérablement les pertes. N’oubliez jamais que les pirates de frappent pas d’un seul coup. Ils ont tout leur temps. Et plus vous tardez à réagir, plus ils auront de temps pour commettre des dégâts.

Si nous reprenons le cas de la violation de données qui a touché les hôtels Marriott. C’est le 19 Novembre 2018 que l’investigation a permis de déterminer qu’une violation avait eu lieu. Apparemment un outil avait déjà alerté sur un accès non autorisé dès le 8 septembre. Cela représente plus de 60 jours de délai. Mais cette attaque avait probablement démarré bien avant septembre 2018.

La chaîne cyber-criminelle peut prendre un temps extrêmement long. Je vous invite à bien la comprendre. Elle est décrite de façon détaillée dans un de mes articles récents sur les tests de pénétration.

Le coût stupéfiant des violations de données

En 2018, dans le monde, le coût moyen d’une violation de données hausse de 6,4% par rapport à l’année précédente. Il s’élève désormais à 3,86 millions de dollars (3,4 millions d’euros). Ces statistiques devraient être très préoccupantes. Et elles ne représentent que les coûts tangibles d’une violation. Ce montant ne prend notamment pas en compte les coûts des amendes réglementaires. Par conséquent, les chiffres figurant dans ce rapport doivent être considérés comme une limite basse. Les autres coûts potentiels comprennent les frais liés aux litiges, les amendes pour non-conformité réglementaire et les pertes de revenus dues aux clients qui quittent l’entreprise à la suite d’une violation. Les entreprises investissent massivement dans les produits de cybersécurité et les services professionnels. Alors, pourquoi le coût des violations de données ne diminue-t-il pas? La question mérite d’être posée.

Des moyens insuffisants mis en oeuvre

Chaque nouvelle réglementation relative à la protection des données personnelles appelle à prendre des «mesures de sécurité appropriées». C’est le cas notamment du règlement général européen sur la protection des données (RGPD) ou de la loi américaine sur la protection des renseignements personnels des consommateurs (CCPA). Les entreprises ne prennent en général ces mesures de sécurité de l’information que pour éviter des amendes dissuasives. Et par souci de facilité et d’économie, elles se limitent à s’appuyer sur des outils informatiques facilement accessibles.  C’est hélas très insuffisant. Elles ne mettent pas en oeuvre les actions nécessaires pour prévenir la violations résultant d’erreurs humaines. J’ai rarement vu des actions de formation de masse portant sur l’ensemble du personnel. C’est généralement considéré comme trop coûteux et trop lourd.

Des réglementations qui ne vont pas assez loin

L’aspect le plus frustrant de ces nouvelles réglementations est que la responsabilité des données incombe au responsable du traitement. Cela signifie qu’une organisation est responsable de la protection de ses données, peu importe avec qui les données sont partagées et comment les données sont traitées. Cela vaut également une fois qu’elles ne sont plus sous son contrôle. Les obligations contractuelles d’un fournisseur tiers de sécuriser les données une fois qu’il y a accès résultent du contrat entre le responsable du traitement et son sous-traitant.

Le RGPD, impose que de tels accords soient signés. Cependant, il place l’entière responsabilité sur l’organisation d’origine en tant que responsable des pertes de données. Les amendes encourues peuvent atteindre jusqu’à de 4% du chiffre d’affaires mondial annuel, ou 20 millions d’euros par violation. Alors, peut-être que les meilleures pratiques «raisonnables» ne suffisent pas. Peut-être que la technologie liée à la cybersécurité n’est pas utilisée pour s’attaquer au bon problème.

Meilleure détection et meilleure réponse

Le délai moyen moyen d’identification d’une violation est maintenant de 197 jours. Cela représente une légère amélioration par rapport à l’année précédente. Cependant ce délai reste beaucoup trop long. Imaginez-vous vivre avec un voleur chez vous qui dérobe tout ce qui a de la valeur pendant 197 jours? 197 jours pendant lesquels vous ne vous apercevez de rien?

Considérez le comportement typique des attaquants. Je l’ai décrit en détail dans mon précédent article « Tests de pénétration : nécessaires mais pas suffisants« . C’est ce qu’on appelle la chaîne cyber-criminelle.  Ils suivent une méthodologie éprouvée. Cela commence par la reconnaissance pour localiser leur cible et identifier les points d’entrée. Vient ensuite la première entrée (généralement par les utilisateurs du harponnage au sein de la cible choisie). Une fois qu’ils ont réussi à voler les informations d’identité d’un utilisateur légitime, ils s’installent pour établir le contrôle pendant de longues périodes. Ils se déplacent latéralement, recherchant d’autres informations d’identification, serveurs, journaux, fichiers et documents qu’ils souhaitent. Les documents et les données sont regroupés et exfiltrés à l’aide de protocoles courants. Ils utilisent aussi des sites tiers qui servent de serveurs de transfert à partir desquels ils peuvent télécharger leurs biens volés. Le fait d’avoir pris pied permet l’exfiltration de données à long terme à un rythme adapté à leurs besoins.

Et ce qui est le plus frappant, c’est que tout cela se déroule à l’insu de l’organisation cible.

L’utilisation de leurres est-elle efficace?

La plupart des approches de détection de fraude passent à côté de la cible en matière de détection précoce. Une variété de sociétés de technologie de détection de fraude vantent les réseaux de miel (honeynets en anglais) permettant une détection précoce. En gros, il s’agit de leurres qui vont agir comme des pièges à pirates. Je vous invite à consulter cet article sur le blog du hacker pour mieux comprendre leur fonctionnement. On installe les honeynets à côté de serveurs opérationnels. Et les attaquants ne seraient attirés par ces honeynets que s’ils y étaient conduits. On prend soin d’empêcher les utilisateurs ordinaires de se connecter à des réseaux de miel. Sinon, les fausses alarmes auraient un impact négatif sur les affaires. Et, au moment où un attaquant est tombé dans un leurre (en anglais honeypot), il aura déjà avoir effectué une recherche sur le réseau opérationnel et probablement déjà volé son butin. Malheureusement, cette approche est inefficace pour détecter et réagir aux violations de données.

Il existe également des technologies émergentes de capteurs qui offrent une meilleure solution. On les déploie directement dans l’environnement opérationnel. Par exemple, des capteurs de perte de données peuvent être générés automatiquement, des documents leurres hautement crédibles avec des balises incorporées placées de manière stratégique dans des dossiers, des répertoires ou des partages tiers afin d’inciter les pirates à les ouvrir et d’alerter les équipes de sécurité sur les violations à un stade précoce.

Des pistes pour améliorer la détection

L’absence de données de recherche réelles et à grande échelle sur le monde réel a empêché la mise au point de systèmes de détection d’intrusion (IDS) efficaces pouvant arrêter une attaque dès le début de son cycle de vie. La plupart des organisations confrontées à ce type d’attaques préfèrent ne pas les annoncer publiquement pour des raisons de responsabilité et de confidentialité.

Soixante-douze pour cent des incidents résultant des menaces internes (insiders en anglais) survenus dans les établissements sondés ont été traités en interne. Aucune action judiciaire ni intervention de la police n’est intervenue. Seulement 13% des incidents issus de menaces internes ont été traités en interne mais ont donné lieu à des poursuites judiciaires. L’annonce de telles attaques peut également avoir des conséquences sur les parts de marché d’une entreprise. Pour ces mêmes raisons, les victimes d’infractions sont encore moins susceptibles de partager des données réelles qui pourraient être utilisées pour étudier de telles attaques avec le monde de la recherche.

Les attaques de mascarade

Une attaque courante est la mascarade ou usurpation d’identité (en anglais, masquerade). Elle consiste à tromper les mécanismes d’authentification pour se faire passer pour un utilisateur autorisé, de façon à obtenir des droits d’accès illégitimes et ainsi compromettre la confidentialité, l’intégrité ou la disponibilité. Un cas particulier de d’usurpation d’identité consiste pour un attaquant à « forger » de fausses adresses d’origine pour les messages qu’il émet. Dans ce cas, nous parlons alors plus particulièrement de spoofing (littéralement, parodie) d’adresse. Ce déguisement est, par exemple, très facile à réaliser sur le réseau Internet, puisqu’il n’y a pas d’authentification sur les adresses IP.

L’étude des attaques par mascarade souffre également de la rareté des données réelles, malgré leur importance. Trente-cinq pour cent des dirigeants et des membres des autorités publiques ont vu leurs informations, systèmes et réseaux utilisés sans autorisation. Les attaques de mascarade se classent au deuxième rang des cinq principaux cyber-crimes perpétrés par des personnes extérieures, juste après les virus, les vers et autres vecteurs d’attaque malveillants.

L’expérience de la DARPA

L’essentiel de cette expérience est le suivant. Les imposteurs, tout comme les voleurs qui s’introduisent dans une maison, doivent collecter des informations sur l’environnement dans lequel ils viennent d’entrer. Ils doivent en savoir plus sur leur domicile, rechercher des objets de valeur à voler et empaqueter des données pour les exfiltrer. Cette activité précoce est essentielle pour détecter leur activité néfaste. Par conséquent, le fait de placer les capteurs qui agissent comme des fils de déclenchement dans les dossiers et les répertoires les plus susceptibles d’être recherchés dans le cadre d’une attaque sert de mécanisme de détection.

L’efficacité de l’utilisation de capteurs intégrés dans des documents comme moyen de détecter la perte de données a été prouvée par une étude scientifique parrainée par la DARPA. L’étude a mesuré les vrais et faux positifs et les vrais négatifs. Dans le cadre de l’étude, 39 imposteurs individuels, tous sélectionnés pour leur connaissance approfondie et sophistiquée de l’informatique et des systèmes en général, ont été autorisés à accéder à un système comme s’ils avaient déjà réussi à voler les références nécessaires. Les imposteurs ont ensuite été informés que leur travail consistait à voler des informations sensibles dans le système en exploitant les informations d’identification qui leur étaient fournies. L’étude a suivi une méthodologie prescrite et statistiquement valide selon laquelle les imposteurs étaient informés du type d’informations à voler, mais non de la manière de les voler. Ils ont été laissés à eux-mêmes pour trouver et exfiltrer leur butin.

Dans cette étude, l’utilisation stratégique de capteurs pour détecter le moment où les documents ont été consultés a permis:

  • de détecter 98% des imposteurs
  • la génération d’un seul faux positif par semaine d’opération
  • de réussir la détection dans les 10 minutes.

Conclusion

La détection précoce d’un accès non autorisé à des données sensibles, telle que celle décrite dans cette étude de la DARPA, peut permettre aux organisations de ne pas souffrir du coût d’une violation. Il y a 28% de chances qu’une entreprise subisse une violation dans les deux prochaines années. Cela peut entraîner une perte de 3,6 millions USD basée sur le coût moyen d’une violation de données. En utilisant ces chiffres comme point de repère, la détection d’une violation dans les 30 jours ou moins (au lieu de la moyenne de 197 jours) permet à l’entreprise d’économiser un million de dollars en coûts. La plupart des entreprises s’appuient déjà sur des capteurs de réseau et de points d’accès pour collecter des données de sécurité critiques. Pourquoi ne pas utiliser des capteurs à la source des données?

Si le temps de détection est essentiel pour permettre aux entreprises de réaliser des économies substantielles, le secteur de la sécurité doit examiner de nouvelles technologies et approches pour améliorer cette mesure. L’utilisation de capteurs de perte de données est une méthode éprouvée pour attraper rapidement les imposteurs dès le début d’une attaque.

Les violations de données représentent un gouffre financier pour les entreprises. Cependant, ce n’est pas inévitable. Des solutions existent pour réduire les impacts. Encore faut-il que les dirigeants comprennent l’ampleur du phénomène et évaluent correctement les risques.

Vous êtes tous et toutes concerné(e)s puisqu’un quart d’entre vous serez potentiellement affectés dans les deux ans qui viennent. Alors, n’hésitez pas à réagir et à donner votre avis au travers de vos commentaires.

 

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :