Home » Cyber-résilence

Category Archives: Cyber-résilence

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 4 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 4 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 4 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

DSI en 2015 : quel est le bon profil?

Responsable de la stratégie informatique de l’entreprise, le DSI n’a pas seulement besoin de connaissances en informatique. Il doit d’abord être un organisateur, un manager et un leader. Voire un visionnaire. Alors quel profil choisir pour ce rôle : informaticien expérimenté ou pas? Votre DSI est-il la personne qui convient pour ce poste?

réunion DSI

Le challenge de l’Entreprise du 21ème siècle réside dans sa capacité d’innovation face à un marché extrêmement dynamique sur lequel les positions compétitives sont en constante évolution. La mondialisation de l’économie apporte toujours plus de concurrence et toujours plus d’informations à compiler pour être à la hauteur du challenge. Dans un monde où l’information est la clé de la création de valeur, il est clair que la capacité de l’Entreprise à gérer cette information revêt une importance stratégique. Fini le temps où le département informatique ne servait que de support au Business. Aujourd’hui son rôle est plus orienté vers l’innovation et le leadership stratégique. Le rôle du DSI a donc considérablement évolué ces dernières années pour passer de celui d’un super-technicien capable de mettre en place une équipe de « pompiers » en charge de résoudre des incidents et de garantir la disponibilité des service IT aux métiers pour soutenir leur activité opérationnelle génératrice de valeur, vers celui de leader stratégique, capable de travailler avec les métiers sur de nouveaux axes de productivité s’appuyant sur la transformation permanente de l’Entreprise en vue de son adaptation à l’environnement concurrentiel.

Les compétences requises pour un DSI ont bien évidemment évolué dans ce sens. Le DSI du 21ème siècle est donc d’abord un stratège, un manager doté d’un fort leadership et un visionnaire capable d’imaginer avec les métiers de l’Entreprise quels seront ses marchés de demain, afin de permettre à ces derniers d’occuper ces nouveaux marchés avant leurs concurrents. Y a-t-il encore besoin d’être un informaticien pour occuper le poste de DSI? Rien n’est moins sûr.

Une révolution technologique et culturelle est en cours

La mobilité et le Cloud sont en train de remodeler de façon fondamentale l’informatique d’entreprise. Ils ont déjà changé la relation globale entre l’informatique et le reste de l’organisation. Cette nouvelle façon de gérer l’information est devenue à la fois un défi et une immense opportunité pour les DSIs, mais saisir cette opportunité exige un changement de culture, de mentalité et de compétences. Pour réussir, le DSI et le personnel du département informatique doivent travailler main dans la main avec le business dans un vrai partenariat basé sur une relation de confiance.

Age du boulierLes attentes de pouvoir travailler en utilisant les outils les mieux adaptés à leurs besoins, et la capacité de mener en parallèle des tâches personnelles et  des tâches de leur Entreprise au travail, mais aussi à la maison, tout en préservant la confidentialité des renseignements personnels sont devenues la norme pour une majorité d’employés.

Cette nouvelle organisation engendre des risques importants au niveau de la sécurité des informations et de la résilience de l’Entreprise. Il est donc vital que le DSI soit également un véritable gestionnaire des risques d’Entreprise afin d’inclure les aspects liés à la cyber-résilience dans sa stratégie.

Quel est le rôle d’un DSI?

COBIT® 5 décrit le DSI comme étant « le plus haut dirigeant de l’entreprise en charge de l’alignement des stratégies IT et des stratégies d’affaires. Il est également responsable de la planification, des ressources et de la gestion de la livraison des services informatiques ainsi que des solutions pour soutenir les objectifs de l’entreprise ».

En d’autres termes, son rôle, en coopération avec l’ensemble des membres du Comité de Direction, consiste à participer à l’élaboration des stratégies Business et à s’assurer que les stratégies IT sont bien « embarquées » (ou alignées) avec celles de l’Entreprise. La stratégie IT devra ensuite être validée et approuvée par le Comité Stratégique qui répond au Conseil d’Administration.

COBIT® 5 décrit le Comité Stratégique comme « un groupe de hauts dirigeants nommés par le conseil d’administration afin de s’assurer que ce dernier participe aux grands dossiers et décisions liés à l’IT, et qu’il en est tenu informé. Le comité est responsable de gérer les portefeuilles d’investissements en informatique, les services informatiques et les actifs informatiques en veillant à la création de valeur et que le risque soit géré. Le comité est généralement présidé par un membre du Conseil d’Administration et non par le Directeur du Système d’Information« .

Le DSI est chargé d’identifier les domaines potentiels de croissance qui auront un besoin accru du soutien informatique, et de diriger la conception et l’exécution d’une stratégie Informatique qui construit ces fonctions essentielles dans le domaine IT. En d’autres termes, le DSI a donc comme rôle d’élaborer la stratégie IT (« Responsible »), en alignement avec les stratégies Business en vue de satisfaire les objectifs de l’Entreprise qui eux-mêmes se déclinent de la mission qui lui a été assignée par le Conseil d’Administration. Le Comité Stratégique a, pour sa part, la charge de valider l’ensemble des stratégies et de s’assurer de leur alignement.

Une fois les stratégies validées, le DSI répond (est « Accountable ») de la livraison des solutions et des services définis dans la stratégie. Sa première responsabilité sera donc de rédiger et de faire appliquer la Politique Informatique. Pour cela il devra gérer les risques IT dans la limite de l’appétit du risque de l’Entreprise, négocier et implémenter des contrats complexes, notamment en matière de sous-traitance, transmettre la politique en vue de son application à son Senior Management qui la traduira en processus, et s’assurer de la résilience du système informatique, incluant les aspects de sécurité, d’intégrité et de confidentialité, ainsi que de s’assurer de la conformité légale et réglementaire.

Les aptitudes et compétences requises pour un DSI

Pour remplir son rôle, le DSI devra donc faire montre d’aptitudes et de compétences correspondant aux responsabilités qui lui sont assignées.

1. Alignement des stratégies du système d’information et des métiers de l’entreprise

Cela signifie être capable de:

  • Anticiper les besoins de l’entreprise à long terme
  • Améliorer l’efficacité et l’efficience des processus de l’organisation
  • Déterminer le modèle de système d’information et l’architecture d’entreprise alignés avec la politique de l’Organisation et assurer un environnement sécurisé
  • Prendre des décisions stratégiques pour la politique informatique au niveau de l’Entreprise, y compris au niveau des stratégies de sourcing
  • Faire preuve de leadership pour la construction et la mise en œuvre de solutions innovantes sur les long terme

2. Gouvernance du Système d’Information

Cela signifie être capable de:

  • Faire preuve de leadership concernant la stratégie de gouvernance informatique en communiquant, propageant et contrôlant les processus pertinents du département informatique entier
  • Définir, déployer et contrôler la Management des Systèmes d’Information en ligne avec les impératifs Business
  • Prendre en compte tous les paramètres internes et externes tels que la législation et le respect de normes de l’industrie pour optimiser les risques et le déploiement de ressources en vue de générer un bénéfice Business équilibré.

3. Gestion des relations avec les métiers

Cela signifie être capable de:

  • Identifier les relations clés qui devraient être initiées pour comprendre les exigences informatiques du Business
  • Promouvoir la vision et les opportunités que la technologie peut présenter pour l’entreprise, y compris la possibilité de transformation et son impact probable sur le Business
  • Diriger la conception d’une procédure pratique permettant de maintenir des relations positives avec le Business

4. Développement du Business Plan

Cela signifie être capable de:

  • Fournir un leadership stratégique pour le développement de Business Plans pour exploiter au mieux les capacités des technologie de l’information afin de répondre aux besoins des métiers
  • Considérer les modèles possibles et applicables de sourcing
  • Présenter une analyse coûts/bénéfices et des arguments justifiables à l’appui de la stratégie choisie
  • Communiquer et vendre le Business Plan aux parties prenantes de l’Enterprise en tenant compte des intérêts politiques, financiers, et organisationnels.

5. Management des risques métiers liés à l’informatique

Cela signifie être capable de:

  • Diriger la définition d’une politique de gestion des risques en tenant compte de toutes les contraintes possibles, y compris les questions techniques, économiques et politiques
  • Mettre en œuvre la gestion des risques au niveau du Système d’information grâce à l’application des politiques et procédures de gestion des risques
  • Évaluer les risques pour le Business de l’organisation, y compris au niveau d’Internet, du Cloud et des appareils mobiles
  • Documenter les risques potentiels et les plans de réponse.

6. Leadership et travail d’équipe

Cela signifie être capable de:

  • Renforcer l’engagement sur une vision partagée afin de fournir des services client de qualité
  • Encouragez les personnels à prendre des décisions de façon indépendante et à assumer le leadership dans leur domaine d’expertise
  • Vaincre, grâce à sa performance, à la confiance qui lui est faite et au soutien à son leadership
  • Créer un environnement dans lequel les membres de l’équipe sont des moteurs pour améliorer performances et la productivité
  • Veiller à ce que les liens appropriés / partenariats entre les équipes soient maintenues.

7. Gestion Financière

Cela signifie être capable de:

  • Assurer la gestion financière stratégique des finances, le financement du capital / hors trésorerie, l’amortissement des coûts de projet, la gestion d’exercice, la gestion du coût du capital.

Alors avez-vous le bon profil pour être DSI en 2015?

Compétences requises pour un DSILe DSI, par essence, doit absolument être membre du Comité de Direction car c’est à ce niveau que se situent les responsabilités de Gouvernance et de Stratégie. Au niveau du savoir être, il doit être capable de travailler en équipe avec les autres membres du Comité de Direction et savoir se concentrer sur ce qu’il convient de faire (la stratégie et la rédaction de politiques) plutôt que sur comment on va le faire (les processus et les procédures). Le « comment » relève de la responsabilité du Senior Management.

Sur la base des éléments décrits précédemment, il est clair que le DSI de 2015 n’est pas un « informaticien » ayant un profil technique et ayant gravi les échelons pour arriver à ce poste en fin de carrière. Il doit s’agir avant tout d’un stratège, d’un manager complet, d’un organisateur, d’un leader et d’un visionnaire. Ce type de profil ne correspond pas du tout au profil d’un ingénieur informaticien mais plutôt à celui d’une personne issue d’une grande école de management ou de commerce avec une expérience réussie de quelques années à un poste de senior manager ou de membre d’un Comité de Direction.

Quelques formations et certifications viendront idéalement compléter les aptitudes et les compétences du DSI, sur la base des référentiels de bonnes pratiques universellement utilisés dans ce domaine.

Voici quelques unes des formations et certifications typiquement destinées à un profils de DSI :

COBIT® pour le Board et les Exécutifs (1 jour) : les responsabilités de gouvernance et de management du système d’information et comment réaliser l’alignement avec les attentes des actionnaires/propriétaires, les objectifs de l’Entreprise et la Stratégie Informatique.

COBIT® 5 Foundation (3 jours) : les fondamentaux de la gouvernance et du management des systèmes d’informations, incluant comment en implémenter les facilitateurs et évaluer leur aptitude à supporter la mission de l’Entreprise.

RESILIA Foundation (3 jours) : les fondamentaux de la cyber-résilience, incluant la cyber-sécurité, et notamment comment intégrer la cyber-résilience dans la stratégie informatique.

ITIL® Service strategy (3 jours) : formation de niveau « intermediate » du cursus ITIL, la qualification Stratégie de Service (SS) est l’un des cinq modules du cycle de vie des services ITIL et vous fournit les conseils vous permettant de concevoir, développer et mettre en œuvre la stratégie de fournisseur de service en alignement avec la stratégie de l’Entreprise.

AB Consulting, seul Organisme de Formation Accrédité (ATO) par l’ISACA et AXELOS sur la totalité de ces domaines en Afrique, vous propose l’ensemble de ces formations et certifications. Nous pouvons également vous aider au travers de nos services de coaching et d’accompagnement sur ces aspects ainsi que réaliser à votre demande des évaluation d’aptitude de votre système de management ou de votre système de gouvernance.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact:

RESILIA, objectif cyber-résilience

RESILIA, le cadre de référence de cyber-résilience, publié récemment par AXELOS, fait une entrée remarquée dans le paysage des référentiels de bonnes pratiques au moment-même où se déroule le mois de la cyber-sécurité, auquel AB Consulting s’associe au travers de la publication d’articles et de sa participation à une série d’évènements destinés à sensibiliser les Entreprises sur les risques en matière de cyber-sécurité.

RESILIA - cyber-resilience

Quel est le problème?

Le problème avec la sécurité informatique, c’est que, traditionnellement, elle est largement axée sur la technologie, se préoccupant surtout de contrôles et de mécanismes en en oubliant souvent la raison : il s’agit de protéger les actifs de l’organisation. Cela résulte le plus souvent en des mesures de protection totalement inadaptées : soit on sauvegarde tous les actifs et cela conduira à un coût disproportionné, ou, à l’inverse on met en place une protection insuffisante pour préserver des actifs précieux dont on ne réalise la valeur qu’une fois qu’un incident de sécurité est survenu.

Le résultat de cet état de fait, c’est qu’on blâmera des départements qui, à leur niveau, faisaient de leur mieux pour fournir une solution qui se révèle inadéquate pour un problème qui se situe à l’échelle de l’organisation, et pas seulement à celle du département..

Un changement de paradigme s’est produit il y a quelques années avec l’émergence de la «sécurité de l’information», induisant un changement de culture au travers de la focalisation sur ce qui devait  être protégé au détriment de qui devait s’en charger, s’appuyant sur l’introduction du concept que la sécurité est une responsabilité collective et pas seulement celle du domaine informatique.

Les métiers de l’Entreprise ont finalement compris qu’ils avaient un rôle crucial à jouer dans la catégorisation des actifs en fonction de la valeur qu’ils représentent pour l’Organisation, c’est à dire de l’impact qu’aurait la perte de ces actifs sur l’Entreprise, et pas seulement le prix des actifs tangibles. A titre d’exemple, un ordinateur portable perdu pourrait coûter  1000 € au titre de son remplacement, mais entraîner la perte d’une opportunité d’affaire faisant perdre 10.000 € à l’entreprise. Si l’ordinateur portable a été volé et que des données confidentielles qu’il contenait ont été divulguées, alors, à ces montants peuvent s’ajouter des amendes pouvant atteindre 100 000 € par exemple. Et n’oublions pas que cette fuite d’information pourrait menacer l’avenir de l’entreprise à cause de la perte de réputation et d’image de la marque qui en résulteraient ainsi que de la réduction de la confiance de la clientèle … A partir de là on entre très rapidement dans une spirale infernale qui conduit beaucoup d’Entreprises ayant subi une cyber-attaque à une disparition pure et simple dans les deux années suivantes….

RESILIA, de quoi s’agit-il?

Logo RESILIAIl est clair que la prévention ne suffit pas. La loi de décroissance des rendements montre qu’à partir d’un certain point,  un excès de prévention devient totalement inefficace en termes de coûts. Malheureusement, de nombreuses organisations trop immatures ont fixé ce seuil à un niveau incroyablement bas. C’est là que  RESILIA  intervient en proposant des bonnes pratiques nous aidant à planifier et à résister aux effets indésirables d’un incident de sécurité.

Alors, comment ça marche?

Ces effets peuvent-ils être contenus? La réponse est positive. La sécurité de l’information n’est pas un but en soit.  C’est un parcours balisé suivant un processus simple:

  1. Identifier les principaux actifs. Classez-les selon leur valeur pour l’organisation, pas seulement leur valeur valeur monétaire. Il faut comprendre l’impact pour l’Entreprise s’ils sont perdus ou volés. La perte de données est un problème et le vol de données a un coût très élevé: nous ne parlons pas seulement d’amendes infligées par les organismes de réglementation, mais aussi et surtout de la réputation de la marque et de l’hémorragie de clients qui va résulter de la perte de confiance induite.
  2. Déterminer l’appétit du risque de l’organisation. Quelles sont les menaces qui pèsent sur ces actifs? Où sont leurs vulnérabilités? Certains risques sont totalement inévitables, ou ont un coût disproportionné de réduction qui peut être difficilement acceptable. Alors, un plan de réponse devrait être disponible au cas où le risque se transformer se concrétise. Il est toujours plus sûr d’avoir un plan en espérant ne jamais avoir à l’utiliser que de ne pas en avoir du tout.
  3. Communiquer la stratégie: planifier et annoncer. Qui sont vos partenaires? Quels seront leurs responsabilités? Comprennent-ils les conséquences de responsabilités non assumées? Y at-il des conditions préalables – comme une formation complémentaire ou des mesures législatives qui nécessitent d’être satisfaites?
  4. Exécuter le plan: impliquer les personnes et les processus, et pas seulement la technologie. Intégrez les changements au niveau culturel en faisant de la sécurité un élément naturel opérations quotidiennes – les gens ont besoin de se sentir sécurisés de façon habituelle grâce à la sensibilisation sur les avantages et des ramifications plutôt que de de ressentir qu’il ne s’agit que d’un exercice qui se traduira par une case supplémentaire à cocher.
  5. Examen et vérification: appliquer la gouvernance à tous les niveaux, effectuer des audits réguliers pour évaluer les niveaux de maturité et examiner les opportunités d’amélioration, mesurer et présenter des rapports qui serviront de preuve de la conformité et identifier les failles. Vous pouvez également simplement laisser aux hackers le soin de trouver les failles par eux-mêmes d’abord !…

Mais tout cela ne va pas sans difficulté. La Sécurité exige un engagement fort au niveau du Conseil d’Administration, des efforts soutenus et des investissements importants pour être couronnée de succès: ce sont les personnes responsables de l’approbation des contre-mesures défensives qui ont le plus à perdre si les mesures ne sont pas prises – celles qui verront le plus rouge visages quand vous expliquerez pourquoi on n’a pas fait plus tôt ce qu’il fallait. Donc, c’est là que se situe votre retour sur investissement: si vous voulez avoir une idée de votre budget, pensez à combien il en coûtera à votre organisation si vous ne faites pas ce qu’il faut et que vous devez supporter des conséquences telles que des pénalités par exemple..

Si la sécurité n’est pas pour vous, alors peut-être qu’elle est pour vos concurrents.

Pour tout complément d’information ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact :

Cyberterrorisme, une menace sous-estimée

De nombreux experts estiment que la première cyber-guerre est déjà bien entamée. Il ne s’agit pas exactement une «guerre froide», au sens où la génération précédente l’entendait. Les dommages sont déjà considérables et s’évaluent en milliards de dollars et l’intention hostile des pirates, souvent parrainés par les États, est évidente. Dans le même temps, les organisations, tant publiques que privées, ne se mobilisent pas contre la menace constituée par le cyberterrorisme, et la cyber-sécurité ainsi que la cyber-résilience restent majoritairement négligées au plus haut niveau.

cyberterrorisme

Le cyberterrorisme, c’est quoi?

Selon le dictionnaire Larousse, le cyberterrorisme fait référence à l’ensemble des attaques graves (virus, piratage, etc.) et à grande échelle des ordinateurs, des réseaux et des systèmes informatiques d’une entreprise, d’une institution ou d’un Etat, commises dans le but d’entraîner une désorganisation générale susceptible de créer la panique.

Une caractéristique commune est le caractère le plus souvent politique ou idéologique de ces cyber-attaques. Ces attaques peuvent être perpétrées à la fois par des Etats, des groupes de personnes, des organisations, voire des individus isolés.

Alors le cyberterrorisme, ça existe vraiment?

Le cyberterrorisme existe bel et bien et de nombreux exemples sont là pour nous le démontrer quotidiennement depuis plusieurs années.

En effet, le cyberterrorisme n’est pas un fantasme, et l’Estonie s’en souvient. En 2007, la petite République ex-soviétique devenue hyperconnectée a été visée par une importante cyberattaque qui a bloqué les réseaux informatiques des services publics, mais aussi des banques et de tous les systèmes connectés. Le pays est resté paralysé plusieurs jours.

Plus récemment, en France, juste après la fusillade meurtrière de « Charlie Hebdo », plus de 25.000 sites internet français ont été attaqués par des hackers islamistes. Ces attaques ont, pour la plupart, consisté à remplacer la page d’accueil par un message haineux.

Plus récemment encore, souvenons-nous de l’attaque de TV5 Monde qui a eu lieu le 8 Avril 2015 et qui était en cours de préparation depuis janvier. Six mois plus tard, TV5 Monde ne s’est pas encore complètement remise de cette attaque dont le coût estimé sur France Info, en Juillet 2015, lors d’une interview de Yves Bigot, directeur général de TV5 Monde, s’évalue d’ores et déjà entre 4,3 et 5 millions d’Euros pour l’année 2015 et environ 11 millions d’Euros pour les trois prochaines années.

TV5 MondePetit retour sur la cyberattaque qui a affecté TV5 Monde (source France Info) :


Le 8 avril 2015, TV5 Monde, la chaîne de télévision Française qui émet dans 200 pays, est victime d’une cyberattaque de grande envergure. Les pirates se revendiquent de l’organisation de l’Etat islamique. Au siège parisien de la chaîne, Yves Bigot enregistre un message avec les moyens du bord qu’il diffuse ensuite sur youtube. « Ce piratage a conduit l’ensemble de nos 11 chaînes à virer à l’écran noir et nous avons perdu dans le même temps le contrôle de nos réseaux sociaux et de nos sites internet. L’ensemble de nos équipes travaillent d’arrache-pied pour rétablir les programmes auxquels vous êtes habitués« .

Après huit heures d’interruption, les programmes de TV5 Monde seront finalement rétablis le lendemain matin. Selon les premiers éléments de l’enquête, la cyberattaque avait été amorcée dès le mois de janvier 2015, avec l’envoi de faux mails aux personnels de la chaîne, utilisant une technique bien connue d’ingénierie sociale:  l’hameçonnage (phishing) permettant aux pirates de s’immiscer dans le système informatique. En juillet 2015, soit trois mois et demi après, les 400 salariés de TV5 Monde étaient toujours dans l’impossibilité de travailler normalement, selon Yves Bigot, invité sur France Info :

« Nous vivons toujours sans wifi, sans pouvoir utiliser de skype ou scanner de document car nous ne pouvons toujours pas nous reconnecter au réseau internet. Il faut attendre que l’agence nationale de sécurité des services d’information finissent ses analyses et que nous construisions la nouvelle architecture de diffusion qui nous protege au maximum. Ce signifie que l’on travaille un peu comme si nous étions les naufragés de ‘Lost’« .

Les règles de sécurité informatique ont dû être renforcées avec des mots de passe beaucoup plus complexes et modifiés fréquemment. « C’est le coût de la survie de TV5 Monde, » justifiait Yves Bigot, « car les statistiques montrent que 90% des entreprises frappées par ce type d’attaque ferment dans les 2 ans qui suivent. Nous, nous ferons partie des 10 qui survivront, fort heureusement. Mais cela va nous demander un certain nombre d’astreintes« .

Et le Directeur Général de conclure espérer un retour à un fonctionnement normal de la chaîne à la rentrée 2015, soit après plus de 6 mois…

Qui se cache derrière le cyberterrorisme?

Le cyberterrorisme peut être l’oeuvre de n’importe qui. Les piratages cités précédemment sont relativement simples et ont occasionné des dommages limités. Ils se sont revendiqués parfois de soutiens à l’Etat islamique (Daech). A priori, ce sont pour l’instant de petites structures de pirates mais la question est de savoir comment elles vont évoluer. Il peut aussi s’agit, dans certain cas, de cyber-terrorisme d’état.

Aujourd’hui il est clairement plus simple et moins dangereux de lancer une cyber-attaque terroriste qu’une attaque physique telle que nous les connaissons à l’image de la fusillade de Charlie Hebdo ou celle du Pardo à Tunis. Un petit groupe d’individus, dissimulés derrière Internet sont capables de perpétrer des dégâts majeurs en utilisant seulement des connaissances en informatique.

Les objectifs très ciblés permettent d’avoir un effet important, à un moment donné. Par exemple, si un système radar qui sert à faire décoller des avions nous gêne pour une opération dans une zone, c’est mieux de pouvoir l’éteindre à distance que de lâcher une bombe. En 2008, l’explosion d’un pipeline en Turquie serait due à un piratage informatique, fomenté par la Russie dans une bataille pour l’énergie, rapporte Bloomberg. Dans le cas de TV5 Monde, la piste des hackers russes a également été avancée pour expliquer la cyberattaque. Mais les investigations n’ont permis de déterminer ni l’origine géographique de l’attaque, ni le nombre de pirates.

Quels sont les risques véritables?

Aujourd’hui, les groupes terroristes ont de l’argent et peuvent s’en procurer beaucoup plus en ciblant des banques par exemple. La manne peut être quasi illimitée . Il n’y a qu’un pas pour qu’ils se munissent de cyber-armes, surtout qu’il n’y a pas besoin de beaucoup de moyens humains pour les utiliser, quelques dizaines de personnes suffisent pour lancer une attaque massive.

Si certains chercheurs sont capables de prendre le contrôle d’une voiture et de faire s’emballer le moteur pour qu’il explose, alors il n’y a pas de raison pour qu’ils ne puissent pas faire la même chose avec des armes ou des engins militaires.

Un récent rapport de Think Tank Britannique Chatham House (La cyber-sécurité des installations nucléaires civiles: comprendre les risques) met en évidence que les installations nucléaires sont de plus en plus dépendantes des « systèmes numériques, des logiciels commerciaux standards et de la connectivité à Internet», et deviennent donc « plus sensibles à une cyber-attaque « .

Cette sensibilité accrue s’accompagne en toile de fond du  « potentiel d »émission de rayonnements radio-actifs ».

De plus, il apparaît totalement improbable que le secteur nucléaire divulgue ce type d’incidents de cyber-sécurité en raison de « sensibilités en matière de sécurité nationale … conduisant le personnel de l’industrie nucléaire à sous-estimer le risque de cyber-attaque.« 

En outre, étant parmi les plus récents à adopter les technologies numériques « l’industrie nucléaire dans son ensemble fait actuellement face à des difficultés d’adaptation » et il existe un flagrant «manque de prise de conscience au niveau exécutif des risques encourus« .

Parmi les résultats spécifiques de ce rapport figure le fait que de nombreuses installations nucléaires utilisent maintenant des VPNs et des connexions Internet non documentées, ce qui signifie qu’elles ne sont aussi étanches que les exploitants l’imaginent, et que même là où l’étanchéité est garantie, « cette garantie peut être violée avec un simple lecteur de mémoire flash ».

risque nucléaireBien sûr, il s’agit d’un rapport Britannique et cela ne concerne sûrement pas les centrales nucléaires Françaises. Quoique, si on y regarde de plus près de nombreuses installations nucléaires à travers le monde ont déjà été victimes de ce type de cyber-attaques dans les 25 dernières années, comme par exemple :

  • Centrale nucléaire d’Ignalina (Lituanie – 1992) – Un technicien « introduit intentionnellement un virus dans le système de contrôle industriel … dans le but de mettre en évidence les vulnérabilités en matière de cybersécurité de ce site ». La centrale a été fermée en 2009
  • Centrale nucléaire de Davis-Besse (Ohio – 2003) – Le ver Slammer a infecté le système de supervision de contrôle et d’acquisition de données, et désactivé le système d’affichage des paramètres de sécurité pendant près de cinq heures.
  • Centrale nucléaire de Browns Ferry (Alabama – 2006) – Un dysfonctionnement des deux pompes de recirculation du réacteur et du contrôleur de condensation conduisaient à l’arrêt manuel de l’Unité 3 pour éviter la fusion du réacteur.
  • Centrale nucléaire de Hatch (Georgie – 2008) – L’installation d’une mise à jour logicielle sur le réseau de gestion de la centrale, par un ingénieur, provoque la réinitialisation du système de commande de la centrale pour permettre la resynchronisation des deux systèmes entraînant des dysfonctionnements du système de refroidissement et conduisant à arrêt automatique de l’Unité pendant 48 heures.
  • Site nucléaire de Natanz et centrale de Bouchehr (Iran – 2010) – Le ver Stuxnet, probablement transmis par des clés USB infectées, endommage deux installations nucléaires en Iran, « détruisant partiellement autour de 1.000 centrifugeuses à Natanz« . Un site russe dont le nom reste secret a également été affecté par Stuxnet à peu près en même temps.
  • Réseau commercial de Korea Hydro & Nuclear Power Co. (Corée du Sud – 2014) – Utilisant un email d’hameçonnage (phishing), les pirates ont pu accéder au réseau commercial de la société qui exploite 23 réacteurs nucléaires en Corée du Sud. Les plans et les manuels de deux réacteurs ont été volés et divulgués via Twitter, accompagnés de demandes de rançon, en exigeant que l’entreprise ferme trois de ses réacteurs.

Sans vouloir paraître inutilement alarmiste, il est important d’avoir conscience que l’éventualité d’un accident nucléaire dû à l’absence, volontaire ou pas, de mise  en œuvre des contrôles de cyber-sécurité appropriées existe bel et bien, et que la menace augmente considérablement comme le révèle DELL, dans son rapport annuel sur les menaces de sécurité publié en Mai 2015, montrant que les attaques contre les infrastructures essentielles – y compris les installations nucléaires – ont doublé en l’espace d’un an.

Alors, que peut-on faire?

Yukiya Amano, directeur de l’Agence Internationale de l’Energie Atomique (AIEA), a déclaré lors la première conférence internationale de l’AIEA en juin dernier :

Les ordinateurs jouent un rôle essentiel dans tous les aspects de la gestion et de l’exploitation sûre et sécuritaire des installations nucléaires, y compris le maintien de la protection physique. Il est extrêmement important que tous ces systèmes soient correctement protégés contre les intrusions malveillantes.

La menace cyberterroriste touche aujourd’hui toutes les organisations, et pas seulement les installations nucléaires. Le secteur des banques, de la finance, militaire, aéronautique, du transport, et bien d’autres sont particulièrement à risque.

Les failles de sécurité dans les logiciels « sur étagère » du commerce, dans les plates-formes CMS, dans les applications et les plugins sont continuellement découvertes et exploitées par les pirates criminels opportunistes qui s’appuient sur des outils de scan automatisé pour identifier les cibles. Cela signifie que toute organisation connectée à Internet est à risque. Quel que soit votre secteur d’activité, combler les lacunes en matière de sécurité et corriger les vulnérabilités dès qu’elles sont connues est essentiel pour garder vos réseaux sécurisé et vos informations d’entreprise toute sécurité.

L’implémentation de contrôles de sécurité performants et d’un Système de Management de la Sécurité de l’Information (SMSI) basé sur ISO 27001 vous seront sans aucun doute d’un grand soutien, mais il est tout aussi important de sensibiliser vos personnels (et pas seulement les informaticiens) sur les risques et les mesures de sécurité qui doivent être respectées par chacun et de planifier la continuité business de votre entreprise grâce à des référentiels de cyber-résilience tels que RESILIA, le guide de bonnes pratiques de cyber-résilience publié récemment par AXELOS®.

N’oubliez jamais que de nombreuses attaques opportunistes pourraient facilement être évitées grâce à une bonne gestion de votre sécurité. Si vous vous sentez préoccupé par la vulnérabilité de votre organisation aux cyber-attaques, AB Consulting vous propose un ensemble de services sur mesure et nous vous recommandons d’utiliser un test de pénétration pour évaluer votre vulnérabilité afin que des mesures puissent être prises. Nous vous proposons également une gamme de formations accréditées et certifiantes notamment sur les référentiels RESILIA (Sensibilisation, Foundation et Practitioner) ainsi que sur ISO 27001 (Foundation, Practitioner et Lead auditor), ISO 27002 (Foundation et Advanced) et ISO 27005 (IT Risk Manager).

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact :

Cyber-résilience: un tournant stratégique

Les approches traditionnelles de gestion de la sécurité de l’information se concentrent généralement sur l’aptitude d’une organisation à prévenir et détecter les cyber-attaques sur son information et ses actifs. Mais le mythe largement répandu de la cybersécurité comme parade infaillible contre les cyber-risques grâce à une série de contrôles techniques est maintenant très largement battu en brèche. La nature et la fréquence des cyber-attaques ont énormément évolué ces dernières années au point qu’une cyber-attaque réussie sur votre système d’information est désormais considérée comme inévitable.

cyber-résilience

L’accent nouvellement mis sur la cyber-résilience reflète cette évolution en déplaçant les efforts sur comment les organisations peuvent résister, réagir et surtout récupérer d’une cyber-attaque réussie. Mais une-certification du personnel sur la cyber-résilience peut-elle vraiment avoir un impact significatif sur une organisation?

Pourquoi une certification en cyber-résilience?

Un niveau de cyber-résilience trop faible est maintenant un risque considéré comme critique au niveau du Conseil d’Administration et de la direction des Entreprises, ainsi que par la sécurité, mais aussi par les équipes informatiques et de la gestion des risques. Le top management est conscient de la pénurie de spécialistes dans le domaine de la sécurité et recherche des praticiens experts compétents comprenant les vulnérabilités, les menaces et les risques, en mesure d’expliquer les impacts potentiels sur l’entreprise.

Les qualifications traditionnelles en cybersécurité se focalisent principalement sur l’identification et la prévention des attaques. En revanche, RESILIA, le référentiel de bonnes pratiques de cyber-résilience publié récemment par AXELOS, se présente sous la forme d’un portefeuille complet de publications, d’un cursus de formations et d’outils de sensibilisation visant à renforcer la cyber-résilience des Organisations en commençant par le Conseil d’Administration et en descendant sur tous les niveaux de management et opérationnels de l’Entreprise. Le guide des meilleurs pratiques de Cyber résilience (Cyber Resilience Best Practices – TSO Ed.) complète et supporte les certifications Foundation et Practitioner, la sensibilisation à l’échelle de l’organisation toute entière, et un outil aidant à définir une feuille de route en cyber-résilience permettant d’adresser et de proposer des plans d’action et/ou d’amélioration appropriés.

RESILIA n’est pas une norme et ne permet donc pas de certifier les Organisations. A l’image des autres référentiels de bonnes pratiques, RESILIA permet de qualifier et de certifier uniquement les personnes grâce à des examens qui testent leurs connaissances et leur permettent de développer des compétences pratiques en cyber-résilience basées sur un langage commun, avec le potentiel de faciliter le changement comportemental au sein des organisations. RESILIA a été développé par AXELOS® pour être un complément à ITIL et en adopte la structure. Organisé sur la base des 5 phases du cycle de vie (Stratégie, conception, transition, exploitation et amélioration continue) ainsi que des 25 processus et des 4 fonctions d’ITIL 2011, RESILIA permet aux personnes déjà certifiées sur ITIL d’intégrer les aspects de la cyber-résilience à leurs compétences déjà acquises.

Le cursus officiel de certification comporte deux niveaux: Foundation et Practitioner. Ces formations ainsi que les examens de certifications sont proposés en exclusivité par des organismes de de formation accrédités par AXELOS®. Foundation est un niveau idéal pour des acteurs au sein de départements tels que les ressources humaines, le département commercial, la finance, les achats et la formation, ainsi que la sécurité, la technologie et la gestion de services informatiques, qui ont tous un rôle à jouer pour assurer la résilience. Le niveau praticien (Practitioner) complète le niveau Foundation, qui en constitue le prérequis, et cible principalement les spécialistes de la sécurité.

La formation à la certification RESILIA se concentre sur la recherche d’un équilibre efficace entre les personnes, les processus et la technologie et contribue à construire une collaboration performante entre la sécurité, la technologie et la gestion de services IT. Les cursus ont été conçus pour compléter les cycles de formation existant en matière de sécurité technique.

Les formations et certifications RESILIA sont profitables à la fois pour les personnes et les organisations. Les individus seront en mesure de démontrer leur expertise en la matière grâce à la certification, à se différencier dans la zone à croissance rapide de la sécurité de l’information et de la résilience, où les compétences sont rares, les salaires élevés et où la certification constitue à une prime à l’emploi. En s’appuyant sur RESILIA, les parties prenantes de l’Organisation bénéficieront d’une collaboration accrue avec leurs collègues dans les différents silos fonctionnels alors même que les systèmes de gestion de cyber-résilience s’intègreront efficacement dans toute l’organisation toute entière.

Les organisations peuvent en tirer avantage pour inclure:

  • une meilleure compétence organisationnelle dans le traitement de la cyber-résilience grâce à des spécialistes bien formés
  • une protection contre les menaces en assurant des contrôles bien compris et supportés
  • l’intégration et l’efficacité de leurs processus critiques intégrés, tels que la gestion des incidents, couvrant les cyber-risques.

Vers une compréhension commune de la gestion des risques

La formation de quelques personnes sur la cyber-résilience n’aura que peu d’effets pour protéger les organisations de cyber-menaces. De plus en plus, les menaces ciblent la plus grande vulnérabilité de toute organisation – son personnel. Une étude récente d’IBM a mis en évidence que 95% des cyber-attaques réussissent à cause des actions involontaires d’un membre du personnel. Nous avons déjà abordé ce thème dans nos récents articles Pare-feu humain : votre meilleure protection et Cyber-sécurité – Ingénierie sociale : un risque majeur.

Les personnes doivent toujours se situer au cœur de toute stratégie efficace de cyber-résilience. La sensibilisation de «tout le personnel» doit jouer un rôle fondamental dans la réduction des risques, favorisant son engagement fort, son adaptabilité aux évènements de sécurité ainsi qu’en permettant de mesurer son efficacité. Le contexte des cyber-risques est en mutation permanente. Il est donc essentiel de planifier la formation continue et la participation de l’ensemble du personnel de l’organisation à la cyber-résilience à ces programmes et de ne pas se limiter à une seule session de sensibilisation lors de l’embauche des personnels…

Une stratégie de cyber-résilience performante devrait donc incorporer les contrôles au niveau de la technique, des processus et du personnel. S’assurer que les employés sont bien formés pour reconnaître un cyber-risque, et capables de réagir en conséquence en temps opportun est essentiel. Une focalisation globale doit se faire sur l’alignement des priorités stratégiques de l’Entreprise, des outils de gestion, des services, des systèmes d’exploitation des architectures avec des programmes de formation continue et l’implication des personnels à travers toute l’organisation.

Il est essentiel d’amener les gens, les processus et la technologie à travailler de concert pour protéger, détecter et répondre aux cyber-menaces et aux attaques. Le cadre RESILIA des meilleures pratiques pour la cyber-résilience, en conjonction avec les systèmes de gestion des services existants tels que ITIL et les cadres de gestion de projets et de programmes qui incluent PRINCE2, permet aux organisations de créer une approche proactive, équilibrée et collaborative visant à l’identification et la gestion des cyber-risques tout en leur donnant la capacité de détecter et récupérer des cyber-attaques plus rapidement, en minimisant les dommages financiers ou de réputation qui pourraient en découler.

Pour plus d’information ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact:

Cyber-sécurité: une demande forte pour un profil rare

 

L’actuelle pénurie de professionnels qualifiés en cyber-sécurité continue de constituer un problème majeur pour toutes les industries aux Etats-Unis, en Europe, mais aussi dans le reste du monde.

professionnel en cyber-sécurité

James Trainor, directeur adjoint par intérim de la Division Cyber du FBI, a récemment déclaré que l’industrie de la cyber-sécurité doit absolument « doubler ou tripler » ses effectifs pour être en mesure de répondre à l’augmentation des violations en matière des sécurité des informations.

Selon le Rapport 2015 sur la situation mondiale en matière de cyber-sécurité publié en Janvier par l’ISACA, 86% des entreprises et des professionnels de l’informatique sont conscients de la pénurie de professionnels de la cyber-sécurité et 37% prévoient d’embaucher de nouveaux spécialistes de la cyber-sécurité en 2015. 53% des entreprises interrogées prévoient également d’accroître, en 2015, la sensibilisation de leurs équipes grâce à des formations de sensibilisation, à la lumière des évènements récents publiés dans les médias.

Il n’y a jamais eu de meilleur moment pour entrer sur ce marché en plein essor. Voici quelques raisons de plus à considérer pour le développement de votre carrière.

Vous serez sans aucun doute la cible de chasseurs de têtes.

Le Bureau of Labor Statistics (BLS) a constaté qu’il y a actuellement « plus de 209.000 offres d’emplois non pourvues en matière de cyber-sécurité aux Etats-Unis, et les recrutements sont en hausse de 74 pour cent au cours des cinq dernières années ». En France, le nombre de postes non pourvus par manque de candidats est certes moins impressionnant mais d’ores et déjà, on en compte plus d’un millier depuis le début 2015.

Le BLS estime également que le marché de l’emploi pour les analystes de la sécurité de l’information – qui comprend les professionnels de la cyber-sécurité – va croître de 37% d’ici 2022.

Le rapport de sécurité annuel 2014 de Cisco estime, pour sa part, qu’il y a une pénurie mondiale d’un million de professionnels de la sécurité de l’information.

Les salaires sont élevés

Comme la concurrence pour le personnel qualifié augmente, les salaires sont inévitablement à la hausse pour attirer les meilleurs candidats – souvent bien au-delà des niveaux que les entreprises les plus petites peuvent se permettre – provoquant des taux anormalement élevés de turn-over et l’instabilité du secteur.

salaire cyber-sécuritéAux Etats Unis, les salaires annuels des professionnels de la sécurité dans les technologies de l’information vont de 60.000 $ à 70.000 $ pour les emplois de premier échelon. Le BLS estime le salaire médian à 86.170 $. Les 10 pour cent ayant les plus bas salaires ont gagné moins de 49.960 $, le top 10 pour cent a pour sa part gagné plus de 135.600 $ en moyenne l’an dernier. En France, les revenus moyens en début de carrière sont généralement de l’ordre de 35 à 40 k€ annuels, peuvent atteindre plus de 80 k€ pour un consultant senior.

James Stanger, Senior Director du groupe produits pour CompTIA (un des leaders mondiaux en matière de certifications dans le domaine IT), a déclaré :« le truc pour être un professionnel compétitif en sécurité, c’est d’avoir un diplôme d’études supérieures, une certification en cyber-sécurité, et de l’expérience».

« J’ai vu des gens possédant seulement une certification mais pas de diplôme d’enseignement supérieur s’en sortir parfaitement, bien que n’ayant pas encore d’expertise professionnelle. Mais, en général, vous avez besoin des trois », a déclaré Stanger.

Vous aurez un emploi à vie. Aussi longtemps que l’Internet sera présent dans nos vies professionnelles et personnelles, vous serez incontournable.

Les cyber-menaces se multiplient en permanence, notre dépendance à l’Internet continue d’augmenter chaque jour, et, comme l’internet des objets décolle, le nombre d’appareils connectés à l’Internet explose (automobiles, appareils électro-ménagers, puces d’identification RFID dans les cartes et badges, contrôle à distance des équipements domotique…). Il va donc de soi que le nombre d’emplois en cyber-sécurité continuera d’augmenter de façon de plus en plus rapide.

La pénurie va continuer et même augmenter

La plupart des organisations qui ont été la cible d’attaques de sécurité ces dernières années ont perdu des informations extrêmement sensibles. Même si ces informations perdues ne mettent pas nécessairement les personnes et les biens (incluant les aspects financiers) en péril direct, cela conduit le plus souvent à des dommages irréversibles en termes d’image et de réputation de l’Entreprise victime. Les clients et prospects perdent toute confiance dans une organisation qui n’est pas capable de conserver leurs informations confidentielles et sécurisées. Le nombre de procès intentés au Organisations concernées par les personnes auxquelles les données volées ou perdues appartenaient augmente de façon spectaculaire. La conséquence est que pour éviter ces impacts majeurs, beaucoup d’Entreprises victimes de cyber-attaques ne communiquent pas sur ces incidents.

Cela a conduit, sous la pression des clients et utilisateurs de la société de l’information, les organismes internationaux de régulation ainsi que les états à adopter des lois et réglementations très sévères à l’image du Royaume Uni où la législation prévoit une amende infligée par l’ICO (Information Commissioner’s Office) allant jusqu’à 100.000 £ pour toute violation de données. De son côté, la Communauté Européenne, au travers de la Directive Européenne de Protection des Données, prévoit d’imposer désormais aux Entreprises de communiquer publiquement sur les vols de données dont elles auraient été victimes. Cette nouvelle directive prévoit aussi des amendes allant jusqu’à 100 millions d’Euros ou 5% du chiffre d’affaires pour les Organisations qui ne respecteraient pas la législation en la matière.

Cette directive devrait entrer en vigueur fin 2015. Il est clair que les conséquences vont être importantes au niveau des Entreprises Européennes qui vont être contraintes d’appliquer la directive et donc recruter plus de spécialistes en matière de cyber-sécurité et de cyber-résilience.

Une qualification en cyber-sécurité et/ou en cyber-résilience pour démarrer votre carrière

Il existe actuellement plusieurs qualifications disponibles pour les candidats potentiels à des postes en cyber-sécurité et en cyber-résilience.

ISO 27001 : La norme internationale

iso 27001En 2005, la première norme en matière de cyber-sécurité à la fois globale, exhaustive et par dessus tout internationale voyait le jour : ISO 27001. Aujourd’hui il s’agit de la norme de certification des systèmes de management de la sécurité des informations la plus implémentée dans le monde. La certification ISO 27001 devient même une exigence de conformité réglementaire pour certains types d’Entreprises dans des pays importants dans le monde.

En obtenant une qualification ISO 27001 vous démontrez à vos employeurs actuels et futurs que vous prenez au sérieux la sécurité des informations et que vous êtes familier avec les meilleures pratiques en cyber-sécurité.

Il y a trois qualifications principales disponibles:

Novice sur la norme ISO 27001? Suivez le cours de 3 jours ISO 27001 Foundation et développez votre compréhension de la norme et de ses exigences.

Impliqué(e) dans la mise en œuvre de la norme ISO 27001? Suivez le cours ISO 27001 Practitioner pour comprendre pleinement comment planifier, mettre en œuvre et maintenir un ISMS conforme aux exigences d’ISO 27001.

Vous devez réaliser des audits ISO 27001? Suivez le cours ISO 27001 Auditor vous permettant d’obtenir la qualification nécessaire pour planifier et exécuter des audits de conformité de systèmes de management de la sécurité de l’information (ISMS) à ISO 27001.

RESILIA: les bonnes pratiques en cyber-résilience

cyber-résilience résiliaUn nouveau référentiel de bonnes pratiques couvrant l’ensemble du domaine de la cyber-résilience vient de voir le jour au Royaume Uni. Il s’agit de RESILIA, publié par AXELOS®, l’Organisation possédant la propriété intellectuelle de l’ensemble du portefeuille des bonnes pratiques du domaine public britannique incluant en particulier ITIL® et PRINCE2® . La cyber-résilience intègre la cyber-sécurité mais son périmètre est plus large et couvre notamment les aspects de récupération de son aptitude à créer de la valeur par l’Entreprise après avoir subi une cyber-attaque. RESILIA complémente de façon très efficace ITIL® en intégrant les éléments relatifs à la cyber résilience aux cinq phases du cycle de vie des services (stratégie, conception, transition, exploitation et amélioration continue).

Pour l’heure trois cours et deux qualifications RESILIA sont disponibles :

RESILIA Awareness : cours d’une journée destiné aux membres des comités de direction et à l’ensemble du personnel métier des Entreprises afin de les sensibiliser sur les risques, les moyens de s’en protéger et sur la manière de réagir en cas de cyber-attaque afin de permettre à l’Entreprise de minimiser les impacts sur son image, sa réputation et bien sûr sur son activité opérationnelle. Ce cours ne conduit pas à une certification.

RESILIA Foundation : cours de trois jours couvrant les principes fondamentaux et les cinq phases du cycle de vie, destiné à l’ensemble du personnel informatique et des membres des équipes métiers, aboutissant à la certification RESILIA Foundation.

RESILIA Practitioner : cours de deux jours, couvrant les aspects de pratique au quotidien des activité de cyber résilience. A l’issue des ces deux journées, un examen de certification RESILIA Practitioner permet aux participants, généralement issus des équipes informatiques et des équipes en charge de gérer la sécurité de l’information d’obtenir la qualification internationale de Praticien RESILIA.

COBIT® 5 : la Gouvernance et le Management de la sécurité

COBIT 5 NIST ImplementationImplementing NIST cybersecurity framework using COBIT 5 : cours de trois jours, focalisé sur l’Implémentation du référentiel de cyber-sécurité du NIST, basé sur les 7 étapes d’implémentation de COBIT® 5 conduisant à la certification Implementing NIST CSF using COBIT® 5

COBIT® 5 Assessor for Security : cours de trois jours, accessible aux titulaires de la qualification COBIT® 5 Foundation, fournissant les bases pour évaluer l’aptitude des processus de cyber-sécurité d’une organisation par rapport au modèle d’évaluation (PAM) de COBIT® 5. Ce cours permet d’obtenir la qualification COBIT® 5 Assessor for Security.

COBIT® 5 for Information Security : ce cours de deux jours s’adresse aux professionnels de la sécurité et offre une couverture globale et pratique de tous les aspects de COBIT® 5 dans le cadre spécifique de la sécurité de l‘information, y compris ses composantes, les facilitateurs et les conseils de mise en œuvre.

Cyber-sécurité vs cyber-résilience

On entend de plus en plus parler de cyber-sécurité et de cyber-résilience. Mais au final, qu’est-ce qui se cache derrière ces termes compliqués pour le commun des mortels ? C’est ce que nous allons essayer d’expliquer au travers de cet article.


cyber-curité vs cyber-résilience

Sécurité ou Résilience ? De quoi parlons-nous ?

Sous l’administration Obama, les décisions prises par la Maison Blanche en matière de sécurité nationale portent le nom de Directives Politiques Présidentielles (Presidential Policy Directives – PPD). La PPD 21 publiée en 2013 porte sur la sécurité et la résilience des infrastructures critiques et définit les contraintes à respecter dans ce domaine par l’ensemble des acteurs impactant la société américaine.

Cette directive, qui peut être vue comme une référence en la matière définit les termes suivants :

La sécurité consiste à réduire le risque pour les infrastructures par des moyens physiques ou mesures de cyber-défense à des intrusions, les attaques ou les effets des catastrophes naturelles ou causées par l’homme.

Exemples de mesures de sécurité:

  • Badge aux portes d’entrée
  • Utiliser un logiciel antivirus
  • Clôture autour des bâtiments
  • Verrouillage des écrans d’ordinateur

La résilience est la capacité à préparer et à s’adapter à des conditions changeantes, de résister et de récupérer rapidement suite à des perturbations subies. La résilience comprend la capacité de résister et de se remettre d’attaques délibérées, d’accidents, ou de catastrophes naturelles ou encore d’incidents.

Exemples de mesures de résilience:

  • Élaboration d’un plan de continuité d’activité
  • Prévoir un générateur électrique de secours
  • Utilisation de matériaux de construction durables

Le préfixe Cyber, pour sa part fait référence à toutes les techniques liées à la société du numérique et notamment à l’informatique et à l’internet.

On pourrait donc résumer de la façon suivante :

la cyber-sécurité consiste à réduire les risques d’intrusion, d’attaques ou les effets de catastrophes naturelles ou causées par l’homme dans le cadre de l’utilisation des moyens informatiques et de communication,

alors que

la cyber-résilience est la capacité à se préparer et s’adapter à des conditions en perpétuelle évolution ainsi qu’à récupérer rapidement ses capacités suite à des attaques délibérées, des accidents, des catastrophes naturelles ou encore des incidents dans le cadre de l’utilisation de moyens informatiques et de communication.

 Des différences essentielles

Il résulte de ces deux définitions que le périmètre de cyber-sécurité couvre essentiellement la réduction des risques et la résolution des incidents de sécurité de l’information alors que la cyber-résilience est beaucoup plus large et couvre à la fois la préparation à subir des attaques (prévention) et par dessus tout à pouvoir continuer et reprendre une activité business normale (correction) très rapidement suite à une attaque, une catastrophe naturelle ou des incidents liés à la sécurité de l’information.

La sécurité n’est-elle donc pas suffisante en soi?

La réponse est clairement négative. La sécurité vise à prévenir les incidents de sécurité et à gérer ces incidents mais ne prépare pas l’Organisation à faire face aux conséquences d’une cyber-attaque et à récupérer ses aptitudes à créer de la valeur après en avoir été la victime.

Pouvons-nous utiliser les mêmes référentiels et normes ?

Là encore la réponse est négative, du moins en partie. La cyber-sécurité pouvant être vue comme un sous ensemble de la cyber-résilience, il est clair que les référentiels et normes en matière de sécurité constitueront une première étape mais il convient d’élargir très sensiblement le périmètre pour couvrir les aspects de cyber-résilience.

Quelques exemples des normes et de référentiels :


Sécurité :

  • ISO 27001 – Systèmes de Management de la sécurité de l’information – Exigences
  • ISO 27002 – Code de bonne pratique pour le management de la sécurité de l’information

Cyber-résilience :

  • RESILIA – Bonnes pratiques de Cyber-Résilience
  • ISO 22301 – Systèmes de management de la continuité d’activité – Exigences

Cyber-résilience: un enjeu majeur pour les organisations

La cyber-résilience vise à gérer la sécurité en adoptant une approche globale impliquant à la fois les individus, les processus et la technologie. Elle impose une méthodologie à la fois solide et évolutive de gestion, d’analyse et d’optimisation des risques. Elle se pose comme le meilleur garant du capital informationnel des entreprises, organisations, états et individus. La cyber-résilience s’appuie sur cinq piliers que sont la préparation/ l’identification, la protection, la détection, la résolution des problèmes et la récupération. Dans cette approche, il est donc essentiel de se poser les bonnes questions, d’adopter les bonnes mesures et de les réévaluer à un rythme régulier et de façon pragmatique, afin de gérer au mieux les cyber-risques.

Dès lors que les entreprises ont compris que les cyber-attaques les affecteront tôt ou tard, indépendamment des efforts de prévention qu’elles auront mis en oeuvre et seront couronnées de succès, elles peuvent passer à l’étape suivante: la conception et l’implémentation d’un Programme de Cyber-Résilience (PCR). Un PCR englobe bien sûr les concepts de défense et de prévention, mais va au-delà de ces mesures pour mettre l’accent sur la réponse et la résilience de l’organisation dans les moments de crise.

Un PCR robuste implique:

  • La définition des risques d’entreprise. Oubliez la « liste de contrôle de conformité ». Oubliez les règlementations qui régissent votre secteur d’activité pendant un moment. Il suffit de regarder votre entreprise. Au lieu de vous concentrer sur les entrées, focalisez votre attention sur les résultats. Dans le cas d’une cyber-attaque, quelles conséquences seront supportables par l’Organisation? Qu’est-ce qui vous tuera? Cela vous indiquera ce que vos «joyaux de la couronne » sont … et où vous avez besoin d’investir du temps et des ressources.
  • Le développement d’une politique de sécurité. Comme nous le disions, la cyber–résilience inclut la cyber-sécurité. Mais la sécurité se concentre désormais très directement sur les menaces pesant sur vos actifs clés (y compris les personnes, les processus et la technologie qui sont connectés à, ou ont accès à ces actifs), et sur les contrôles qui peuvent atténuer ces menaces.
  • Délimiter un plan de cyber-relance. Que ferez-vous pour assurer la priorisation, l’agilité et l’adaptabilité face à une cyber-attaque réussie? Votre plan doit être précis, complet et rigoureux. Lorsque l’attaque aura eu lieu, il sera beaucoup trop tard pour y penser.
  • La détermination d’un programme régulier de test. C’est la pratique qui rend parfait … donc mettez régulièrement votre plan de cyber-reprise à l’épreuve pour vous assurer que vous avez bien mis en place et pouvez compter sur la cyber-résilience dont vous avez besoin. Et testez bien vos comportements de sécurité au fur et à mesure que l’environnement évolue. Ils doivent suivre cette évolution.

Les entreprises doivent absolument accepter ce changement de paradigme qui consiste à passer de la cyber-sécurité à la cyber-résilience et d’en tirer des avantages stratégiques. Cela signifie focaliser l’énergie et des ressources sur les cyber-risques qui vraiment pourraient générer un impact sur l’entreprise, et sur les mesures qui fourniront des idées et des avertissements au sujet de ces risques.

L’impact business de la cyber-résilience

Passer d’une vision purement basée sur la cyber-sécurité à une vision de cyber-résilience exige trois changements clés dans l’entreprise:

  • Perspective. Passer du « Comment ? » au « Quoi ? ». Au lieu de se demander: «Avons-nous telle ou telle mesure de sécurité en place? », Les chefs d’entreprise ont besoin d’en savoir davantage sur leurs actifs et la façon dont ils sont protégés.
  • Budget. Trouver le bon équilibre entre le coût et les risques. Traiter tous les actifs et tous les risques à égalité n’est jamais rentable. Les chefs d’entreprise ont besoin de pondérer des budgets informatiques limités pour protéger leurs actifs les plus importants avec la plus grande rigueur.
  • Attentes. Les temps où on demandait des niveaux de 100% en matière de cyber-sécurité sont révolus. Les chefs d’entreprise ont besoin d’être préparés, d’anticiper les failles et les attaques, et d’avoir un plan pour limiter les impacts sur la la réputation, les finances et les opérations de l’Organisation.

Cette évolution permettra d’aligner les dépenses liées à la cyber-résilience avec les priorités des entreprises, de maximiser le retour sur investissement et de réduire les risques ciblés.

Des partenariats sont absolument nécessaires

Les entreprises trouveront difficile de faire la transition vers la cyber-résilience par elles-mêmes. Un consultant indépendant qui peut tirer parti d’une expérience terrain auprès d’autres Organisations et des meilleures pratiques du marché peut être un atout précieux. Un tel partenaire stratégique peut alors agir comme une extension de votre équipe informatique et de sécurité, en s’appuyant sur des processus et des outils avancés pour assurer à la fois la cyber-sécurité et la résilience contre la cybercriminalité.

Avec un partenaire de confiance, vous serez dans une position forte pour créer une stratégie et un plan exécutable qui vous permettront d’améliorer votre sécurité. Mais n’acceptez jamais des solutions toutes faites sorties d’un catalogue et soyez exigeant sur les références et accréditation par des organisations internationales de vos partenaires. Ils doivent vous apporter des conseils fiables et objectifs pour établir une relation de confiance et réduire votre risque.

Sécurité de l’information: top 10 des meilleurs salaires

A l’heure de la pénurie de compétences en sécurité de l’information, voici les 10 postes les mieux payés

emplois les mieux payés en sécurité de l'information

Les nouvelles technologies nous offrent chaque jour d’avantage de possibilités, mais nous obligent, d’un autre côté, à nous confronter une multitude de risques directement liés à la société de l’information. En permanence, nous sommes exposés à des risques, vulnérabilités et menaces tant dans nos vies professionnelles que privées. Reconnaître les menaces et savoir comment les traiter ou, mieux encore, les éviter est essentiel. Au sein des réseaux privés de l’entreprise, la sécurité de l’information est un défi organisationnel et comportemental qu’il faut vraiment prendre au sérieux

Au cours des dernières années, elle a pris une importance significative en raison de la prolifération des délits informatiques et de l’adoption de lois concernant la sécurité de l’information par de nombreux pays sur l’ensemble de la planète.

Le domaine de la sécurité est en pleine expansion et nous remarquons que le vol de données personnelles, l’usurpation d’identité, les intrusions sur les réseaux informatiques font souvent l’actualité et causent fréquemment des dégâts irréversibles aux organisations ciblées.

Ce domaine est l’un des plus rémunérateur du marché en partie en raison du manque de compétences existant dans ce domaine. Or aujourd’hui il existe des cerifications destinée a donner l’opportunité aux intéressés de se former et de profiter d’un salaire élevé. Cela permettrait à de nombreux ingénieurs et managers au chômage de trouver un emploi d’avenir un peu partout dans le monde notamment en Afrique ou le taux de chômage est un véritable fléau. En ce moment de nombreuses entreprises sont à la recherche de spécialistes qualifiés et expérimentés dans ce domaine. Pourquoi attendre ? Comme on le dit souvent le premier arrivé est le premier servi. Voici le top 10 des métiers les mieux rémunérés dans le domaine de la sécurité.

10. Responsable de la Sécurité des Applications (Application Security Manager)

Salaire moyen annuel: 165 000 $ (soit environ146.000 EUR ou 96.000.000 FCFA)

Les gestionnaires de sécurité des applications sont en charge de veiller à ce que toutes les applications produites ou utilisées par leurs Entreprise répondent aux normes définies au sein de l’Organisation en matière de sécurité et de protection de la vie privée. Ce rôle est le plus souvent rattaché au Directeur de la Sécurité ou à un autre fonction similaire.

9. Ingénieur en Cyber-Sécurité (Cyber Security Engineer)

Salaire moyen annuel: 170 000 $ (soit environ 150.000 EUR ou 100.000 FCFA)

Les ingénieurs en cyber-sécurité sont généralement des professionnels expérimentés dans les tests de pénétration et autres outils de cyber-sécurité et maîtrisant leur utilisation pour maintenir l’organisation protégée contre les menaces tant internes qu’externes. Ces nombreux rôles exigent des certifications en cyber-sécurité et au minimum une licence dans un domaine technique, complétée par une certaine expérience réelle sur le terrain.

8. Ingénieur en chef de la sécurité (Lead Security Engineer)

Salaire moyen annuel: 174 375 $ (soit environ 154.500 EUR ou 101.000.000 FCFA)

L’Ingénieur en chef de la sécurité peut se voir confier une multitude de responsabilités, en fonction de l’Organisation à laquelle il appartient: sécurisation des environnements d’exploitation, de la téléphonie et des systèmes de video-conférence ainsi que des logiciels, du matériel et de l’information (à la fois stockées et en transit).  Ce rôle a malgré tout un certain nombre de constantes parmi lesquelles les revues de code et de procédures en vue détecter les vulnérabilités en matière de sécurité, développer la sensibilisation des employés sur ces vulnérabilités potentielles et l’implémentation d’outils de protection.

7. Responsable de la cyber-sécurité (Cyber Security Lead)

Salaire moyen annuel: 175 000 $ (soit environ 155.000 EUR ou 102.000.000 FCFA)

Un Responsable de la Cyber-Sécurité a un travail particulièrement exigeant et supporte une forte pression en permanence: l’évaluation de l’Organisation par rapport aux vulnérabilités potentielles, en collaboration avec les analystes et autres membres du personnel de sécurité, la détection des attaques en cours et la communication au management.

6. Administrateur de la sécurité (Director of Security)

Salaire moyen annuel: 178 333 $ (soit environ 158.000 EUR ou 104.000.000 FCFA)

Les administrateurs de la sécurité peuvent avoir des rôles et responsabilités différents en fonction de l’Organisation à laquelle ils appartiennent, mais l’essentiel de leur énergie reste focalisée sur la réduction du risque d’attaque tout en guidant les équipes internes dans le maintien de procédures de sécurité appropriées. L’Administrateur de la sécurité devant interagir avec les employés ainsi que les fournisseurs et les partenaires externes, de bonnes aptitudes relationnelles sont nécessaires pour ce poste.

5. Directeur de la Sécurité du Système d’Information (Chief Information Security Officer)

Salaire moyen annuel: 192 500 $ (soit environ 170.000 EUR ou 112.000.000 FCFA)

Ce rôle est similaire à celui du Directeur de la Sécurité, mais se concentre plus exclusivement sur la protection des données d’entreprise et la propriété intellectuelle – les actifs liés à l’information.  Les responsabilités du CISO comprennent généralement la conception et l’amélioration des bonnes pratiques de sécurité et l’élaboration de politiques efficaces pour gérer les failles et autres incidents de sécurité.

4. Consultant en sécurité (Security Consultant)

Salaire moyen annuel: 198 909 $ (soit environ 175.000 EUR ou 116.000.000 FCFA)

Les Consultants en sécurité travaillent avec les clients pour élaborer des stratégies efficaces en matière de cyber-sécurité pour l’ensemble d’une organisation. En plus d’une bonne connaissance des meilleures pratiques et des procédures prescrites, ils doivent également posséder des aptitudes avérées dans les domaines de la communication, la négociation et la gestion de projet. Les Organisations recherchent en permanence des consultants ayant une expérience de plusieurs années, ainsi que d’une connaissance pratique des règles de l’industrie, des règlementations ainsi que des produits de sécurité d’entreprise et des principaux fournisseurs du marché.

3. Administrateur Global de la Sécurité de l’Information (Global Information Security Director)

Salaire moyen annuel: 200 000 $ (soit environ 175.000 EUR ou 115 000.000 FCFA)

Ce rôle implique le maintien et l’exécution de projets de sécurité de l’information et la coordination de la réponse à une violation de sécurité ou une attaque lorsqu’elle se produit. L’Administrateur Global de la Sécurité de l’Information doit absolument avoir une connaissance pratique des règlementations spécifiques applicables au domaine de l’industrie auquel appartient son Entreprise – telles que HIPAA dans les soins de santé ou FISMA dans le secteur de la finance – en plus d’au moins une licence en informatique et d’un ensemble significatif de certifications en sécurité de l’information.

2. Directeur de la Sécurité (Chief Security Officer)

Salaire moyen annuel: 225 000 $ (soit environ 200.000EUR ou 130.000.000 FCFA)

Le Directeur de la Sécurité prépare son Organisation à contrer les menaces existantes et émergentes. Membre du Comité de Direction de l’Entreprise, ce professionnel de la sécurité est responsable de rédiger la politique de sécurité, de communiquer les bonnes pratiques en matière de sécurité des données et de contrôles l’efficacité des opérations de sécurité. Ce rôle nécessite plusieurs certifications en plus d’au moins une licence scientifique ou dans un domaine similaire.

1. Ingénieur en Chef en Sécurité Logicielle (Lead Software Security Engineer)

Salaire moyen annuel: 233 333 $ (soit  environ 207.000 EUR ou 136.000.000 FCFA)

Les tâches des ingénieurs de sécurité applicative couvrent tout les aspects liés aux applications informatiques : maintenir et déployer des programmes de formation liés à la sécurité applicative pour les équipes de développement logiciel. Les ingénieurs en chef en sécurité logiciel doivent avoir au minimum une licence en informatique, ou dans un domaine similaire, complétée par des certifications pertinentes en sécurité . Les aspects liés au savoir-être tels que les aptitudes de communication et de collaboration sont également essentielles.

Quelques exemples de formations en sécurité de l’information requises pour ces postes et proposées par AB Consulting:

ISO 27002 Gestion Avancée : les bonnes pratiques de gestion d’un système de management en sécurité de l’information. Cette formation s’adresse à l’ensemble du personnel des entreprises impliquées dans les activités liées à la sécurité de l’information.
ISO 27001 Praticien : pratique d’implémentation et d’amélioration continue d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à tout consultant participant à un projet de certification ISO 27001 d’Entreprise ainsi qu’aux managers en charge de maintenir la certification de leur Organisation
ISO 27001 Lead Implementer :  Responsable de l’implémentation d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne en charge de coordonner un projet de préparation à la certification ISO 27001 de son Entreprise.
RESILIA Praticien : les pratique de la cyber-résilience des Entreprises ou comment anticiper les cyber-attaques et se remettre en ordre de marche après avoir subi un attaque en matière de cyber-sécurité. Cette formation s’adresse à toute personne du département Informatique.
CISM: Certified Security Manager : Cette certification est reconnue comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les programmes de sécurité de l‘information dans les entreprises. De récentes études indépendantes montrent que la certification CISM® est l‘une des certifications les plus recherchées et les plus rémunératrices.
CRISC: Certified in Risk and Information System Control :  Cette certification est destinée aux professionnels qui conçoivent, créent et mettent en œuvre les contrôles des risques SI dans les entreprises.
COBIT 5 for Information Security :  Utilisation du référentiel COBIT® 5 pour la Gouvernance et le Management de la Sécurité de l’Information de son Entreprise.

Cyber-sécurité – Ingénierie sociale: un risque majeur

Une bonne hygiène informatique est le meilleur remède contre les risques en matière de cyber-sécurité

Les êtres humains, comme nous le savons bien, sont imparfaits. Nos cerveaux sont régis par un mélange complexe d’émotions et (espérons-le) des processus de pensée rationnelle, ce qui nous rend vulnérables à ceux qui veulent nous exploiter. Cela signifie que nous pouvons être “piratés”.

Comment pirater un cerveau humain?

C’est très simple si vous comprenez le comportement humain. Les Bugs dans notre «matériel humain» peuvent être exploités en utilisant des moyens techniques et non-techniques. Les façons de procéder peuvent inspirer la peur ou la curiosité, mais ont comme objectif commun d’amener la cible à faire quelque chose qu’elle ne devrait logiquement pas faire

On dit souvent que le moyen le plus simple pour obtenir votre mot de passe ou pour pirater votre ordinateur est juste de vous le demander. Cela peut arriver dans le cadre d’une conversation apparemment normale ou lors d’un échange sur un réseau social, par exemple. Je pourrais par exemple vous envoyer une demande pour devenir mon ami sur Facebook et démarrer rapidement une conversation avec vous, au cours de laquelle je vous poserais des questions anodines à propos de vos amis et de votre famille. Il s’agit d’un échange tout à fait normal, du type de ce à quoi vous vous attendez, et au cours de cette conversation vous m’indiquerez, en toute naïveté, les prénoms de vos enfants ou quelle est votre équipe de football préférée – vous pourrez même me parler du barbecue que vous organisez le week-end prochain, avec des amis, pour fêter l’anniversaire de votre partenaire. Si, comme c’est souvent le cas, vous utilisez l’une quelconque de ces informations comme un mot de passe, date mémorable ou comme réponse à une question de sécurité vous permettant de récupérer votre mot de passe oublié, alors vous êtes désormais en grand danger.

Après une seule conversation avec vous, je dispose maintenant de beaucoup d’informations sensibles sur vous et cette information est de nature à être utilisée pour vous voler, commettre une fraude en votre nom, percer vos profils de réseaux sociaux et bien plus grave encore. Si c’était aussi facile pour moi, c’est simplement parce que vous l’avez rendu facile. Je vais continuer à échanger avec vous jusqu’à ce que j’obtienne ce que je veux. Cette technique relève de l’ingénierie sociale.

Qu’est ce l’ingénierie sociale ?

L’ingénierie sociale (« social engineering ») est une technique qui vise à accéder à des informations confidentielles ou à certains actifs (ordinateurs, réseau informatique, compte bancaire, comptes sur les réseaux sociaux, etc.) grâce à la manipulation des personnes qui y ont accès directement ou indirectement.

L’ingénierie sociale prend de nombreuses formes

Dans le domaine de la cyber-sécurité, ll y a beaucoup d’autres formes d’ingénierie sociale qui peuvent être plus difCyber-sécurité - Exemple de mail de phishingficiles à repérer. Les courriels d’hameçonnage en sont un bon exemple. Il est assez facile de concevoir un courriel qui semble provenir de votre banque. Le texte peut ressembler à quelque chose comme ceci: « Nous avons détecté une activité frauduleuse sur votre compte bancaire en ligne. Merci de cliquer sur le lien suivant pour changer votre mot de passe.  » Ensuite, un lien est fourni. Le courriel semble légitime, il porte le logo de la banque et l’adresse email de l’expéditeur semble correcte. Si vous suivez ce lien vous aboutirez sur un site qui ressemble au site de votre banque et vous saisirez, en toute confiance, vos coordonnées afin de changer votre mot de passe.

Le problème est … que le courriel n’a pas été envoyé par votre banque, et le lien ne vous a pas dirigé sur la page web de votre établissement bancaire. Il vous a conduit sur un “faux” site web imitant
l’apparence et la convivialité du site de votre banque mais apprtenant, en fait, à des criminels, et vous venez de donner aux fraudeurs les informations de connexion lui permettant désormais accèder à votre banque en ligne. Vous l’avez fait parce que cela avait l’air réel et que vous aviez peur que quelqu’un puisse prendre votre argent sur votre compte mais vous êtes, en fait, tombé directement dans un piège. Parfois, les e-mails sont délivrés avec un numéro de téléphone à appeler qui vous amène sur un système vocal interactif, tout comme celui de votre banque. Vous êtes alors invité à entrer votre numéro de compte bancaire et votre code d’accès sans même vous rendre compte que vous donnez ces informations directement aux criminels.

L’échange est un autre moyen favori des fraudeurs. Donner quelque chose pour obtenir quelque chose. Souvent dénommé «hameçonnage vocal» ou «usurpation téléphonique», cette technique consiste, pour les criminels,  à téléphoner à votre entreprise et à demander à être mis en relation avec certains membres du personnel. Le destinataire de l’appel s’entendra dire « Bonjour. Ici, le service IT de votre Entreprise » ou quelque chose de similaire, et, finalement, les criminels utiliseront les émotions de la personne qui est effrayée d’avoir effectivement un problème technique pour obtenir l’information souhaitée. Cette personne sera reconnaissante pour l’appel car elle croit que son interlocuteur est là pour l’aider. À ce stade, on peut lui demander de faire quelque chose sur son ordinateur. Elle peut être guidée vers un site web qui a été conçu pour dérober des informations d’accès et pourrait même infecter les systèmes de son entreprise par un code malveillant (virus ou vers par exemple). L’utilisateur n’en aura pas la moindre idée parce qu’en toute bonne foi, il croit qu’il est aidé par un membre de l’équipe informatique de son Entreprise.

La résultante est que votre organisation pourrait dépenser une fortune pour acquérir un équipement technologique destine à atténuer le cyber-risque, mais qu’elle reste complètement vulnérable parce qu’elle n’a pas éduqué son personnel ou adressé le changement des comportements habituels.

Ashley Madison un site extra-conjugal, qui revendique plus de 40 millions d’utilisateurs dans le monde, a été la victime d’un piratage informatique au mois de juillet qui met en évidence des graves faiblesses au niveau de la cyber-sécurité. Les auteurs du vol des données réclamaient la suppression pure et simple de la plateforme, sous peine de publier les informations dérobées. Le piratage de Ashley Madison est particulièrement sensible, d’autant plus que certains des utilisateurs du site travaillent dans de grandes Entreprises notamment Françaises. D’autres sont actuellement en poste auprès d’institutions publiques(notamment un député repéré), on trouve également des employés de l’administration française, avec des comptes rattachés au ministère de l’Intérieur, à la culture, à la mairie de la capitale et diverses autres municipalités.

Mais surtout, il apparaît que le site contient de nombreux faux profils de belles femmes qui sont en fait utilisés par des hommes afin d’attirer plus d’utilisateurs. A l’heure actuelle la situation vire au drame : Divorces, suicides, vols de fonds… les utilisateurs craignent que leur vie extra conjugale ne soit divulguée publiquement. Les conséquences sont d’ores et déjà désastreuses. On recense déjà des victimes atteintes de traumatisme et deux suicides aux Etats-Unis pourraient être liés à la publication de leurs informations personnelles.

La liste publiée sur le net démontre à quel point les internautes prennent trop peu de précautions quant à l’usage de leurs données. On y trouve par exemple des e-mails avec des numéros de portable en préfixe. Les noms des utilisateurs et les mots de passe des comptes piratés étaient, semble-t-il, stockés sans être cryptés dans un fichier utilisé par l’équipe assurance qualité de l’entreprise. 765.607 noms d’utilisateurs et mots de passe associés ont ainsi été retrouvés!

Parmi les 25 mots de passe les plus utilisés, certaines combinaisons sont célèbres pour leur manque de sécurisation : 120.511 utilisateurs ont choisi le célèbre « 123456 » et 39.448 se sont cru malins en employant « password ».

Mais certains abonnés du site ont aussi fait preuve de plus d’imagination: 950 ont ainsi choisi le mot de passe « chatte », alors que d’autres combinaisons populaires telles que « 696969 » (943 fois), « baisemoi » (902 fois), « échangiste » (699 fois), « vastefaireenculer » (645 fois) ou « trouducul » (445 fois) sont tout aussi populaires.

mots de passe dangereux

Qui sont les pirates?

Ils peuvent être n’importe qui: des pirates, des espions, des employés mécontents, des escrocs, des courtiers de l’information et des gens ordinaires, et ils sont bons dans ce qu’ils font. Ils ont maîtrisé l’art de recueillir des informations et ils sont pleinement conscients que leurs victimes ne sont pas aussi informées qu’elles devraient l’être. Ils savent que c’est là une tâche facile et qui paie bien.

Quels sont les moyens de prévention?

Comment pouvons-nous nous défendre contre cette menace quotidienne? Comment pouvons-nous nous empêcher de devenir une autre victime de la cybercriminalité? Tout simplement: en étant informé et conscient des dangers en matière de cyber-sécurité.

Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «bouclier humain» peut avoir sur la sécurité.

Les organisations doivent mettre en œuvre des programmes de formation et de sensibilisation continus, et devraient reconnaître et traiter leur plus grand risque: leurs propres employés. Tout le personnel doit être mis au courant de la façon dont ils peuvent être ciblés par les pirates et ils devraient être sensibilisés sur combien il est facile d’obtenir des informations. Les gens qui comprennent les risques et les méthodes utilisées pour exploiter les vulnérabilités humaines sont mieux équipés pour les combattre. Ne laissez pas votre organisation tomber sous le coup de l’ingénierie sociale; à la place, faire en sorte que vos employés sachent exactement ce qu’ils peuvent faire pour l’éviter.

Cyber-sécurité: les premiers pas

Utiliser des certificats électroniques pour éviter le phishing, installer un logiciel antivirus et le maintenir à jour, enseigner à votre personnel comment vérifier que les appelants et les e-mails sont légitimes. Assurez-vous que votre réseau empêche l’utilisation de sites non autorisés. Surtout formez votre personnel!!

Quelques exemples de formations en cyber-sécurité proposées par AB Consulting:

ISO 27002 Foundation : les bonnes pratiques fondamentales en sécurité de l’information. Cette formation s’adresse à l’ensemble du personnel des entreprises.
ISO 27001 Foundation : les fondamentaux d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne concernée par un projet de certification ISO 27001 de son Entreprise.
ISO 27001 Praticien : Pratique d’implémentation d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne impliquée dans la préparation à la certification ISO 27001 de son Entreprise.
RESILIA Foundation : les fondamentaux de la cyber-résilience des Entreprises ou comment anticiper les cyber-attaques et se remettre en ordre de marche après avoir subi un attaque en matière de cyber-sécurité. Cette formation s’adresse à toute personne du département Informatique.

Ce sont là les premiers pas, simples à mettre oeuvre, pour réduire très sensiblement les risques en matière de cyber-sécurité.

Catégories

Archives

Calendrier

septembre 2017
L M M J V S D
« Août    
 123
45678910
11121314151617
18192021222324
252627282930  
%d blogueurs aiment cette page :