Home » Sécurité

Category Archives: Sécurité

La cybersécurité a besoin de femmes. Explications.

Il y a quelques jours, le 8 mars dernier, se déroulait la journée internationale du droit des femmes. Et cette année encore, nous constatons toujours une inégalité entre les hommes et les femmes. C’est également vrai dans le domaine de la cybersécurité où seulement 20% des professionnels sont des femmes. Bien que cela représente une hausse de 11% depuis 2013, il reste encore beaucoup à faire dans les carrières de cybersécurité. Dans le même temps, selon Cybersecurity Ventures, il y aura jusqu’à 3,5 millions de postes vacants d’ici 2021. Alors, est-ce une réelle opportunité pour les femmes dans un monde en pleine transformation numérique?

La cybersécurité a besoin de femmes - Explications
Crédit © rawpixel.com 2019

Être une pionnière comporte des défis. Mais selon les professionnels de la cybersécurité que je côtoie régulièrement, les femmes sont tout à fait à la hauteur. Alors essayons de comprendre les raisons de cette situation et comment elle pourrait évoluer très rapidement.

Pourquoi est-ce important de combler le fossé entre les sexes en cybersécurité?

La diversité des perspective est indispensable

Tout d’abord, il est nécessaire de bien comprendre pourquoi c’est si important. L’objectif n’est pas simplement d’engager plus de femmes pour augmenter les pourcentages. L’argument en faveur d’une plus grande égalité des sexes dans la cybersécurité ne se limite pas seulement à juste vs injuste, ou à homme vs femme. C’est simplement, que le fait d’avoir plus de femmes sur le lieu de travail est bon pour le business. En effet, la diversité des points de vue, du leadership et de l’expérience est toujours un facteur positif pour les affaires.

Cette constatation peut d’ailleurs s’appliquer à n’importe quel rôle dans une entreprise. Elle ne se limite pas au domaine de la cybersécurité. Par contre elle est tout particulièrement pertinente pour la cybersécurité. Il est nécessaire d’avoir des personnes d’origines, de sexe, de cultures différentes dans les équipes de cybersécurité. En effet, les cyber-criminels qu’elles poursuivent (acteurs de la menace, pirates informatiques, cyber-criminels) possèdent également une grande variété de formations, de cultures et d’expériences. Plus nous aurons de personnes et d’expériences différentes pour défendre nos réseaux et meilleures seront nos chances de réussite.

Le nombre de postes non pourvus est en expansion

De plus, comme je l’ai mentionné dans l’introduction, la cybersécurité est confrontée actuellement à un problème lié au manque de compétences disponibles sur le marché. Il serait donc totalement préjudiciable, sur un critère tel que le sexe, de limiter le nombre de professionnels de ce secteur. La demande en professionnels de la sécurité ayant les bons niveaux de connaissance et de compétence est très forte. En outre, la menace pour les victimes et les réseaux critiques est de plus en plus vaste. Donc,   les femmes aussi bien que les hommes peuvent tout à fait réussir une carrière percutante et enrichissante dans ce domaine.

Et pourtant aujourd’hui, quand on pense au CISO, on imagine immédiatement un homme. Pourtant une femme peut tout à fait être CISO. Il commence d’ailleurs a y en avoir dans les grandes entreprises internationales, même si les hommes restent largement majoritaires. Par exemple on peut citer Shamia Naidoo qui est l’actuelle Global CISO chez IBM ou Debbie Wheeler, CISO pour la compagnie aérienne Delta ou encore Dr. Jay, CISO chez XEROX et ancienne CIO (DSI) de la Maison Blanche. Malheureusement, en France et dans les pays francophones en général, il y en a encore très – trop – peu, comme Mylène Jarossay, membre fondateur du CESIN et CISO de LVMH.

Les défis auxquels sont confrontées les femmes en cybersécurité

Tout d’abord, les femmes ont trop souvent un problème de perception de la cybersécurité (et de la technologie en général). La technologie ou la sécurité sont souvent considérées comme des professions masculines. Et c’est juste de dire qu’il y a clairement peu de femmes dans ces domaines. Aussi beaucoup de femmes ne considèrent pas encore ces professions peuvent offrir des opportunités de carrière viables.

L’éducation et la culture

Malheureusement, ce point de vue est souvent enraciné dès l’enfance. Dès le plus jeune âge, les femmes sont sensibilisées au fait que les hommes sont bons en sciences et techniques et que les femmes ne le sont pas. Elles seront le plus souvent orientées vers des filières artistiques, littéraires ou commerciales. Malgré l’évolution des mentalités durant ces dernières années, il faut hélas reconnaître que les préjugés demeurent.

Et cette perception est renforcée lorsque les femmes qui poursuivent une carrière dans le secteur de la technologie se révèlent être les seules dans la salle. Dans presque toutes les équipes d’ingénierie dont j’ai fait partie, il n’y avait toujours qu’une ou deux femmes. Le manque de diversité des sexes est clairement évident, en particulier lorsque vous assistez à des événements tels que le Black Hat ou le HackFest de Québec, et que les hommes constituent la grande majorité des participants.

Dès lors, la culture de travail peut rester bloquée dans un cycle de préjugés inconscients qui se perpétue. Tout au long de ma carrière, j’ai remarqué que les femmes devaient redoubler d’efforts pour obtenir des opportunités et être reconnues. Cela tient peut-être en partie au fait que les gens, consciemment ou non, ont tendance à embaucher et à promouvoir des personnes qui leur ressemblent. Et donc naturellement les hommes embauchent… des hommes. Les femmes ne devraient pourtant pas se sentir intimidées. Mais c’est souvent la réalité à laquelle elles font face dans l’industrie.

La facilitation du changement

Ces problèmes sont difficiles à résoudre car ils sont subtils et omniprésents. Ce sont des problèmes profonds, liés à la culture et à l’éducation. Pour changer cela il faut faciliter le changement culturel et cela prend beaucoup de temps. Au bout du compte, la meilleure façon de permettre ce changement dans le secteur de la cybersécurité, c’est de supprimer les obstacles pour les femmes et de permettre à plus de femmes d’entrer.

Et lorsqu’on leur en donne l’opportunité, c’est exactement ce qu’elles font. Dans les formations que j’anime régulièrement dans diverses régions du monde, en sécurité et en gouvernance, je constate une augmentation régulière du nombre de femmes. C’est un signe encourageant certes. Cependant il faut bien reconnaître que tous les pays ne sont pas logés à la même enseigne. Dans le monde francophone, il reste énormément de chemin à parcourir. Les préjugés sont malheureusement encore tenaces et les réticences très fortes.

Les femmes qui font de la cybersécurité aiment leur travail

L’amour du travail est une affaire profondément individuelle. Cependant voici pourquoi la résolution des problèmes évoqués précédemment valait (et vaut) la peine pour ces femmes.

« La cybersécurité consiste essentiellement à protéger les personnes contre les dommages et, lorsqu’une personne est victime, à découvrir qui l’a fait », a récemment déclaré Priscilla Moriuchi, directrice du département Strategic Threat Develoment à Recorded Future. « J’aime protéger les gens du mal, poursuivre les cybercriminels et continuellement apprendre. J’aime mon travail. »

Pavi Ramamurthy, qui travaille dans le secteur de la sécurité depuis 15 ans, aime également le travail quotidien en matière de cybersécurité. « J’aime construire une grande variété de programmes de sécurité, ou simplement être au cœur d’un incident de sécurité et diriger le processus de réponse à l’incident. Chacun vient avec sa propre série d’excitations et de défis. C’est enrichissant de réfléchir avec mon équipe sur les moyens de s’améliorer et également de nous tenir au courant des nouveautés en matière de sécurité, des professionnels et des nouvelles technologies. »

Maggie McDaniel, directrice de Finished Intelligence chez Recorded Future, a opté pour la cybersécurité en milieu de carrière et aime constater l’impact de son travail. « J’aurais pu rester là où j’étais, en faisant la même chose tous les jours, ou je pouvais aller dans un environnement stimulant et provoquer des changements , » dit-elle. « L’environnement, en évolution rapide, me permet de rester sur mes gardes et rend ma carrière intéressante. »

Jessica Ortega de Sitelock, quant à elle, souligne la flexibilité souvent nécessaire pour ces rôles. « De nombreuses entreprises de technologie proposent désormais des formations à votre rythme, des certifications et une possibilité de travailler à distance, faisant de la cybersécurité l’un des meilleurs chemins de carrière pour ceux qui privilégient l’équilibre travail-vie personnelle. »

Quelques trucs pour les femmes envisageant une carrière en cybersécurité

Si vous êtes une femme et que vous souhaitez changer de carrière pour vous orienter vers la cybersécurité, vous le pouvez sans aucun doute. Voici quelques trucs qui peuvent vous aider à mieux vous préparer.

1. Ne soyez pas intimidée et sachez saisir votre chance

Il est absolument nécessaire de saisir votre chance lorsqu’elle se présente et de commander le respect dans un domaine dominé par les hommes pour acquérir les connaissances et l’expérience nécessaires pour réussir. Ce n’est un secret pour personne que la technologie est un domaine à prédominance masculine. C’est aussi un domaine où sévissent encore de nombreux détracteurs. Ils se demandent si les femmes ont vraiment leur place à leurs côtés. Vous devrez sans doute lutter et postuler plusieurs fois pour occuper différents postes avant de devenir analyste de sécurité.

Rappelez-vous que la sécurité ne nécessite pas de dons magiques innés. Vous pouvez apprendre tout aussi bien qu’un homme ce que vous devez savoir pour réussir. N’ayez pas peur de vous battre pour ce que vous voulez.

2. Bâtissez votre réseau et trouvez des mentors dans le secteur

Une fois que vous avez terminé la préparation initiale avec des lectures, des cours en présentiel et en ligne, commencez à tisser des liens. Participez à des réunions et rencontrez des gens de l’industrie dans le domaine de la cybersécurité. Rejoignez un groupe comme Women in CyberSecurity (WyCyS) ou Women in Technology International (WITI) et, bien sûr, assistez à des conférences.

Trouver un mentor est une étape qui peut faire toute la différence. Contactez un acteur du secteur, idéalement un leader d’opinion, et recherchez un mentor. Il y a beaucoup d’hommes et de femmes, qui sont déjà dans le domaine et qui peuvent donner des conseils, répondre aux questions et vous orienter dans la bonne direction.

Un bon mentor peut fournir des conseils précieux sur la manière de trouver votre place dans la cybersécurité et de faciliter les opportunités de mise en réseau. Idéalement, trouvez une femme, professionnelle en cybersécurité, qui saura vous apprendre les ficelles du métier et, surtout, vous apprendre de ses erreurs. Il y a de la force dans les nombres. Cependant, n’ayez pas peur de prendre conseil auprès d’un professionnel de la cybersécurité. Il y a beaucoup d’experts et beaucoup de connaissances à exploiter.

3. Recherchez d’abord des opportunités en interne

Il n’est peut-être pas nécessaire de changer d’entreprise pour changer de carrière. Le meilleur endroit pour commencer est souvent au sein de votre société actuelle. Etablissez des relations avec votre propre équipe de sécurité. Il existe de nombreuses opportunités dans des domaines tels que la sensibilisation et la formation à la sécurité, la gestion de programme de sécurité, la réponse aux incidents et la rédaction technique, pour n’en nommer que quelques-unes.

Si l’équipe de sécurité de votre entreprise doit combler un poste vacant, vous avez un avantage. En effet, vous connaissez déjà l’entreprise, son environnement, sa culture et son activité. Vous pourrez peut-être alors combiner l’auto-apprentissage et la formation continue pour pouvoir démarrer un nouveau rôle.

4. Agissez avec confiance

C’est souvent le conseil le plus difficile à mettre en œuvre pour les femmes, surtout si elles se sentent en sous-effectif ou si elles sont ignorées. « J’avais beaucoup entendu parler des femmes qui ne se sentaient pas entendues lors des réunions, mais la première fois que cela m’est arrivé, ma mâchoire est presque tombée au sol », a déclaré Rose Elliott, senior director of product engineering de Tenable.io. « J’ai pensé: « Oh, c’est ce dont ils parlent. » J’ai même approché l’homme qui dirigeait la réunion par la suite. Mais cela s’est reproduit le lendemain. C’est terrible que ce soit juste une chose à laquelle il faut s’habituer . Mais depuis j’ai appris à exprimer mon opinion et à me sentir à l’aise. « 

L’astuce? Parler et agir de manière décisive, même si vous ne vous sentez pas nécessairement complètement sûre de vous. « De nombreuses femmes ont tendance à parler avec moins de confiance si elles ne sont pas certaines à 100% de ce qu’elles disent, alors que les hommes parlent avec confiance même s’ils sont relativement incertains », a déclaré R. Elliott.  «En fait, j’ai reçu un témoignage essentiel de la part d’un ancien directeur / mentor de sexe masculin: lorsque vous vous sentez vraiment anxieux, appuyez fort, car votre intuition est généralement la bonne.»

5. Mettez l’accent sur l’apprentissage

Comme pour toute carrière, la cybersécurité se base sur un parcours d’apprentissage. Personne de doit être intimidé par ce domaine. Cela semble très technique et très complexe. Et croyez-moi, ça l’est. Donc, bien sûr, ne vous attendez pas non plus à être un expert dès le départ. Nous avons tous quelque chose de nouveau à apprendre, hommes comme femmes, et dans ce domaine il y a de la place pour une expertise technique approfondie, mais aussi pour des généralistes et des gestionnaires. Chaque jour, un nouveau défi se présente et une chance d’apprendre quelque chose de nouveau surgit.

Alors, la cybersécurité est-elle pour vous? Moriuchi a la réponse: « Ce travail est destiné à tous ceux et toutes celles qui sont intellectuellement curieux, disposés à penser de manière non conventionnelle et à s’engager dans une vie d’apprentissage. » Vous vous reconnaissez dans cette description? Alors peut-être que vous devriez envisager de regarder les opportunités qui se présente dans un domaine en pleine expansion avec la transformation digitale des organisations.

Vous vous posez encore des questions?  Votre expérience peut être partagée? Vous avez des remarques sur le contenu de cet article? Les commentaires sont là pour vous permettre de lancer le débat et d’échanger. Profitez-en! Si vous avez aimé cet article vous pouvez aussi nous laisser un « like ». Ou, vous pouvez aussi vous abonner à notre blog pour recevoir une alerte lors de la parution de nos articles.

 

 

10 raisons majeures pour embaucher un CISO

Dans un précédent article, nous avons passé en revue les responsabilités et les compétences indispensables d’un CISO. Dans un monde en pleine transformation numérique, la sécurité de l’information et la cybersécurité sont des préoccupations vitales. Je vous propose donc, aujourd’hui de revenir, au travers de quelques exemples, sur les raisons pour lesquelles toute organisation doit absolument avoir un CISO. Nous évoquerons aussi les contraintes, la position hiérarchique, les salaires et les risques courus par les CISO.

CISO : Pourquoi il est indispensable dans une organisation
Crédit © rawpixel.com 2019

Chaque jour apporte son lot de nouvelles informations alarmantes en matière de cybersécurité. Cela va de l’intégrité des élections, ou d’informations bancaires volées à la dernière cyber-attaque contre l’ICANN. Vous avez sans doute l’impression qu’il vous faut un décodeur pour comprendre tout cela. Surtout quand ce n’est pas votre métier, c’est d’autant plus inquiétant qu’on n’y comprend rien. Pourtant cela semble très grave si on se fie à la mine sinistre des dirigeants qui communiquent sur le sujet. Alors, info ou intox?

Une façon de commencer à déchiffrer le jargon et l’intrigue consiste à essayer de voir ces problèmes sous l’angle du Directeur de la Sécurité de l’Information (CISO). Le CISO est généralement le plus haut responsable de la cybersécurité, membre du comité de direction, au sein d’une entreprise.

Un peu d’histoire

Le rôle de CISO remonte à 1994. Le géant bancaire Citigroup (alors Citi Corp. Inc.) avait été victime d’une série de cyber-attaques d’un pirate informatique russe, Vladimir Levin. La banque a créé le premier bureau exécutif mondial dédié à la cybersécurité. Elle a engagé Steve Katz pour le diriger.

Aujourd’hui, Katz est un nom de premier plan dans l’industrie. Il travaille comme consultant en cybersécurité et a toujours soutenu des initiatives de partage d’informations de grande valeur en finance, et plus récemment dans le domaine de la santé.

Selon Katz, il est important que les gens comprennent les responsabilités de ceux qui supervisent la cybersécurité. De cette façon, ils sont mieux préparés à interpréter les gros titres et à savoir distinguer ce qui compte vraiment.

Les investisseurs doivent également comprendre le fonctionnement de leur entreprise. De plus en plus de sociétés de cybersécurité arrivent sur un marché encombré. Elles cherchent du business, des fonds de capital-risque ou de nouveaux capitaux provenant d’une introduction en bourse.

Les responsabilités du CISO

Les responsabilités du CISO varient. Elles évoluent selon le secteur d’activité, la taille de l’entreprise et la réglementation à laquelle l’organisation est soumise. Des entreprises différentes structurent la cybersécurité de manières différentes. Cependant il existe de nombreux thèmes communs.

Dans les grandes organisations, le CISO supervise souvent une équipe de professionnels de la sécurité travaillant pour l’entreprise. Les petites entreprises peuvent sous-traiter ce travail à une entreprise externe fournissant des services gérés. Beaucoup font une combinaison des deux.

Nous avons compilé cette liste des responsabilités du CISO sur la base de recherches issues de ressources publiques, privées et universitaires ainsi que des offres d’emploi et d’entretiens avec des responsables de la cybersécurité et des dirigeants qui les embauchent.

Opérations de sécurité

Cette fonction implique une analyse en temps réel des menaces. Cela comprend la supervision des outils permettant de surveiller les pare-feu, les points d’entrée, les bases de données et d’autres environnements internes d’une entreprise. Quand quelque chose ne va pas, ces personnes sont censées découvrir et classifier les problèmes.

Cyber-risques et cyber-intelligence

Les conseils d’administration demandent souvent au CISO de prendre les devants face aux nouveaux types d’attaques qui pourraient être nuisibles, aux transactions commerciales qui pourraient présenter un risque de violation ou à de nouveaux produits susceptibles d’affaiblir la sécurité.

En 2017, Verizon a fait baisser de 350 millions de dollars le prix d’achat de Yahoo. Cela faisait suite à la révélation qu’une violation de données avait touché plus de personnes que Yahoo n’avait déclaré. C’est un exemple d’évaluation  du coût d’un risque de cybersécurité par Verizon.  Apparemment, la société aurait d’ailleurs souhaité un rabais plus important, pouvant atteindre 925 millions de dollars.

Lorsqu’un haut responsable du bureau du directeur du renseignement national a déclaré à un panel à Aspen que des agents iraniens possédaient des cyber-armes ciblant les infrastructures américaines, il s’appuyait sur une collection complexe d’informations de cyber-intelligence.

Violations de données et prévention de la fraude

Les personnes qui envoient des informations sensibles par courrier électronique, ou les initiés qui volent la propriété intellectuelle en quittant leur entreprise, sont deux exemples de ce que les CISO gèrent au quotidien. Ils utilisent des outils qui surveillent le flux d’informations dans une organisation pour détecter les grandes quantités de données quittant l’entreprise.

Quand Elon Musk a déclaré qu’un ingénieur chez Tesla avait été signalé pour l’envoi de code source à l’extérieur de l’entreprise, c’est l’équipe cybersécurité, sous la responsabilité du CISO qui l’avait découvert.

Architecture de la sécurité

Le CISO a un rôle d’architecte de sécurité. Il construit l’épine dorsale de la sécurité d’une entreprise. Parfois, il partie du début, parfois il part d’un existant. Il décide où, comment et pourquoi les pare-feu seront utilisés. C’est également lui qui prend des décisions sur la séparation ou la segmentation de certains réseaux. Il peut aussi faire appel à des testeurs d’intrusion ou à des pirates éthiques pour tester les défenses qu’ils a créées pour l’entreprise.

Si vous vous demandiez comment les logiciels de de ransomware WannaCry ou NotPetya se déplaçaient si rapidement entre différentes parties de certaines entreprises touchées, cela tient au fait que de nombreuses entreprises disposaient de réseaux «plats» sans aucun moyen de mettre en quarantaine l’attaque entre les business units. Un architecte de sécurité aurait pu les aider à construire, pro-activement, un réseau plus résilient.

Gestion des identités et des accès

Les CISOs ont la responsabilité des informations d’identification. C’est généralement un membre d’une équipe de cybersécurité qui vous attribue votre nom d’utilisateur et votre mot de passe auprès d’une nouvelle société. Ces professionnels déterminent qui a accès à quels outils, qui reçoit quelles adresses e-mail et la rapidité avec laquelle ces informations sont supprimées dès lors que quelqu’un est licencié ou quitte la société.

Ce dernier point est essentiel. Et, s’il est mal géré, il peut entraîner d’importantes pertes de données. Dans une affaire célèbre impliquant une société d’ingénierie du Tennessee, un ancien employé a pu accéder à des informations précieuses pendant plusieurs années après son départ chez un concurrent, car ses informations d’identification n’avaient jamais été supprimées.

Gestion de programme

Une fois qu’une entreprise a mesuré ses risques, rassemblé des informations et cartographié l’emplacement de ses données, elle peut identifier des vulnérabilités. Pour combler ces lacunes, les entreprises lancent des projets et des programmes. Les responsables de programmes de cybersécurité n’ont pas toujours une formation technique approfondie. Par contre, ils savent comment créer et gérer de nouvelles initiatives destinées à renforcer la sécurité de l’entreprise.

Un exemple de programme commun serait la mise à jour des systèmes avec des correctifs de sécurité sur une base régulière. Lorsque la gestion du programme est mal gérée, vous pouvez oublier des correctifs, comme celui qui a conduit à la violation massive des données chez Equifax et qui a coûté son poste à Richard Smith, son CEO.

Investigations et enquêtes légales

En outres, les CISO sont les «flics» du département cybersécurité, et bon nombre d’entre eux sont issus de la police. Lorsqu’un incident se produit, ils peuvent travailler avec des agences légales extérieures, des sociétés de conseil, des agences gouvernementales ou parfois seuls pour mener des enquêtes judiciaires. Si un employé se fait prendre à envoyer du code source par courrier électronique, ce sont les employés de l’équipe cybersécurité qui prouveront ensemble ce qui s’est produit et qui peuvent ensuite l’auditionner à ce sujet.

Lorsque le Comité national démocrate a mobilisé Crowdstrike et travaillé avec le FBI sur des attaques par courrier électronique présumées au cours de la campagne de 2016, il s’agissait de deux équipes de professionnels des enquêtes qui ont en partie tenté de déterminer qui avait perpétré l’attaque. Les résultats de l’investigation légale sont ceux que vous pouvez lire dans l’acte d’accusation de 12 ressortissants russes publié en juillet dernier par Rod Rosenstein.

Gouvernance

Tout cela peut coûter très cher. Ces employés peuvent aider à gérer le budget et à fournir d’autres types de supervision. Les programmes de sécurité doivent continuer à fonctionner sans quoi ils risquent de ne jamais être finis. Les réglementations changent fréquemment, et des employés doivent être embauchés pour ces postes. Une bonne gouvernance peut impliquer la mise en place d’un cadre basé sur des facteurs importants pour l’entreprise et le bon fonctionnement de l’ensemble de l’organisation de cybersécurité. Un manque de gouvernance peut entraîner de gros problèmes. Par exemple les dirigeants ne sont jamais clairement informés des problèmes informatiques majeurs de leur organisation. Ou encore les hauts responsables ne reçoivent jamais une formation adéquate sur la détection des tentatives de phishing.

En fin de compte, la sécurité concerne les personnes

La profession de sécurité a maintenant bien défini l’ensemble de ces rôles, mais en 1994, Katz était parti de zéro.

Le monde des télécommunications et Internet commençaient tout juste à se développer. Le pirate informatique, Levin, avait tenté de voler 10 millions de dollars. Il avait joué avec le système de transfert de fonds international, qui était exploité sur des lignes téléphoniques.

Des employés de Citi découvrirent la fraude en examinant les transactions par fil. Ils virent les anomalies et remontèrent une alerte rouge à la haute direction.

«Cela montre l’importance des personnes dans le processus global de sécurité de l’information. Votre plus grand risque et votre plus grand atout », a-t-il déclaré.

La police arrêta ensuite Levin à l’aéroport JFK de New York. Un tribunal de district le condamna ensuite à trois ans de prison pour ses crimes.

Sur ces fonds volés, tout a été récupéré, sauf 400 000 dollars, a expliqué Katz. Ce montant est largement inférieur à celui de nombreuses cyber-attaques courantes en 2019.

Les 5 qualités essentielles d’un CISO

L’année dernière, un rapport du Ponemon Institute intitulé «L’évolution du rôle des CISO et leur importance pour l’entreprise» – montrait que le rôle du CISO devenait de plus en plus crucial dans le monde actuel de menaces omniprésentes de cybersécurité, en particulier en matière de gestion des risques de l’entreprise, en déployant des analyses de sécurité et en protégeant les dispositifs Internet of Things (IoT).

Cependant, un autre élément clé du rapport est que le rôle du responsable de la sécurité de l’information s’élargit depuis quelques années. Il est ainsi passé de responsable des services de sécurité (RSSI) à responsable de l’ensemble de l’organisation en matière de sécurité (CISO). Aujourd’hui, ce rôle incarne une position de leader. Celai nécessite une présence au sein la direction, d’excellentes compétences en communication et une pensée vive et organisée. En tant que tel, le CISO doit non posséder une expertise technique et des compétences en leadership. Mais il doit également comprendre les activités de son entreprise et pouvoir exprimer les priorités de sécurité d’un point de vue commercial.

Mais qu’est-ce que cela signifie vraiment pour les responsables de la sécurité de l’information en poste aujourd’hui? Quelles sont les qualités les plus importantes que doivent posséder les CISO pour intégrer la sécurité dans tous les processus métier et assumer le rôle de leader dans une stratégie de sécurité informatique à l’échelle de l’entreprise? Considérons cinq des plus importantes.

1. Il doit comprendre la mission de l’entreprise et aligner la sécurité sur les objectifs de l’entreprise.

Le CISO se confronte au défi de la nécessité de trouver un équilibre la sécurité et les besoins du business. Les entreprises d’aujourd’hui ont besoin d’informations pour pouvoir fonctionner. Certes, un CISO peut créer une forteresse totalement inviolable et indestructible pour protéger l’entreprise. Les informations seront protégées mais elles ne pourront tout simplement pas s’en échapper. Mais une telle forteresse empêchera probablement le business de travailler et l’entreprise de gagner de l’argent.

Un excellent CISO examine la situation dans son ensemble. Il doit aligner ses objectifs sur les objectifs généraux de l’entreprise et sur sa mission actuelle. Son rôle n’est pas de contrôler l’entreprise. Par contre, son rôle est de lui permettre de réaliser ce qu’elle doit accomplir de manière relativement sûre. Cela nécessite de la planification et une bonne communication avec les autres parties prenantes de l’organisation afin de garantir l’efficacité du programme de sécurité et de l’aligner correctement sur les objectifs généraux de l’entreprise. Dans la mesure où la sécurité de l’information est en concurrence avec les autres objectifs de l’entreprise, un bon CISO s’assurera que la stratégie sera validée, approuvée et formalisée par un conseil ou un comité de gouvernance interne composé des parties prenantes de l’informatique et du management.

2. Il doit avoir une présence exécutive et la capacité d’influencer le conseil d’administration

Une grande partie du travail d’un CISO consiste à communiquer directement avec le conseil d’administration. Selon l’étude du Ponemon Institute, 65% des CISO dépendent directement du conseil d’administration. D’après cette étude, 60% sont responsables d’informer l’organisation sur les nouvelles menaces, technologies, pratiques et exigences de conformité. Enfin,  60% sont directement rattachés à la Direction Générale.

Cependant, la majorité des membres du conseil ne comprennent généralement pas le langage de la sécurité de l’information. Cela signifie que le CISO doit avoir la capacité de traduire leurs exigences, leurs objectifs et leurs rapports en des termes qu’un conseil d’administration peut parfaitement comprendre et, au final, développer sa crédibilité et leur confiance.

Cela nécessite une présence de la direction. C’est ce que Harvard Business Review définit comme «la capacité de projeter une confiance en soi mature, un sentiment que vous pouvez prendre le contrôle de situations difficiles et imprévisibles; prenez des décisions difficiles en temps utile et tenez bon avec les autres membres talentueux et volontaires de l’équipe de direction». Un CISO efficace aura donc une présence forte au sein de l’équipe de direction. Il l’utilisera non seulement pour représenter la position de la société en matière de sécurité, mais aussi pour influencer les autres dirigeants de manière cohérente avec les buts et objectifs de sécurité, et pour établir et entretenir des relations de travail efficaces avec tous les membres du conseil d’administration.

3. Il doit posséder des compétences de leadership exceptionnelles

Une bonne sécurité est le résultat d’un effort d’équipe. Il s’agit d’un processus métier continu qui nécessite l’adhésion des employés et des dirigeants de l’ensemble de l’organisation. Le poste de CISO comporte des aspects basés sur la technologie. Cependant, à de nombreux égards, le succès dépend de sa capacité de communiquer, à créer des relations, à déléguer et à diriger par l’influence, par opposition à une poigne de fer.

Il est essentiel que les CISO établissent des relations de confiance plutôt que d’imposer leur autorité sur les employés. La plupart des employés ne se considèrent pas comme une menace à la sécurité de l’entreprise. Mais les actions qu’ils entreprennent, leur prise de conscience des risques et la manière dont ils utilisent leurs propres dispositifs informatiques ainsi que ceux de l’organisation lorsqu’ils sont connectés au réseau sont susceptibles d’ouvrir la voie à des cyberattaques. En tant que tels, les CISO ont une responsabilité en matière d’application. Les bons CISOs, cependant, ne gouverneront pas par décret. A l’inverse, ils donneront aux membres de l’équipe de l’ensemble de l’organisation l’opportunité de prendre une part active à la gestion des risques liés à l’information.

En outre, le CISO doivt clairement définir qui participe à la prise de décision en matière de sécurité. Et son rôle est de veiller à ce que ces personnes disposent également des capacités et des compétences nécessaires pour prendre des décisions en matière de gestion des risques de l’entreprise. La documentation joue ici un rôle clé dans la réduction de la complexité de la synchronisation des rôles et des responsabilités entre les individus et les unités métiers. Le CISO s’assurera qu’il n’y a pas de faille de couverture, que la sécurité est bien gérée à tous les niveaux des départements et que les actifs de la société sont protégés.

4. Il doit se concentrer sur sa propre éducation et sur son développement personnel

Le champ de la cybersécurité évolue constamment et de nouvelles menaces apparaissent en permanence. Les CISO doivent consacrer une part importante de leur activité à la formation continue et à rechercher des sources d’information qui les tiennent au courant de tous les développements en matière de cyber-menaces et de sécurité informatique.

Bien entendu, les enjeux sont extrêmement élevés. Les cybercriminels sont constamment à la recherche de faiblesses dans les organisations qu’ils peuvent cibler. Le CISO doit maintenir un fossé aussi large que possible entre les cybercriminels et les programmes de sécurité de l’organisation. Et cela n’est possible qu’avec un apprentissage continu.

Pour cette raison, chaque CISO doit s’engager dans un développement personnel continu. Cela se traduit dans des programmes de formation et d’éducation pour se familiariser avec les technologies émergentes, les nouvelles exigences de conformité et le besoin perpétuel d’amélioration de la sécurité.

5. Il doit maintenir l’éthique en matière de cybersécurité au premier plan

L’éthique joue un rôle crucial dans toute stratégie de défense rationnelle en matière de cybersécurité. En l’absence de normes et de règles claires, il est pratiquement impossible de distinguer les responsables de la sécurité des criminels contre lesquels ils sont censés protéger les données et les systèmes de l’organisation.

À mesure que le volume de données qu’une organisation collecte sur ses clients, ses prospects, ses employés et d’autres personnes augmente, sa responsabilité de gestion et de protection de ces données augmente également. La confidentialité des données est étroitement liée à la sécurité, et CISO doit mener activement des discussions sur la quantité d’informations personnelles identifiables conservées et sur la quantité de données anonymisées. En outre, le CISO doit mettre en œuvre et appliquer une politique de pratiques éthiques à suivre par le personnel informatique et de sécurité, et réviser cette politique régulièrement conformément aux dernières réglementations et directives.

Le CISO doit également disposer d’un plan de réponse complet en cas d’incident à activer immédiatement en cas d’infraction. Il est important de noter que ce plan doit contenir évidemment des détails techniques sur la manière de réagir. Mail il doit aussi  comporter des instructions pratiques à l’intention des équipes juridiques, qui tiennent également compte de considérations éthiques essentielles. Le temps est bien sûr un facteur important pour réagir à une cyber-attaque. Informer les clients de tout impact, tel que le vol de données et d’informations d’identification, devrait donc faire partie intégrante du plan d’intervention.

Après une cyber-attaque les clients se sentent vulnérables. Aussi, le manque de transparence soulève-t-il logiquement de sérieuses questions sur les normes éthiques de l’entreprise. Une entreprises victime d’une violation de données est souvent sujette à  des poursuites. De plus, elle subira presque toujours des dommages à la réputation. En outre, tout retard sur l’annonce publique peut aggraver ces conséquences.

Conclusion

En résumé, un bon CISO possède un excellent esprit de leadership. Il est capable d’exercer une présence affirmée dans la salle de conseil d’administration. Sa capacité de communiquer efficacement sur la mission de sécurité est primordiale. Il doit également établir des relations solides au sein de l’entreprise. Enfin il est responsable de l’alignement des programmes de sécurité des informations sur les objectifs de l’entreprise. En outre, il doit s’engager pour sa formation continue et son développement personnel. Il doit également placer l’éthique en matière de cybersécurité et la réputation de l’entreprise au centre de toutes ses activités. Les entreprises du monde entier font aujourd’hui face à des menaces de plus en plus sophistiquées. Celles-ci proviennent d’une multitude de sources différentes. Dès lors, un bon CISO doté des compétences et des qualités requises est plus crucial et plus précieux que jamais.

 

En France et dans de nombreux pays francophones, on a l’habitude de nommer un RSSI au lieu d’un CISO. Pourtant le positionnement hiérarchique et les responsabilités sont différents. Qu’en pensez-vous? Merci d’apporter vos réactions et vos expériences en commentaire.

Top 5 des types de cyber-attaques en 2019

Votre entreprise risque d’être la victime de cyber-criminels. Afin de vous permettre de mieux cerner les menaces de sécurité auxquelles vous êtes exposés, en voici le top 5 en 2019. Pour chaque catégorie de cyber-attaque, je vous propose également quelques contre-mesures possibles.

Top 5 des types de cyber-attaques en 2019
Crédit © rawpixel.com 2019

Une cyber-attaque consiste en tout type d’action offensive qui cible des systèmes informatiques, des infrastructures, des réseaux informatiques ou des dispositifs informatiques personnels. Les cyber-criminels utilisent des méthodes diverses pour voler, modifier ou détruire des données ou des systèmes d’information.

En 2019, selon le dernier rapport d’IBM, chaque entreprise dans le monde à une probabilité de 28% de subir une cyber-attaque.De plus, le coût moyen d’une violation de données s’élève à 3,4 millions de dollars. Il est donc préférable de connaître le risque auquel vous êtes exposé si vous voulez mieux vous prémunir. A chaque type d’attaque correspondent une ou plusieurs réponses permettant de réduire le risque. Nous vous proposons ici le top 5 des cyber-attaques que vous avez le plus de risque de devoir affronter.

1. Attaque par déni de service (DoS) ou par déni de service distribué (DDoDS)

Une attaque par déni de service surcharge les ressources d’un système. Elle l’inonde de demandes au delà de sa capacité maximum.. Ainsi, le système ne peut plus répondre aux demandes de service des utilisateurs autorisés. Une attaque DDoS est aussi une attaque sur les ressources du système. Mais elle est lancée à partir d’un grand nombre d’autres machines hôtes infectées par des logiciels malveillants contrôlés par l’attaquant (botnet).

Contrairement aux attaques qui sont conçues pour permettre à l’attaquant d’obtenir ou d’augmenter l’accès, le déni de service ne procure pas d’avantages directs aux attaquants. La satisfaction du déni de service est une motivation pour certains. Cependant, si la ressource attaquée appartient à un concurrent, alors l’avantage pour l’attaquant peut être tout à fait réel. Mais souvent, l’objectif d’une attaque DoS est de mettre un système hors ligne pour qu’une autre attaque puisse être lancée simultanément. L’attaque DoS sert ainsi à masquer la véritable attaque qui se déroule en parallèle. Vous pourrez retrouver ce point dans un de mes précédents articles décrivant la chaîne cyber criminelle (cyber kill chain). Un exemple courant est le détournement de session, que je décrirai plus tard.

Pour tout savoir sur les attaques de type DoS et DDoS, vous pouvez également télécharger cet excellent document de l’ANSSI : Comprendre et anticiper les attaques DDoS.

Il existe différents types d’attaques DoS et DDoS ; les plus courantes sont l’attaque TCP SYN flood, teardrop attack, smurf attack, ping-of-death attack et l’utilisation des botnets.

Attaque TCP SYN Flood

Ici, les cyber-criminels exploitent l’espace tampon à l’initialisation d’une session TCP (Transmission Control Protocol). Le dispositif de l’attaquant inonde la petite file d’attente du système cible de demandes de connexion (SYN). Mais lorsque le système cible répond à ces demandes, le dispositif de l’attaquant ne réagit pas. Le système cible se trouve alors bloqué en attente de la réponse. En générant suffisamment de connexions incomplètes de ce type, il est possible de surcharger les ressources du système et ainsi de l’empêcher d’accepter de nouvelles requêtes, avec pour résultat un déni de service.

Contre-mesures possibles :

  • Placez les serveurs derrière un pare-feu configuré pour arrêter les paquets SYN entrants.
  • Augmentez la taille de la file d’attente de connexion et diminuez le délai de temporisation des connexions ouvertes.

Attaque Teardrop

Elle consiste à envoyer des paquets TCP qui se recouvrent en jouant sur le champ de fragmentation dans les paquets du protocole Internet séquentiel (IP) sur l’hôte attaqué. Le système attaqué tente de reconstruire les paquets pendant le processus mais il échoue. Le système cible devient alors désorienté et plante.

Contre-mesures possibles :

Appliquez les correctifs système pour vous protéger contre cette attaque DoS ou désactivez SMBv2 et bloquez les ports 139 et 445.

Attaque Smurf

Il s’agit là d’un ping flooding un peu particulier. C’est une attaque axée sur les réseaux. Ce procédé comporte deux étapes:

  • La première consiste à récupérer l’adresse IP de la cible par spoofing.
  • La seconde est d’envoyer un flux maximal de packets ICMP ECHO (ping) aux adresses de Broadcast. Chaque ping comportant l’adresse spoofée de l’ordinateur cible.

Si le routeur permet cela, il va transmettre le broadcast à tous les ordinateurs du réseau, qui vont répondre à l’ordinateur cible. La cible recevra donc un maximum de réponses au ping, saturant ainsi totalement sa bande passante… Bien entendu, plus de réseau comporte de machines et plus c’est efficace… Ce processus est répétable et peut être automatisé pour générer d’énormes d’encombrements du réseau.

Contre-mesures possibles :

Pour vous protéger contre ce genre d’attaque, vous devez désactiver les diffusions dirigées par IP sur les routeurs. Ceci empêchera ou limitera la demande de diffusion d’écho ICMP sur les périphériques réseau. Une autre option serait de configurer les systèmes finaux pour les empêcher de répondre aux paquets ICMP à partir d’adresses de diffusion. Vous pouvez également configurer le firewall pour filtrer les packets ICMP echo ou les limiter à un pourcentage de la bande passante.

Ping of death

Un ping a normalement une longueur maximale de 65535 ((2 exp 16) – 1) octets, incluant une entête de 20 octets. Un ping of death c’est un ping qui a une longueur de données supérieure à la taille maximale. Lors de son envoi, le ping of death est alors découpé en packets plus petits. L’ordinateur cible qui reçoit ces paquets doit les reconstruire. Il peut alors subir des débordements de tampon et d’autres plantages. Certains systèmes ne gèrent pas cette fragmentation, et se bloquent, ou crashent complètement. D’où le nom de cette attaque.

Contre-mesures possibles :

Pour commencer, mettez à jour votre OS. Puis effectuez un test avant que quelqu’un d’autre le fasse à votre place. Si le système réagit correctement, il n’y a pas de problème. Dans le cas contraire, les attaques Ping of death peuvent être bloquées en utilisant un pare-feu qui vérifiera la taille maximale des paquets IP fragmentés.

Botnets

Les botnets sont les millions de systèmes infectés par des logiciels malveillants sous le contrôle de cyber-criminels, afin d’effectuer des attaques DDoS. Ces robots ou systèmes zombies sont utilisés pour effectuer des attaques contre les systèmes cibles. De la sorte, ils submergent souvent la bande passante et les capacités de traitement du système cible. Ces attaques DDoS sont difficiles à retracer parce que les botnets sont situés dans des lieux géographiques différents.

Contre-mesures possibles :

Il est très difficile de se protéger contre les botnets. Par contre, on affaiblit les botnets grâce aux mesures suivantes :

  • Le filtrage RFC3704 empêchera le trafic en provenance d’adresses piratées et aidera à assurer la traçabilité du trafic jusqu’à son réseau source correct. Par exemple, le filtrage RFC3704 supprimera les paquets des adresses de liste bogon.
  • Le filtrage des trous noirs, qui élimine le trafic indésirable avant qu’il n’entre dans un réseau protégé. Lorsqu’une attaque DDoS est détectée, l’hôte BGP (Border Gateway Protocol) doit envoyer des mises à jour de routage aux routeurs des FAI afin qu’ils acheminent tout le trafic en direction des serveurs victimes vers une interface null0 au prochain saut.

2. Attaque de l’homme au milieu

On parle d’attaque de l’homme au milieu (Man in the Middle ou MitM) lorsqu’un pirate s’insère entre les communications d’un client et d’un serveur. C’est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l’internaute lambda. L’attaquant doit d’abord être capable d’observer et d’intercepter les messages d’une victime à l’autre. Les pirates interceptent les e-mails, l’historique de votre navigation sur Internet et les réseaux sociaux pour cibler vos données sécurisées et commettre des actes criminels.

attaque homme du milieu

Contrairement au phishing qui nécessite que vous baissiez votre garde involontairement et que vous ouvriez votre ligne de défense, une attaque dite de l’homme du milieu est une cyber-attaque passive. Elle se fait sans que vous en ayez conscience.

Elle affecte laussi bien es particuliers que les entreprises. Personne n’est à l’abri. En 2015, une importante opération menée par Europol a piégé 49 membres d’un groupe de cyber-criminels. Ils ciblaient des victimes à travers toute l’Europe. Leurs méthodes impliquaient l’utilisation de techniques de piratage informatique pour pénétrer des communications de confiance entre les entreprises et leurs clients. Une fois à l’intérieur, ils ont surveillé les communications et poussé les victimes peu méfiantes à transférer de l’argent sur leurs comptes bancaires.

Méthodes d’attaque

L’augmentation spectaculaire des bornes wifi gratuites et des connexions à haut débit a contribué à améliorer nos vies. Mais c’est aussi une aubaine pour les criminels qui veulent espionner ou intercepter vos activités en ligne.

Les voyageurs constituent une cible facile pour les cyber-criminels. Une méthode d’attaque classique consiste à créer sa propre connexion wifi. Imaginez que vous vous trouvez dans votre restaurant préféré. Vous configurez alors vos paramètres wifi pour vous connecter au réseau gratuit. Les réseaux disponibles listés sont-ils tous des réseaux wifi légitimes, ou certains appartiennent-ils à un pirate?

Cette question est primordiale. En effet, une fois que vous vous connectez à un faux réseau, le pirate obtient l’accès instantané à votre appareil. Il est très facile pour un pirate de créer des bornes wifi frauduleuses lui permettant d’avoir accès aux informations personnelles des personnes qui tentent de s’y connecter.

Détournement de messagerie

Le détournement de messagerie consiste à cibler des comptes de messagerie et à espionner des communications. Une fois infiltrés dans ce système fermé, les cyber-criminels peuvent envoyer de faux e-mails ou des imitations très réalistes. Généralement il s’agit de demande d’un transfert d’argent, de vos informations financières ou encore de vos mots de passe. Cela peut être particulièrement problématique lorsque les cibles sont des dirigeants d’une entreprise. Ils peuvent ainsi recevoir de faux e-mails semblant pourtant authentiques et leur demandant de transférer de l’argent.

Détournement de session

Le détournement de session est une attaque courante, où le pirate prend le contrôle des cookies de votre navigateur. Les cookies sont de petits morceaux de données qui stockent des renseignements sur les sites Web que vous visitez. Grâce à cet accès, le cyber-criminel peut voler tout un tas de données. Il peut s’agir de vos informations de connexion ou de vos informations personnelles saisies dans les formulaires en ligne.

Comment se protéger d’une attaque de type homme au milieu?

L’essentiel est de faire en sorte de naviguer en toute sécurité.

  • Cryptez le trafic entre le réseau et votre appareil à l’aide d’un logiciel de chiffrement de navigation. Vous pourrez ainsi repousser les éventuelles attaques dites de l’homme du milieu.
  • Vérifiez toujours la sécurisation des sites que vous visitez. La plupart des navigateurs affichent un symbole de cadenas à côté de l’URL lorsqu’un site Web est sécurisé. Si vous ne voyez pas ce symbole, vérifiez que l’adresse Web commence par « https ». Le « S » signifie « sécurisé » et garantit que vos données ne seront pas susceptibles d’être interceptées par des cyber-criminels.
  • Utilisez un pare-feu. C’est également un moyen fiable de protéger vos données de navigation. Sans être infaillible, un pare-feu fournit un degré de sécurité supplémentaire lorsque vous utilisez un réseau wifi public. Si vous naviguez souvent sur un réseau wifi public, configurez un réseau privé virtuel (VPN). Ce type de réseau protège votre trafic et complique la tâche des pirates qui voudrait l’intercepter.
  • Mettez vos logiciels de sécurité à jour. Les cyber-criminels ne cessent de s’adapter et de se perfectionner. Vous devriez donc en faire de même. En mettant à jour votre solution de sécurité, vous avez accès en permanence à des outils les plus actualisés. Et ils surveilleront votre activité en ligne pour une navigation sécurisée et agréable.

3. Phishing et Spear Phishing

L’hameçonnage (phishing) est la pratique consistant à envoyer des courriels qui semblent provenir de sources fiables. Le but est d’obtenir des renseignements personnels ou d’influencer les utilisateurs à faire quelque chose. Il combine l’ingénierie sociale et la supercherie technique. Cela peut prendre la forme d’une pièce jointe à un mail qui charge un logiciel malveillant sur votre ordinateur. Cela peut également être d’un lien vers un site Web illégitime qui peut vous amener à télécharger des logiciels malveillants ou à communiquer vos renseignements personnels. Pour une description détaillée, je vous invite à relire un de mes précédents articles : Phishing mode d’emploi.

L’hameçonnage au harpon (spear phishing) est un type particulier d’activité d’hameçonnage très ciblé. Les cyber-criminels prennent le temps de faire des recherches sur leurs cibles pour créer des messages personnels et pertinents. Pour cette raison, l’hameçonnage au harpon peut être très difficile à identifier et encore plus difficile à défendre. L’une des façons les plus simples qu’un pirate peut utiliser pour mener une attaque de harponnage est l’usurpation de courriels. Par exemple l’information dans la section « De » du courriel donne l’impression qu’elle provient de l’une de vos connaissances. Ce peut être votre direction ou un partenaire d’affaire. Les cyber-criminels utilisent souvent le clonage de site web pour donner de la crédibilité à leur histoire. Ils copient des sites Web légitimes pour vous tromper en fournissant des informations personnellement identifiables (IPI) ou des identifiants de connexion.

Comment vous protéger de l’hameçonnage ou de l’hameçonnage au harpon?

Pour réduire le risque d’être victime d’hameçonnage, je vous propose ces techniques simples :

  • Pensée critique – Ne considérez jamais un courriel comme fiable par défaut. Peut-être simplement êtes-vous occupé ou stressé ou avez-vous 150 autres messages non lus dans votre boîte de réception. Arrêtez-vous un instant et analysez soigneusement le courriel.
  • Survolez les liens – Déplacez votre souris sur le lien, mais ne cliquez surtout pas dessus ! Il suffit de laisser le curseur de votre souris sur le lien et de voir où il vous emmènerait réellement. Appliquer la pensée critique pour déchiffrer l’URL.
  • Analyse des en-têtes de courriel – Les en-têtes de courriel définissent comment un courriel est arrivé à votre adresse. Les paramètres « Reply-to » et « Return-Path » doivent conduire au même domaine que celui indiqué dans l’email.
  • Sandboxing – Vous pouvez tester le contenu des e-mails dans un environnement sandbox, en enregistrant l’activité à partir de l’ouverture de la pièce jointe ou en cliquant sur les liens à l’intérieur de l’e-mail.

4. Attaque par drive by download

Les attaques Drive by-download sont une méthode courante pour propager des logiciels malveillants. Les cyber-criminels recherchent les sites Web non sécurisés. Ils y implantent alors un script malveillant dans le code HTTP ou PHP sur l’une des pages. Ce script, invisible, peut installer des logiciels malveillants directement sur l’ordinateur d’une personne qui visite le site. Il peut aussi rediriger la victime vers un site contrôlé par les cyber-criminels. Les Drive by-download peuvent se produire lors de la visite d’un site Web ou de l’affichage d’un message électronique ou d’une fenêtre contextuelle.

Contrairement à de nombreux autres types d’attaques de cybersécurité, un drive-by ne nécessite pas qu’un utilisateur active l’attaque. Ainsi, même si vous n’avez pas cliqué sur un bouton ou ouvert une pièce jointe malveillante, vous pouvez être infecté. Un téléchargement par drive-by download peut profiter d’une application, d’un système d’exploitation ou d’un navigateur Web qui contenant des failles de sécurité dues à des mises à jour échouées, ou à l’absence de mises à jour.

Méthode d’attaque

Attaque de type drive by download
Crédit © Sophos

Une attaque de type drive by download se déroule en 5 étapes.

Le terme drive-by download décrit la manière avec laquelle les malwares infectent votre ordinateur, lors de la simple visite d’un site web qui utilise un code malveillant (l’étape 1 de la cyberattaque : le point d’entrée).

La plupart du temps, il s’agit de sites officiels, qui ont été corrompus et qui vous redirigent vers un autre site web sous le contrôle de hackers (l’étape 2 d’une attaque web la distribution).

Aujourd’hui, les cyber-criminels utilisent des malwares sophistiqués, disponibles sous la forme d’un kit d’exploit, et qui permettent de trouver une vulnérabilité au sein de votre logiciel parmi des milliers de possibilités.

Lorsque votre navigateur internet est redirigé vers le site web qui héberge un kit d’exploit, il examine votre système d’exploitation, votre navigateur internet et les autres logiciels (comme votre lecteur de PDF ou le lecteur vidéo). L’objectif est de trouver une faille de sécurité qu’il pourra exploiter (l’étape 3 de la cyber-attaque : l’exploit).

Lorsque le kit d’exploit a identifié une vulnérabilité, l’étape 4 d’une attaque web l’infection, peut commencer. Dans la phase d’infection d’une attaque web, le kit d’exploit télécharge le logiez malveillant qui s’installe alors sur votre ordinateur.

Pour finir, vient l’étape 5 d’une attaque webl’exécution. Lors de cette étape,  le logiciel malveillant fait ce pour quoi il a été conçu, à savoir rapporter de l’argent à son maître.

Par exemple, le malware connu sous le nom de Zbot (APT), peut avoir accès à vos emails et vos comptes bancaires. Un autre type de charge utile est appelée ransomware. Le logiciel malveillant prend en otage vos fichiers en les cryptant et vous demande de payer une rançon pour les récupérer.

Comment vous protéger contre une attaque de type drive-by?

Pour vous protéger contre les attaques par drive-by-download, vous devez tenir à jour vos navigateurs et systèmes d’exploitation. Evitez également  les sites Web qui pourraient contenir des codes malveillants. Tenez-vous-en aux sites que vous utilisez normalement – mais gardez à l’esprit que même ces sites peuvent être piratés. Ne conservez pas trop de programmes et d’applications inutiles sur votre machine. Plus vous avez de plug-ins, plus il y a de vulnérabilités exploitable par des attaques par drive-by-download.

5. Attaque par mot de passe

Méthode d’attaque

Les mots de passe sont le mécanisme le plus couramment utilisé pour authentifier les utilisateurs d’un système d’information. L’obtention de mots de passe est donc une approche d’attaque commune et efficace. Les cyber-criminels obtiennent l’accès au mot de passe d’une personne de multiples façon. Il  suffit souvent de regarder autour du bureau de la personne, de sniffer la connexion au réseau pour acquérir des mots de passe non cryptés, d’utiliser l’ingénierie sociale, d’accéder à une base de données de mots de passe ou de le deviner directement. La dernière approche peut se faire de manière aléatoire ou systématique :

  • Deviner un mot de passe par un passage en force brutal signifie essayer de nombreux mots de passe en espérant que l’un d’entre eux fonctionne. Les cyber-criminels appliquent alors une certaine logique en essayant des mots de passe liés au nom de la personne, à sa fonction, à ses loisirs, à ses proches ou à des éléments similaires.
  • Dans une attaque par dictionnaire, un dictionnaire de mots de passe communs est utilisé pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une approche consiste à copier un fichier crypté contenant les mots de passe, à appliquer le même cryptage à un dictionnaire de mots de passe couramment utilisés et à comparer les résultats.

Comment vous protéger?

Afin de vous protéger contre les attaques par dictionnaire ou par force brute, vous pouvez mettre en œuvre une politique de verrouillage de compte qui verrouillera le compte après quelques tentatives de mot de passe invalides.

Vous avez un témoignage ou un commentaire? Alors ne soyez pas timide et laissez-nous un commentaire. Plus il y a d’échanges sur ce sujet sensible et plus les gens seront informés et sensibilisés. N’oubliez pas : la probabilité de subir une cyber-attaque en 2019 est de 28%. Si cet article vous a plu, vous pouvez aussi nous laisser un « like » et vous abonner à notre blog.

Violations de données : un gouffre financier évitable?

Comme chaque année depuis 13 ans, IBM vient de publier son rapport sur les coût des violations de données. Cette année, le coût moyen des violations de données dans le monde est en hausse de 6,4% par rapport à l’année précédente. Il atteint désormais 3,86 millions de dollars (environ 3,4 millions d’euros). Le coût moyen de chaque enregistrement perdu ou volé contenant des informations sensibles et confidentielles a également augmenté de 4,8% par rapport à l’année dernière pour atteindre 148 $ (soit environ 130 euros). Ce sont des sommes considérables. Imaginez le coût de la violation de données qui a affecté les hôtels Marriott fin 2018. 500 millions d’enregistrements de données personnelles de clients ont été affectées!! 

Violations de données : un gouffre financier pour les entreprises
Crédit © rawpixel.com 2019

Dans cet article, je vous explique comment on évalue ces coûts et comment essayer de les réduire. Cela vous permettra également d’identifier les impacts auxquels vous devez vous attendre lorsque cela vous arrivera. Vous remarquez que je n’ai pas dit « si cela vous arrive ». En effet, cela vous arrivera à coup sûr. Voyons donc les enjeux de sécurité de l’information auxquels vous devez faire face…

Le temps c’est de l’argent

Beaucoup connaissent l’adage selon lequel «le temps, c’est de l’argent». C’est un conseil judicieux pour quiconque soumis à un stress persistant dans sa vie professionnelle (et personnelle). Cela s’applique également aux violations de données. L’étude 2018 sur le coût des violations de données, réalisée par IBM / Ponemon Institute, est un guide indispensable à l’intention des CISO (Responsables de la Sécurité de l’Information), des CPO (responsables de la protection de la vie privée), des DPO (responsables de la protection des données), des gestionnaires de risques et des consultants. Elle leur permet de mieux gérer leurs cyber-risques et les coûts concomitants en cas d’infraction aux réglementations (RGPD par exemple).

Le rapport souligne le coût élevé des violations de données. Dans le même temps, souvent, les responsables de la cybersécurité ignorent si ou quand de telles violations ont lieu dans leurs réseaux. Certains gardent la tête dans le sable et ne privilégient pas suffisamment la détection comme moyen de connaissance. Les réglementations récentes en matière de confidentialité exigent le signalement en temps voulu d’une violation de données lorsque le Responsable du Traitement en a connaissance. Cela peut peut-être amener certains à penser qu’éviter de connaître une violation est une bonne stratégie. Cela permettrait de réduire les coûts associés aux rapports.

Une mauvaise stratégie des entreprises

Hélas, cette «stratégie de l’autruche» n’est pas seulement imprudente et contraire à l’éthique. Elle est bien plus coûteuse pour les organisations. Elle peut même s’avérer catastrophique. Une détection plus rapide des violations de données peut réduire considérablement les pertes. N’oubliez jamais que les pirates de frappent pas d’un seul coup. Ils ont tout leur temps. Et plus vous tardez à réagir, plus ils auront de temps pour commettre des dégâts.

Si nous reprenons le cas de la violation de données qui a touché les hôtels Marriott. C’est le 19 Novembre 2018 que l’investigation a permis de déterminer qu’une violation avait eu lieu. Apparemment un outil avait déjà alerté sur un accès non autorisé dès le 8 septembre. Cela représente plus de 60 jours de délai. Mais cette attaque avait probablement démarré bien avant septembre 2018.

La chaîne cyber-criminelle peut prendre un temps extrêmement long. Je vous invite à bien la comprendre. Elle est décrite de façon détaillée dans un de mes articles récents sur les tests de pénétration.

Le coût stupéfiant des violations de données

En 2018, dans le monde, le coût moyen d’une violation de données hausse de 6,4% par rapport à l’année précédente. Il s’élève désormais à 3,86 millions de dollars (3,4 millions d’euros). Ces statistiques devraient être très préoccupantes. Et elles ne représentent que les coûts tangibles d’une violation. Ce montant ne prend notamment pas en compte les coûts des amendes réglementaires. Par conséquent, les chiffres figurant dans ce rapport doivent être considérés comme une limite basse. Les autres coûts potentiels comprennent les frais liés aux litiges, les amendes pour non-conformité réglementaire et les pertes de revenus dues aux clients qui quittent l’entreprise à la suite d’une violation. Les entreprises investissent massivement dans les produits de cybersécurité et les services professionnels. Alors, pourquoi le coût des violations de données ne diminue-t-il pas? La question mérite d’être posée.

Des moyens insuffisants mis en oeuvre

Chaque nouvelle réglementation relative à la protection des données personnelles appelle à prendre des «mesures de sécurité appropriées». C’est le cas notamment du règlement général européen sur la protection des données (RGPD) ou de la loi américaine sur la protection des renseignements personnels des consommateurs (CCPA). Les entreprises ne prennent en général ces mesures de sécurité de l’information que pour éviter des amendes dissuasives. Et par souci de facilité et d’économie, elles se limitent à s’appuyer sur des outils informatiques facilement accessibles.  C’est hélas très insuffisant. Elles ne mettent pas en oeuvre les actions nécessaires pour prévenir la violations résultant d’erreurs humaines. J’ai rarement vu des actions de formation de masse portant sur l’ensemble du personnel. C’est généralement considéré comme trop coûteux et trop lourd.

Des réglementations qui ne vont pas assez loin

L’aspect le plus frustrant de ces nouvelles réglementations est que la responsabilité des données incombe au responsable du traitement. Cela signifie qu’une organisation est responsable de la protection de ses données, peu importe avec qui les données sont partagées et comment les données sont traitées. Cela vaut également une fois qu’elles ne sont plus sous son contrôle. Les obligations contractuelles d’un fournisseur tiers de sécuriser les données une fois qu’il y a accès résultent du contrat entre le responsable du traitement et son sous-traitant.

Le RGPD, impose que de tels accords soient signés. Cependant, il place l’entière responsabilité sur l’organisation d’origine en tant que responsable des pertes de données. Les amendes encourues peuvent atteindre jusqu’à de 4% du chiffre d’affaires mondial annuel, ou 20 millions d’euros par violation. Alors, peut-être que les meilleures pratiques «raisonnables» ne suffisent pas. Peut-être que la technologie liée à la cybersécurité n’est pas utilisée pour s’attaquer au bon problème.

Meilleure détection et meilleure réponse

Le délai moyen moyen d’identification d’une violation est maintenant de 197 jours. Cela représente une légère amélioration par rapport à l’année précédente. Cependant ce délai reste beaucoup trop long. Imaginez-vous vivre avec un voleur chez vous qui dérobe tout ce qui a de la valeur pendant 197 jours? 197 jours pendant lesquels vous ne vous apercevez de rien?

Considérez le comportement typique des attaquants. Je l’ai décrit en détail dans mon précédent article « Tests de pénétration : nécessaires mais pas suffisants« . C’est ce qu’on appelle la chaîne cyber-criminelle.  Ils suivent une méthodologie éprouvée. Cela commence par la reconnaissance pour localiser leur cible et identifier les points d’entrée. Vient ensuite la première entrée (généralement par les utilisateurs du harponnage au sein de la cible choisie). Une fois qu’ils ont réussi à voler les informations d’identité d’un utilisateur légitime, ils s’installent pour établir le contrôle pendant de longues périodes. Ils se déplacent latéralement, recherchant d’autres informations d’identification, serveurs, journaux, fichiers et documents qu’ils souhaitent. Les documents et les données sont regroupés et exfiltrés à l’aide de protocoles courants. Ils utilisent aussi des sites tiers qui servent de serveurs de transfert à partir desquels ils peuvent télécharger leurs biens volés. Le fait d’avoir pris pied permet l’exfiltration de données à long terme à un rythme adapté à leurs besoins.

Et ce qui est le plus frappant, c’est que tout cela se déroule à l’insu de l’organisation cible.

L’utilisation de leurres est-elle efficace?

La plupart des approches de détection de fraude passent à côté de la cible en matière de détection précoce. Une variété de sociétés de technologie de détection de fraude vantent les réseaux de miel (honeynets en anglais) permettant une détection précoce. En gros, il s’agit de leurres qui vont agir comme des pièges à pirates. Je vous invite à consulter cet article sur le blog du hacker pour mieux comprendre leur fonctionnement. On installe les honeynets à côté de serveurs opérationnels. Et les attaquants ne seraient attirés par ces honeynets que s’ils y étaient conduits. On prend soin d’empêcher les utilisateurs ordinaires de se connecter à des réseaux de miel. Sinon, les fausses alarmes auraient un impact négatif sur les affaires. Et, au moment où un attaquant est tombé dans un leurre (en anglais honeypot), il aura déjà avoir effectué une recherche sur le réseau opérationnel et probablement déjà volé son butin. Malheureusement, cette approche est inefficace pour détecter et réagir aux violations de données.

Il existe également des technologies émergentes de capteurs qui offrent une meilleure solution. On les déploie directement dans l’environnement opérationnel. Par exemple, des capteurs de perte de données peuvent être générés automatiquement, des documents leurres hautement crédibles avec des balises incorporées placées de manière stratégique dans des dossiers, des répertoires ou des partages tiers afin d’inciter les pirates à les ouvrir et d’alerter les équipes de sécurité sur les violations à un stade précoce.

Des pistes pour améliorer la détection

L’absence de données de recherche réelles et à grande échelle sur le monde réel a empêché la mise au point de systèmes de détection d’intrusion (IDS) efficaces pouvant arrêter une attaque dès le début de son cycle de vie. La plupart des organisations confrontées à ce type d’attaques préfèrent ne pas les annoncer publiquement pour des raisons de responsabilité et de confidentialité.

Soixante-douze pour cent des incidents résultant des menaces internes (insiders en anglais) survenus dans les établissements sondés ont été traités en interne. Aucune action judiciaire ni intervention de la police n’est intervenue. Seulement 13% des incidents issus de menaces internes ont été traités en interne mais ont donné lieu à des poursuites judiciaires. L’annonce de telles attaques peut également avoir des conséquences sur les parts de marché d’une entreprise. Pour ces mêmes raisons, les victimes d’infractions sont encore moins susceptibles de partager des données réelles qui pourraient être utilisées pour étudier de telles attaques avec le monde de la recherche.

Les attaques de mascarade

Une attaque courante est la mascarade ou usurpation d’identité (en anglais, masquerade). Elle consiste à tromper les mécanismes d’authentification pour se faire passer pour un utilisateur autorisé, de façon à obtenir des droits d’accès illégitimes et ainsi compromettre la confidentialité, l’intégrité ou la disponibilité. Un cas particulier de d’usurpation d’identité consiste pour un attaquant à « forger » de fausses adresses d’origine pour les messages qu’il émet. Dans ce cas, nous parlons alors plus particulièrement de spoofing (littéralement, parodie) d’adresse. Ce déguisement est, par exemple, très facile à réaliser sur le réseau Internet, puisqu’il n’y a pas d’authentification sur les adresses IP.

L’étude des attaques par mascarade souffre également de la rareté des données réelles, malgré leur importance. Trente-cinq pour cent des dirigeants et des membres des autorités publiques ont vu leurs informations, systèmes et réseaux utilisés sans autorisation. Les attaques de mascarade se classent au deuxième rang des cinq principaux cyber-crimes perpétrés par des personnes extérieures, juste après les virus, les vers et autres vecteurs d’attaque malveillants.

L’expérience de la DARPA

L’essentiel de cette expérience est le suivant. Les imposteurs, tout comme les voleurs qui s’introduisent dans une maison, doivent collecter des informations sur l’environnement dans lequel ils viennent d’entrer. Ils doivent en savoir plus sur leur domicile, rechercher des objets de valeur à voler et empaqueter des données pour les exfiltrer. Cette activité précoce est essentielle pour détecter leur activité néfaste. Par conséquent, le fait de placer les capteurs qui agissent comme des fils de déclenchement dans les dossiers et les répertoires les plus susceptibles d’être recherchés dans le cadre d’une attaque sert de mécanisme de détection.

L’efficacité de l’utilisation de capteurs intégrés dans des documents comme moyen de détecter la perte de données a été prouvée par une étude scientifique parrainée par la DARPA. L’étude a mesuré les vrais et faux positifs et les vrais négatifs. Dans le cadre de l’étude, 39 imposteurs individuels, tous sélectionnés pour leur connaissance approfondie et sophistiquée de l’informatique et des systèmes en général, ont été autorisés à accéder à un système comme s’ils avaient déjà réussi à voler les références nécessaires. Les imposteurs ont ensuite été informés que leur travail consistait à voler des informations sensibles dans le système en exploitant les informations d’identification qui leur étaient fournies. L’étude a suivi une méthodologie prescrite et statistiquement valide selon laquelle les imposteurs étaient informés du type d’informations à voler, mais non de la manière de les voler. Ils ont été laissés à eux-mêmes pour trouver et exfiltrer leur butin.

Dans cette étude, l’utilisation stratégique de capteurs pour détecter le moment où les documents ont été consultés a permis:

  • de détecter 98% des imposteurs
  • la génération d’un seul faux positif par semaine d’opération
  • de réussir la détection dans les 10 minutes.

Conclusion

La détection précoce d’un accès non autorisé à des données sensibles, telle que celle décrite dans cette étude de la DARPA, peut permettre aux organisations de ne pas souffrir du coût d’une violation. Il y a 28% de chances qu’une entreprise subisse une violation dans les deux prochaines années. Cela peut entraîner une perte de 3,6 millions USD basée sur le coût moyen d’une violation de données. En utilisant ces chiffres comme point de repère, la détection d’une violation dans les 30 jours ou moins (au lieu de la moyenne de 197 jours) permet à l’entreprise d’économiser un million de dollars en coûts. La plupart des entreprises s’appuient déjà sur des capteurs de réseau et de points d’accès pour collecter des données de sécurité critiques. Pourquoi ne pas utiliser des capteurs à la source des données?

Si le temps de détection est essentiel pour permettre aux entreprises de réaliser des économies substantielles, le secteur de la sécurité doit examiner de nouvelles technologies et approches pour améliorer cette mesure. L’utilisation de capteurs de perte de données est une méthode éprouvée pour attraper rapidement les imposteurs dès le début d’une attaque.

Les violations de données représentent un gouffre financier pour les entreprises. Cependant, ce n’est pas inévitable. Des solutions existent pour réduire les impacts. Encore faut-il que les dirigeants comprennent l’ampleur du phénomène et évaluent correctement les risques.

Vous êtes tous et toutes concerné(e)s puisqu’un quart d’entre vous serez potentiellement affectés dans les deux ans qui viennent. Alors, n’hésitez pas à réagir et à donner votre avis au travers de vos commentaires.

 

Tests de pénétration : nécessaires mais pas suffisants

Trop souvent, lors de mes missions dans différentes parties du monde, je fais face à des idées fondamentalement erronées sur l’objectif d’un test de pénétration. Et malheureusement, ces incompréhensions peuvent mener à des catastrophes en termes de  création de valeur. Dans cet article, j’explore certains des comportements courants que j’ai pu constater vis à vis des pentests. Ils conduisent le plus souvent à une absence de retour sur investissement, faute d’être correctement utilisés. Et, hélas, ils aboutissent systématiquement à une augmentation des risques business due à un faux sentiment de sécurité.

Cybersécurité - Les tests de pénétration sont indispensables mais insuffisants
Crédit : © rawpixel.com 2018

Si vous êtes un lecteur régulier de ce blog, vous savez que j’aborde régulièrement des sujets relatifs à la cybersécurité. Mes articles s’appuient souvent sur des référentiels, des normes ou des réglementations. Aujourd’hui, je vous propose un sujet un peu différent. On entend de plus en plus parler de tests de pénétration (ou pentests) des systèmes d’information. On parle également souvent de tests d’intrusion. Mais à quoi cela sert-il vraiment? Est-ce vraiment utile? Et si vous réalisez ce type de test, cela vous garantit-il que votre système informatique est vraiment sécurisé? Je vais essayer de répondre à toutes ces questions et vous démontrer l’utilité de ces tests de sécurité. Je vais aussi vous démontrer qu’ils ne constituent qu’un des éléments de la chaîne, parmi beaucoup d’autres. En d’autres termes, je vais vous expliquer pourquoi les tests de pénétration sont indispensables mais totalement insuffisants.

En quoi consiste la chaîne cyber-criminelle (« Cyber Kill Chain »)?

Il est important de connaître les étapes qu’un cybercriminel va suivre pour attaquer votre entreprise / service. Le terme «chaîne cyber-criminelle» a été adopté pour exprimer l’ensemble de ces étapes.

Pour mieux comprendre l’intérêt des tests de pénétration, il faut d’abord comprendre ce qu’on appelle la chaîne cyber-criminelle (« Cyber Kill « Chain’). En fait il s’agit de comprendre comment se déroule une cyber-attaque de façon générale.

A l’origine, c’est l’armée qui utilisait le terme de « chaîne de destruction ». Cette « chaîne » définit les étapes que l’ennemi utilise pour attaquer une cible. En 2011, Lockheed Martin a publié un document définissant une «chaîne cyber-criminelle». Ce document, similaire à celui de l’armée, définit les étapes suivies par les hackers dans les cyber-attaques d’aujourd’hui. Et c’est en comprenant chacune de ces étapes que les défenseurs peuvent mieux identifier et bloquer les attaques.

Chaîne cyber-criminelle selon Lockheed Martin
© Lockheed Martin 2011

La chaîne cyber-criminelle, telle que décrite dans le document de Lockheed Martin se compose de 7 étapes.

Une variante, définie par Varonis, rajoute une étape supplémentaire : l’exfiltration. C’est une étape qui apparaît nécessaire. En effet, un pirate ne commet jamais une attaque sans avoir une stratégie de sortie.

Chaîne cyber-criminelle ver. 2 ou les étapes suivies par les cybercriminels
© Varonis 2016

Voici la description détaillée de chacune des étapes d’une chaîne cyber-criminelle (le chemin suivi pour attaquer une cible) :

1. Reconnaissance

Tout « casse » réussi commence toujours par une mission de repérage des lieux. Le même principe s’applique dans le cas d’une cyber-attaque. La phase de reconnaissance constitue la phase préliminaire de toute attaque. Il s’agit de la mission de recueil d’informations. Le cybercriminel recherche alors les indications susceptibles de révéler les vulnérabilités et les points faibles de votre système. Les pare-feu, les dispositifs de prévention des intrusions, les périmètres de sécurité (et même les comptes de médias sociaux) font l’objet de reconnaissance et d’examen minutieux. Les outils de repérage analysent les réseaux des entreprises pour y trouver des points d’entrée et des vulnérabilités à exploiter.

2. Intrusion

Après avoir obtenu ces renseignements, il est temps de s’infiltrer dans le système. Le cybercriminels est maintenant juste derrière la porte. Il est prêt à agir. Il doit encore, cependant, piéger les lieux pour faciliter son attaque. L’intrusion constitue le moment où l’attaque devient active. Les logiciels malveillants (y compris les ransomware, spyware et adware) peuvent être envoyés vers le système pour en forcer l’entrée. C’est la phase de livraison. Elle peut s’effectuer par e-mail de phishing ou prendre la forme d’un site Web compromis. Elle peut aussi venir du sympathique café au coin de la rue avec sa liaison WiFi non sécurisée, facile à utiliser par les pirates. L’intrusion constitue le point d’entrée d’une attaque. C’est le moment où les agresseurs pénètrent dans la place.

3. Exploitation

Le hacker se trouve de l’autre côté de la porte et le périmètre est désormais violé. La phase d’exploitation d’une attaque exploite les failles du système. Les cybercriminels peuvent désormais entrer dans le système, installer des outils supplémentaires, modifier les certificats de sécurité et créer de nouveaux scripts à des fins nuisibles.

4. Escalade de privilèges

Quel intérêt y aurait-t-il à entrer dans un bâtiment si vous restez coincé à la réception? Vous devez absolument pénétrer le coeur du bâtiment pour y trouver les secrets les plus intéressants. C’est ce que font les cybercriminels en utilisant l’escalade de privilèges. Ils vont ainsi pouvoir obtenir des autorisations élevées d’accès aux ressources. Ils modifient les paramètres de sécurité des GPO, les fichiers de configuration, les permissions et essaient ensuite d’extraire des informations d’identification.

5. Mouvement latéral

Vous avez maintenant carte blanche. Il vous reste cependant à trouver la chambre forte où sont protégées les informations les plus précieuses. Les cybercriminels se déplacent de système en système, de manière latérale, afin d’obtenir d’autres accès et de trouver toujours plus de ressources. C’est également une mission avancée d’exploration des données. Au cours de cette mission, les cybercriminels recherchent des données critiques et des informations sensibles, des accès administrateur et des serveurs de messagerie. Ils utilisent souvent les mêmes ressources que le service informatique de l’entreprise. Ils tirent également parti d’outils intégrés tels que PowerShell et se positionnent de manière à causer le plus de dégâts possible.

6. Camouflage

C’est bon, vous êtes arrivés au bon endroit. Encore faut-il vous assurer que vous n’allez pas vous faire repérer. Mettez les caméras de sécurité en boucle et montrez un ascenseur vide. Ainsi, personne ne verra ce qui se déroule en coulisses. Les hackers font exactement la même chose. Ils masquent leur présence et leur activité pour éviter toute détection et déjouer les investigations. Cela peut prendre la forme de fichiers et de métadonnées effacés, de données écrasées au moyen de fausses valeurs d’horodatage (timestamps) et d’informations trompeuses. Ou encore cela peut se faire sous forme d’informations critiques modifiées pour que les données semblent ne pas avoir été touchées.

7. Déni de service

Bloquez les lignes téléphoniques et coupez le courant. C’est la phase au cours de laquelle les cybercriminels ciblent le réseau et l’infrastructure de données. Leur objectif est d’empêcher que les utilisateurs légitimes puissent accéder à ce dont ils ont besoin. L’attaque par déni de service (DoS) perturbe et interrompt les accès. Elle peut entraîner la panne des systèmes et saturer les services.

 8. Exfiltration

Vous devez toujours prévoir une stratégie de sortie. Vous avez obtenu ce que vous étiez venu chercher. Il serait idiot de rester là à attendre d’être découvert et arrêté par la police. Vous devez maintenant sortir votre butin pour pouvoir en tirer profit. Les cybercriminels obtiennent les données. Ils copient, transfèrent ou déplacent les données sensibles vers un emplacement sous leur contrôle. Ils pourront ensuite en faire ce qu’ils veulent : les rendre contre une rançon, les vendre sur internet ou sur le Dark Web par exemple. Sortir toutes les données peut prendre des jours entiers. Mais une fois qu’elles se trouvent à l’extérieur, elles sont sous le contrôle des cybercriminels.

N’oubliez pas que les attaquants disposent d’un temps considérable (potentiellement illimité). Ils disposent également d’une étendue totalement libre au niveau des vecteurs d’attaque. Rien n’est interdit! Ils ne se limiteront pas toujours à une seule méthode et les voies d’attaque couvriront tous les chemins possibles entre vos données et la position de l’attaquant (y compris les serveurs / services et les points finaux n’appartenant pas à votre entreprise). Les attaques peuvent être continues et ne se dérouleront probablement pas durant les heures de travail de votre organisation.

Qu’en est-il des tests de pénétration?

Examinez maintenant les phases d’un test de pénétration. Celles-ci (bien qu’elles puissent sembler quelque peu similaires) sont souvent très différentes :

1. Sélection du prestataire

Les entreprises choisissent un fournisseur sur le marché. Ils se concentrent le plus souvent sur la liste de ses badges de certification et les coûts plutôt que sur la méthode de test utilisée.

2. Définition du périmètre du test

Une réunion de cadrage est organisée au cours de laquelle le client et le fournisseur discutent des exigences. Sur la base de cette réunion, le fournisseur élabore une proposition. Un périmètre spécifique sera sélectionné, qui inclura et exclura des scénarios et des types de tests. Il pourra s’agir de tests de type black box, grey box ou white box, à l’aveugle, internes ou externes, …

3. Planification

Une fois les contrats conclus, le test sera planifié, les prérequis activés et les délais convenus.

4. Réalisation du test

Les tests seront effectués (souvent sur quelques jours) en fonction de la méthode de test du fournisseur. Il peut s’agir d’un balayage automatisé utilisant un produit tel que Nessus . Idéalement, ce sera une combinaison de tests automatisés et manuels couvrant l’ensemble du spectre du service testé. Cependant il s’agit le plus souvent d’un ensemble limité de tests

5. Fourniture d’un rapport

Une fois le test d’intrusion terminé, l’étape finale consiste à collecter les preuves des vulnérabilités exploitées et à les signaler à la direction. C’est elle qui les examine et prendra les mesures qui s’imposent. C’est maintenant à la haute direction de décider de la manière dont ce risque doit être traité. Ils choisiront d’accepter le risque, de le transférer, de le réduire ou de l’ignorer (option la moins probable). Un rapport formel sera fourni au client. Celui-ci se présente le plus souvent sous la forme d’un agencement de style feux de signalisation décrivant les risques critiques, élevés, moyens, faibles ou négligeables. Le rapport inclut souvent également des recommandations de mesures correctives afin de réduire les risques identifiés.

6. Suivi

Après la soumission du rapport de test d’intrusion, le client doit l’examiner avec les parties prenantes concernées. Il doit ensuite ajuster les contrôles de sécurité en conséquence. Cela nécessitera probablement un effort de collaboration entre plusieurs fonctions, services, équipes et moyens. Ce suivi sera normalement réalisé sous la direction du CISO. L’objectif clé ici devrait être de permettre aux équipes de réduire le risque d’un service spécifique. Cependant il ne faut pas en rester là. Il convient également de jouer sur l’amélioration continue du processus de développement du cycle de vie logiciel/service afin d’améliorer la posture de sécurité et la robustesse tout au long du cycle de vie.

Les problèmes en amont des tests de pénétration

Les six phases de test de pénétration que j’ai décrites ci-dessus peuvent sembler relativement simples. Hélas les choses peuvent mal se passer. Et c’est malheureusement souvent ce qui se produit. Les quatre scénarios suivants sont des scénarios que je vois malheureusement maintes et maintes fois. Et, même avant le début des tests, ils contribuent à détruire tout le bénéfice de l’opération. Cette liste n’est pas exhaustive, alors n’hésitez pas à commenter ci-dessous (je suis sûr que vous avez d’autres exemples concrets).

  • Les tests de pénétration ne sont effectués que sur un périmètre très réduit. Par exemple un test de type boîte noire est réalisé à partir d’une adresse IP spécifique par rapport à une cible spécifique, d’une manière limitée.
  • La sélection du prestataire du test d’intrusion est effectuée sur la seule base du coût.
  • La portée des tests ne représente pas un nombre suffisant de vecteurs d’attaque par rapport à ce que les cybercriminels utiliseront dans le monde réel.
  • Les tests sont limités aux environnements de «test» uniquement, car l’entreprise craint que le business ou un service ne soit affecté si un test produisait un résultat «destructeur» sur les systèmes en production.

Les problèmes en aval du test d’intrusion

En plus de ce qui précède:

  • Les résultats des tests de pénétration restent extrêmement secrets. Bien sûr, ils sont sensibles, mais les méchants vous sondent déjà. Et ils connaissent probablement déjà les faiblesses de votre système.
  • Souvent, les résultats ne sont pas utilisés pour aider les équipes concernées (équipe bleue, opérations informatiques, développeurs, centre de services et architectes) à apprendre non seulement à atténuer les attaques spécifiques, mais également à améliorer leurs pratiques pour réduire le nombre de vulnérabilités créées.

Alors, que faut-il faire?

Vous liez ceci et vous pensez que rien de tout cela ne se peut se produire dans votre organisation? Alors j’en suis vraiment très heureux pour vous. Mais hélas, j’ai beaucoup de mal à vous croire. Cependant, je soupçonne que beaucoup d’entre vous, tout comme moi, hocherez la tête et grinceront un peu des dents en vous rappelant la valeur limitée des activités réalisées lors du dernier test d’intrusion.

Lors de la conception et de l’exploitation des services, il est essentiel que les activités de test et d’assurance de la sécurité se déroulent selon un cycle continu qui améliore à la fois la sécurité et la création de valeur. Les rapports sur les étagères, ou des listes des case de conformité à cocher ou encore des tests menés à un moment précis, n’apportent que peu de valeur ajoutée. Cela ne contribue pas efficacement à la réduction des risques pour l’entreprise.

La détection et la correction des vulnérabilités de sécurité sont beaucoup moins stressantes et coûteuses si elles sont traitées dès les premières étapes du cycle de vie. De plus la connaissance des outils et des méthodes à déployer avant de réaliser une revue de sécurité vous évitera de nombreuses nuits blanches si vous commencez très tôt et faites des évaluations en continu.

Conclusion

Les tests de pénétration ont définitivement un rôle à jouer pour sécuriser et garantir les services. Cependant, n’oubliez pas qu’il ne s’agit que d’un composant de la solution et non de la solution complète. Les autres activités importantes à réaliser comprennent notamment :

  • Conception sécurisée,
  • Gestion des actifs,
  • Modélisation des menaces,
  • Évaluation des risques,
  • Revues de code,
  • Audits et examens des services,
  • Évaluation des vulnérabilités,
  • Analyse de code (statique et dynamique),
  • Renforcement de la sécurité,
  • Gestion des correctifs de sécurité,
  • Exploitation sécurisée,
  • Simulation d’attaques,
  • et bien d’autres encore…

Espérons que cet article vous amène à réfléchir à l’objectif des tests de pénétration. Cela devrait être l’amélioration de l’apprentissage et de la posture de la sécurité. Les tests de pénétration  se doivent de jouer un rôle général dans la planification, la conception, la construction et l’exploitation de services sécurisés. Ainsi, non seulement vous réduirez les risques pour l’entreprise mais aussi vous offrirez de la valeur à votre client!

N’hésitez pas à commenter cet article pour échanger vos expériences. C’est sur la base d’une discussion avec et entre nos lecteurs que nous pouvons mieux répondre à vos attentes. Alors, n’attendez pas. Ne soyez pas timide et osez poster un commentaire.

 

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

Cybersécurité: au delà de l’environnement professionnel

Je travaille avec de nombreuses organisations à travers le monde pour les aider à améliorer leur cybersécurité. J’écris beaucoup d’articles sur des blogs, j’anime des conférences et des formations sur ce sujet depuis plusieurs années. Dans le cadre de mes activités de conseil, je me concentre presque toujours sur la gouvernance et le management de la sécurité des systèmes d’information en entreprise. Cela concerne entre autres les mots de passe, la protection des données personnelles, etc.. C’est bien pour cela que mes clients ont recours à mes services. Cependant, il est tout aussi important de penser à la cybersécurité dans nos vies personnelles.

Cybersécurité au delà de l'environnement professionnel, les mots de passe, les objets connectés, les terminaux doivent être protégés
Crédit © rawpixel.com 2018

Dans cet article, j’aborderai trois sujets essentiels :

  • Gestion de vos comptes d’utilisateurs et mots de passe
  • Protection de vos ordinateurs, tablettes et téléphones
  • Protection vos appareils IoT (objets connectés)

Dans un prochain article, j’aborderai le quatrième sujet: « Protection de vos informations personnelles ». Cet article est déjà très long et vous devrez donc attendre un prochain post pour que j’aborde ce sujet sensible. Il mérite beaucoup plus que quelques lignes.

1. Gérez vos comptes utilisateurs et vos mots de passe

Chaque semaine, nous découvrons une nouvelle faille majeure dans la sécurité des informations. Les données personnelles de millions de personnes sont ainsi divulguées. Lors d’une récente attaque contre les hôtels Marriott, les pirates se sont emparés d’informations personnelles concernant des centaines de millions de clients (entre 350 et 500 millions selon les estimations). Cela devrait vous inciter à la plus grande prudence quand à l’utilisation d’internet au quotidien.

Définissez bien votre stratégie de gestion de mots de passe

Lorsqu’une violation survient, les pirates informatiques s’emparent généralement d’une liste de noms d’utilisateurs et de mots de passe utilisés sur les systèmes violés. Souvent ils récupèrent également des informations personnelles et financières qu’ils pourront ensuite utiliser ou revendre. Une des premières choses qu’ils font ensuite, généralement, est d’essayer ces mots de passe sur tous les autres sites auxquels ils peuvent penser. Il ne s’agit pas juste de taper les mots de passe sur un clavier pour voir où leurs victimes travaillent. Les pirates utilisent des scripts qui essaient des millions de mots de passe connus sur plusieurs milliers de sites Web. Cela signifie que si vous avez utilisé le même mot de passe sur plusieurs sites différents, et si l’un de ces sites est victime d’une attaque, les pirates informatiques peuvent potentiellement accéder à tous les autres comptes sur lesquels vous avez réutilisé ce même mot de passe.

Idéalement, vous avez donc besoin d’un nom d’utilisateur différent et d’un mot de passe complexe différent pour chaque connexion. Oui, je sais. Ce n’est pas facile quand vous pouvez avoir des centaines de comptes différents. Je viens de compter le nombre de comptes différents que j’ai. Et vous savez quoi? J’ai découvert que j’utilise plus de 200 identifiants différents, que ce soit pour les achats, les voyages, la gestion de mon argent, les médias sociaux, les entreprises de services publics, le gouvernement, etc.

Assurez-vous que votre stratégie est suffisamment solide

Certaines personnes utilisent un mot de passe commun pour ce qu’ils considèrent être des sites à faible risque. Ils ne définissent des mots de passe uniques que pour les sites qui leur paraissent les plus critiques, comme leur banque. Hélas, cela peut entraîner des problèmes lorsqu’un compte «à faible risque» s’avère plus important que vous ne le pensiez. Des informations personnelles pouvant aider les pirates à violer un compte plus sécurisé pourraient éventuellement être dérobées.

Prenons un exemple simple. Imaginons que votre opérateur de téléphonie mobile utilise un ancien compte de messagerie, que vous utilisez rarement et que vous avez oublié, pour confirmer les commandes. Un pirate informatique peut alors récupérer votre numéro de téléphone et l’utiliser pour se faire passer pour vous sur un autre site. De même, imaginons qu’un pirate informatique accède au site sur lequel vous avez utilisé votre mot de passe commun parce que vous vouliez uniquement effectuer un achat ponctuel et que la société conserver une copie des informations de votre carte de crédit en ligne. Le cyber-criminel pourrait alors obtenir votre mot de passe commun ainsi que les informations de votre carte de crédit. Bon d’accord, imaginons que le site marchand en question ne conserve pas vos informations de carte de crédit. Celles concernant vos achats (nom, prénom, adresse email) peuvent être suffisantes pour qu’un pirate informatique réussisse une attaque de phishing: «Cher Alain, le t-shirt que tu as acheté la semaine dernière provenait d’un lot défectueux. Merci de cliquer sur ce lien pour obtenir un remboursement ».

Utilisez un gestionnaire de mots de passe

Si vous souhaitez créer un mot de passe différent et complexe pour chaque site sur lequel vous vous connectez, vous aurez sûrement beaucoup de mal à le mémoriser. Alors vous pouvez le stocker dans une feuille de calcul ou un document protégé par mot de passe. Encore faut-il vous assurer que la protection du document ne puisse pas être violée. Il est cependant préférable d’utiliser un outil de gestion de mots de passe.

Les gestionnaires de mots de passe sont beaucoup plus qu’un simple outil de stockages des mots de passe. Ils offrent tout un ensemble de fonctionnalités telles que :

  • Protection de tous vos noms d’utilisateur et mots de passe enregistrés protégés par un seul mot de passe (très complexe j’espère) que vous seul connaissez
  • Navigation automatique vers des sites Web et saisie de vos informations dans les champs correspondants
  • Capture automatique des noms d’utilisateur et des mots de passe lorsque vous les entrez ou les modifiez
  • Génération de mots de passe aléatoires complexes correspondant à des critères spécifiés
  • Synchroniser les mots de passe cryptés enregistrés vers un service cloud afin que vous puissiez les utiliser sur de nombreux appareils différents (ordinateur, tablette, téléphone)
  • Prise en charge de plusieurs navigateurs pour vous permettre de vous connecter comme bon vous semble au moment voulu
  • Prise en charge de diverses plates-formes, notamment Windows, Mac, IoS et Android.

Certains gestionnaires de mots de passe sont gratuits, d’autres sont payants. Certains autres ont une version premium et une version gratuite avec des fonctionnalités différentes. Voici une liste de quelques produits que vous devriez considérer:

Une fois que vous aurez commencé à utiliser un gestionnaire de mots de passe, vous verrez par vous-même. Vous vous demanderez comment vous avez réussi à vous en passer jusqu’alors. Cela rend les choses tellement plus faciles. Comme pour tout outil, la configuration et l’habitude de l’interface utilisateur demandent un peu d’effort au début. Ensuite vous pourrez créer des mots de passe longs et complexes pour chaque site et les utiliser pratiquement sans effort.

Utilisez l’authentification à deux facteurs

Les mots de passe longs et complexes aident à sécuriser vos comptes, mais ils ne suffisent pas toujours. Les hackers peuvent utiliser de nombreuses astuces pour obtenir vos mots de passe. En particulier si vous utilisez un réseau WiFi public non sécurisé dans les hôtels, les aéroports ou les cafés, ils peuvent espionner et récupérer vos mots de passe qui sont transmis en clair sur le réseau.

L’authentification à deux facteurs utilise deux manières différentes de prouver qui vous êtes. Elle repose sur deux choses complètement différentes. Il est donc beaucoup plus difficile pour un pirate informatique de prendre le contrôle votre compte. Chaque connexion nécessite l’utilisation de deux éléments distincts parmi les suivants:

  • Quelque chose que vous savez (un mot de passe par exemple)
  • Quelque chose que vous avez (une carte, un badge, un jeton matériel)
  • ou quelque chose que vous êtes (une identification biométrique comme une empreinte digitale par exemple)
  • ou enfin quelque part où vous êtes (l’identité d’un réseau sans fil par exemple ou des coordonnées GPS).

Certains sites Web vous permettent d’utiliser un message texte envoyé sur un téléphone portable ou un code envoyé dans un message électronique en tant que deuxième facteur. C’est notamment le cas pour les banques. Cela vaut mieux que de simplement utiliser un mot de passe mais ce n’est pas aussi sécurisé que d’autres options. En effet, il existe des moyens bien connus d’intercepter les messages électroniques et les messages texte du téléphone. D’ailleurs, considéré comme trop fragile, ce moyen d’authentification utilisé par les banques est en voie d’être interdit en Europe. La commission européenne est  actuellement en train d’élaborer la nouvelle directive DPS2 qui va dans ce sens et s’imposera à toutes les banques et les sites marchands. La meilleure option pour une utilisation personnelle consiste à utiliser une application, telle que Google Authenticator, ou un jeton matériel, tel que Yubikey.

L’authentification à deux facteurs est déjà disponible sur de nombreux sites

Peut-être ne le savez-vous pas mais de nombreux sites et logiciels différents prennent déjà en charge l’authentification à deux facteurs. Par exemple

  • Vous pouvez l’activer sur les sites de médias sociaux tels que Facebook, Twitter et LinkedIn
  • De nombreuses banques et autres sites financiers fournissent un deuxième facteur sous la forme d’un jeton matériel qui génère un code à utiliser lorsque vous vous connectez
  • Certains logiciels prennent en charge deux facteurs. Par exemple, vous pouvez configurer la connexion à deux facteurs pour la plupart des gestionnaires de mots de passe répertoriés ci-dessus.

Utilisez un service de VPN

Vous utilisez un réseau WiFi public, par exemple dans les hôtels, les aéroports ou les cafés? Les pirates informatiques ont alors une bonne occasion de s’attaquer à votre sécurité. Ils peuvent s’y prendre de différentes manières. Notamment, il peuvent mettre en place un faux point d’accès WiFi qui redirige tout le trafic via leurs propres serveurs. Ils ont alors tout loisir de capturer vos informations personnelles.

Le meilleur moyen de vous protéger de ce type d’attaque consiste à utiliser un service VPN. Une fois que vous vous êtes connecté au réseau WiFi et avant de faire quoi que ce soit, le service VPN configure une connexion vérifiée et cryptée entre votre appareil et un serveur VPN. Le serveur VPN achemine ensuite tout votre trafic Internet, de façon cryptée, vers sa destination. Ceci empêche toute personne sur le réseau WiFi local de voir quoi que ce soit sur votre activité Internet ou d’interférer avec celle-ci.

Vous pouvez trouver une comparaison détaillée des produits VPN disponibles sur le site That One Privacy Site.

2. Protégez vos ordinateurs, vos tablettes et vos téléphones

Il est extrêmement facile pour les ordinateurs, les tablettes ou les téléphones d’être infectés par des logiciels malveillants pouvant avoir des conséquences dévastatrices. Un Ransomware peut chiffrer tous vos fichiers et demander de l’argent pour les récupérer. Le cryptojacking peut prendre le contrôle de votre appareil et utiliser toute votre puissance CPU pour générer des bitcoins pour un attaquant. Les virus, les vers et les chevaux de Troie peuvent être utilisés pour prendre complètement le contrôle de votre appareil et l’utiliser pour lancer des attaques sur d’autres ordinateurs ou tout simplement pour vous causer des problèmes.

Parmi les actions que vous pouvez prendre pour vous protéger nous vous proposons les suivantes:

Maintenez les correctifs de sécurité à jour

Ne tardez pas à installer les correctifs du système d’exploitation. Dès que le correctif est disponible et que la connaissance du bug se généralise, il est probable que des cyber-criminels tenteront d’exploiter le bug qu’il corrige. Si vous attendez quelques semaines pour installer le correctif, ils auront tout le temps de vous pirater.

Ne faites pas que patcher votre système d’exploitation. Les applications nécessitent également des correctifs réguliers. Certaines applications les téléchargent automatiquement. Par exemple, des navigateurs Web tels que Chrome et Firefox vous invitent à mettre à jour les versions les plus récentes. Vous devez toutefois surveiller les autres applications et les maintenir à jour manuellement.

Il existe des outils pour vous aider, mais aucun d’eux n’est totalement satisfaisant. Vous pouvez utiliser un produit appelé SUMo, qui identifie les mises à jour dont vous avez besoin et fournit un lien pour les télécharger. Attention cependant, les liens de téléchargement ne sont pas toujours fonctionnels.

Assurez-vous de maintenir votre anti-virus à jour

Vous devez absolument exécuter un logiciel antivirus sur tous vos appareils, le maintenir à jour et effectuer des analyses régulières. Il existe de nombreuses options gratuites, en fonction de la plate-forme que vous utilisez. Par exemple, Sophos propose des produits gratuits pour Windows, Mac et Android. N’hésitez pas à rechercher en ligne des critiques qui seront probablement mises à jour plus fréquemment que ce blog.

Faites attention l’hameçonnage, ne cliquez pas sur des liens

L’hameçonnage (phishing en anglais) est souvent utilisé par les pirates pour vous amener à télécharger et à exécuter des logiciels. Généralement, il se présente sous la forme d’un lien dans un courrier électronique, un message texte ou un message de média social. Mais il peut également être intégré dans un document PDF ou Office. Pour en savoir plus, je vous invite à consulter un précédent article : Phishing – Mode d’emploi.  Auparavant, il était assez facile de reconnaître les attaques de phishing car elles avaient généralement une mauvaise grammaire et des liens qui présentaient des risques évidents à reconnaître. Mais les escrocs deviennent de plus en plus intelligents et certaines de ces attaques sont vraiment difficiles à détecter.

Vous devez être vigilant. Si vous recevez un lien dans un message envoyé par un ami, ne vous contentez pas de cliquer dessus. Réfléchissez bien au type de messages que cet ami vous envoie habituellement. Eventuellement contactez-le et demandez-lui s’il vous a vraiment envoyé le message. Si vous recevez un email d’une banque ou d’une autre institution financière, n’utilisez jamais le lien inclus dans le message pour accéder à votre compte. Ouvrez votre navigateur Web et accédez vous-même au site.

Faites des sauvegardes régulières, spécialement pour les données importantes

Si votre ordinateur ou votre périphérique est compromis, vous pouvez probablement le restaurer dans l’état dans lequel il se trouvait lorsqu’il a quitté l’usine. Cela supprimera tout logiciel malveillant. Cependant, si vos précieuses données ont été compromises, votre seul moyen de récupération consiste à restaurer une sauvegarde. Vous pouvez utiliser un logiciel de sauvegarde comme Acronis TrueImage ou StorageCraft ShadowProtect, mais même si cela n’est pas possible, vous devez stocker des copies des fichiers importants dans un emplacement sûr, même si vous les envoyez régulièrement à votre service de messagerie cloud.

3. Protégez vos objets connectés

De nombreux appareils que nous introduisons aujourd’hui dans nos foyers ont une capacité informatique et une connectivité réseau. Cela inclut

  • les téléviseurs et les différentes éléments que nous leur connectons;
  • haut-parleurs intelligents tels que Amazon Echo ou Google Home;
  • les ampoules intelligentes;
  • systèmes domotiques;
  • les webcams;
  • et des appareils plus exotiques tels que des grille-pain intelligents, des bouilloires et des brosses à dents.

Tous ces appareils sont en réalité des ordinateurs de votre réseau domestique. Ils peuvent donc être attaqués et leur contrôle peut être pris par des pirates. Si vous souhaitez connaître l’ampleur potentielle du problème, consultez Shodan, un moteur de recherche Web qui localise et identifie les périphériques IoT non sécurisés.

Les conseils de ce paragraphe du blog s’appliquent également aux périphériques réseau domestiques tels que les routeurs et les points d’accès sans fil.

Changez les mots de passe par défaut

La première chose, et la plus importante, que vous devriez faire avant de commencer à utiliser tout appareil connecté est de changer les mots de passe par défaut. Choisissez un bon mot de passe et veillez à en conserver une copie, de préférence dans votre gestionnaire de mots de passe.

Mettez à jour le micro-logiciel et les logiciels

Comme tous les autres ordinateurs, ces appareils exécutent des logiciels qui peuvent être compromis. Les fournisseurs publient régulièrement des mises à jour et des correctifs. Vous devez vous assurer que ceux-ci sont installés rapidement.

Désactivez les fonctionnalités que vous n’utilisez pas

De nombreux appareils comportent de nombreuses fonctionnalités qu’on utilise très rarement. Une fois que vous avez identifié les fonctionnalités du périphérique que vous souhaitez utiliser, il est recommandé de désactiver toutes les fonctionnalités que vous n’utilisez pas. Cela réduira la «surface d’attaque» et contribuera à réduire les risques de compromission de votre appareil.

Conclusion

Nous sommes de plus en plus dépendants d’Internet et nos foyers regorgent d’appareils informatiques de plus en plus sophistiqués. Internet et les appareils connectés sont très populaires. Ils contribuent à notre qualité de vie, mais ils comportent des risques. Si vous les utilisez sans penser aux risques, un jour vous serez attaqué et les conséquences pourraient être graves.

Si vous utilisez les contre-mesures disponibles, telles que les bons mots de passe, l’authentification à deux facteurs et les mises à jour de correctifs, vous pouvez alors vous protéger. Vous protègerez ainsi votre maison et votre famille contre les pires effets d’une attaque.

Cet article vous a paru utile? Vous avez d’autres astuces pour vous protéger en ligne? N’hésitez pas à partager vos avis et vos expériences par un commentaire. Si vous avez aimé cet article, vous pouvez aussi nous laisser un « like », cela fait toujours plaisir à notre équipe.

19 résolutions pour une année 2019 réussie

2018 vient de se terminer. Et ce fut une année riche en nouveautés dans les domaines de la gouvernance, du management des TI et de la sécurité de l’information. C’est donc le moment idéal pour souhaiter une très belle année 2019 à tous nous lecteurs de la part de toute l’équipe de 2AB & Associates. Cette année 2019 va voir arriver sans doute encore plus de nouveautés que la précédente. Et cela va commencer dès les prochaines semaines et les prochains mois.

Bonne année 2019
Crédits © rawpixel.com 2018

Mais avant de nous concentrer sur ce qui arriver ou ce qui vient d’arriver, essayons de garder les pieds sur terre. Traditionnellement, chaque début d’année est propice aux bonnes résolutions. Alors, pour ne pas faillir à la tradition, nous avons également réfléchi à ce qui pourrait servir de base pour de bonnes résolutions dans les départements ITSM des organisations.

« C’est une nouvelle ère. C’est un nouveau jour. C’est une nouvelle vie pour moi. Et je me sens bien! »  Est-ce vraiment ce que vous vous êtes dit en rentrant dans votre bureau le 2 Janvier? D’accord, certains d’entre vous l’ont peut-être dit. Mais beaucoup d’entre vous n’ont fait que recommencer la même course, la nouvelle année marquant seulement le début de 12 mois de nouveaux défis. Ces nouveaux défis seront accompagnés d’une grande partie des anciens, qui sont toujours là. Alors, que devriez-vous faire pour commencer 2019 de la bonne façon – ou au moins de la meilleure façon possible?

Ou, dit autrement,

Démarrez dans la bonne direction

Mon premier groupe de conseils pour 2019 porte sur la construction des fondations appropriées pour les améliorations et les changements futurs.

1. Comprenez que l’informatique «telle que nous la connaissons» est en train de changer rapidement

Beaucoup de changements sont intervenus récemment. Ils concernent la technologie que nous gérons. Mais ils affectent aussi celle que nous utilisons pour nous aider à gérer l’informatique. La demande de l’entreprise et son besoin confiance en cette technologie (ainsi que dans les services auxquels elle contribue) ne cessent de croître. Et il en est ainsi également des attentes croissantes des employés et des clients externes qui bénéficient des meilleurs résultats des stratégies d’expérience utilisateur. Tous ces facteurs, ainsi que d’autres, vont changer radicalement la gestion des services TI au cours des 12 prochains mois et au-delà. Il est temps pour vous de changer et vous adapter. Sinon c’est vous qu’on risque de changer.

2. Appuyez-vous sur les bonnes pratiques pour susciter le changement

Si vous lisez régulièrement mon blog, vous avez déjà découvert les nouvelles versions de VeriSM, ISO/IEC 20000, COBIT et ITIL. La première vague d’ITIL 4 arrive au premier trimestre 2019. D’une part, c’est formidable. Ce cadre de bonnes pratiques est enfin en train de rattraper le monde en rapide évolution dans lequel nous travaillons. De l’autre côté, cependant, ces «nouvelles versions» vont potentiellement stimuler les activités axées sur un accroissement de flexibilité par les personnes qui y sont exposées. Il en résultera beaucoup de petites activités de changement potentiellement disparates. Bien sûr, vous pouvez toujours considérer cela comme «mieux que rien». Il est toutefois bien plus raisonnable d’envisager tous ces changements à venir dans le cadre d’une approche globale d’amélioration. C’est la seule façon de pouvoir en tirer le meilleur avantage.

3. Commencez enfin à penser et à communiquer en termes de valeur business – et non informatique.

Cela ne concerne bien sûr que ceux et celles qui ne le font pas déjà. C’est la grande orientation que prend l’industrie de la gestion des services informatiques aujourd’hui. Nombreux sont ceux qui considèrent qu’elle aurait déjà dû être dans cette approche de «focalisation sur la valeur» depuis des années. Une de ces voix est celle de Paul Wilkinson, dont les ateliers révèlent généralement que le principal reproche que les cadres supérieurs font à leurs collègues des TI est qu’ils ne comprennent «pas la priorité business et l’impact de l’informatique sur l’entreprise».

4. Réalisez que l’amélioration réelle de la gestion des services informatiques ne se réalisera que si vous la planifiez de manière proactive.

Vous savez probablement déjà ce qui se passe souvent avec vos meilleures ambitions d’amélioration de l’ITSM. Le «vrai travail» vous en empêche. Le tumulte quotidien au sein du département TI, et en particulier du support informatique, empêche les gens de prendre du temps pour «sortir la tête de l’eau». Ils « courent » en permanence pour satisfaire les utilisateurs. Une approche proactive d’amélioration nécessite non seulement de justifier des ressources et des coûts supplémentaires. Mais ce n’est pas suffisant. Il faut aussi de veiller à ce que les opportunités soient bien priorisées en fonction des besoins et des objectifs du business. Il est également indispensable de pouvoir ensuite mesurer et communiquer les résultats atteints par rapport aux objectifs de l’entreprise.

5. Chassez les idées fausses

Ne faites pas l’erreur de penser que l’amélioration des services TI engendre toujours une amélioration de la performance du business. Ce n’est pas vrai. Au lieu de cela, vous devez vraiment comprendre les effets ultimes des idées potentielles d’amélioration des TI sur les résultats business. Et comprenez également que, de façon perverse, il n’est pas impossible que les améliorations apportées à la gestion des services informatiques aient un effet négatif sur les résultats de l’entreprise.

Pourquoi? Prenons un exemple très simple: l’organisation informatique a réussi à favoriser l’adoption du libre-service informatique. C’est un gros succès pour le département informatique qui se trouve libéré de multiple tâches de support. Dès lors, les commerciaux de l’entreprise se débrouillent maintenant seuls pour résoudre leurs incidents informatiques. Ils sont autonomes pour faire les demandes de nouveaux services. Du coup, du fait de leur inefficacité dans ce domaine et de leur mauvaise compréhension, ils perdent beaucoup de temps à cela. Ce temps perdu est évidemment répercuté sur le temps consacré à leurs activités business. Or c’est leur activité business qui crée de la valeur pour l’entreprise. Au final, les économies opérationnelles réalisées par le centre de services informatiques sont très largement contrebalancées par la baisse des ventes mensuelles. Et c’est l’entreprise toute entière qui est impactée négativement. C’est un cas simple que j’ai déjà rencontré à plusieurs reprises et qui mérite d’être médité lorsque l’on cherche à s’améliorer.

6. Identifiez et priorisez les améliorations ITSM par le biais de conversations avec vos clients, et non avec les informaticiens.

Vous avez sans doute déjà une longue liste de choses que vous aimeriez améliorer. Mais vous devez faire attention à ce que ce soient les «bonnes choses», du point de vue business. C’est particulièrement le cas lorsque ce qui semble être une amélioration très intéressante en matière de gestion des services informatique n’a que peu d’impact positif sur les opérations business (voir le point précédent). Ainsi, plutôt que de considérer l’amélioration du point de vue du département IT, vous devez toujours partir de l’extérieur et aller de l’avant vers l’intérieur. C’est à dire qu’il faut systématiquement opter pour une approche externe. C’est toujours le business qui doit être le point de départ.

7. Analysez vos précédentes activités d’amélioration des services TI.

Cette activité d’analyse est, hélas, trop souvent négligée. L’orientation prospective du département informatique empêche souvent de revenir sur ce qui s’est passé auparavant. Pourtant, comme pour tout ce que vous faites dans le domaine des TI, cela vous permettra d’apprendre du passé (et des autres). Il s’agit non seulement de tirer des leçons de ce qui n’a pas bien fonctionné, mais également de ce qui s’est bien passé. Il faut surtout comprendre le « pourquoi » afin d’identifier les risques et les améliorations à apporter. Ces résultats d’analyse devront ensuite être pris en compte dans les activités d’amélioration de 2019. Vous éviterez ainsi de refaire éternellement les mêmes erreurs.

Focalisez-vous sur ce qui est vraiment important

Mon deuxième groupe de conseils pour 2019 concerne les tendances et les innovations qui affecteront votre façon traditionnelle de penser ainsi que votre façon d’exploiter vos services TI.

8. Prenez conscience de l’importance de l’expérience utilisateur en matière de services TI.

Aussi loin que je me souvienne, les meilleures pratiques en matière de gestion des TI n’ont jamais voulu reconnaître les utilisateurs finaux comme étant des clients. Elles se basaient pour cela sur le fait qu’ils ne paient pas personnellement leur s services informatiques. Elles considéraient donc que les clients étant plutôt des cadres supérieurs (ceux-ci risquant d’ailleurs de ne pas payer les factures informatiques). Cependant, tout cela n’a aujourd’hui plus aucune importance. En effet  c’est l’expérience des employés qui est désormais au centre. Car l’informatique n’est qu’un outil au service des employés pour leur faciliter l’atteinte de leurs objectifs business. L’aspect majeur, c’est que le fait de ne pas tenir compte de l’expérience des employés aura probablement une incidence négative sur le succès, la valeur et la pertinence du service informatique pour toute l’entreprise.

9. Préparez-vous pour l’arrivée de l’intelligence artificielle (IA) dans le domaine des services TI.

Vous n’y échapperez pas. Il est impossible que votre organisation, votre département informatique et vos activités TI ne soient pas affectées par les opportunités offertes par l’intelligence artificielle en 2019. Et, au cours de la prochaine année, de plus en plus de fournisseurs d’outils ITSM introduiront des fonctionnalités d’intelligence artificielle basées sur des tâches, notamment pour le support. Cela va des chatbots à la catégorisation, à la hiérarchisation et au routage automatisés des tickets. Le battage médiatique de 2018 sur l’IA deviendra une réalité en 2019. Et ce sera essentiel pour améliorer l’ITSM dans les trois domaines suivants: «meilleur, plus rapide, moins cher». Alors, êtes-vous prêt, ou serez-vous prêt pour l’arrivée imminente de l’IA?

10. … Et essayez d’éviter un déferlement incontrôlé de l’IA.

En informatique, nous sommes souvent confrontés à la nécessité faire face à «un déferlement», où la technique et les coûts technologiques ne sont pas contrôlés. Ainsi, la virtualisation et la prolifération des machines virtuelles (VM) constituent un cas d’école bien connu. Les entreprises paient pour une plus grande «capacité», c’est-à-dire plus de VM, qu’elles n’en ont réellement besoin (et n’en utilisent). Ensuite, il y a eu la prolifération des services cloud (l’infonuagique). Et là encore, en raison du manque de contrôle sur les capacités de cloud payées on a sur-dépensé pour des capacités dont certaines n’étaient pas nécessaires. Maintenant, alors que les services informatiques et d’autres fonctions business cherchent à exploiter l’intelligence artificielle, ils ne doivent pas se retrouver face aux mêmes situations. Ce n’est pas tellement lié à la capacité redondante, mais plus à la disparité et au nombre d’initiatives d’IA. Contrairement à une mise en oeuvre centralisée et contrôlée, cela conduira à une duplication des efforts et à des coûts d’achat et de fonctionnement plus élevés (et probablement à des problèmes d’interopérabilité).

11. Cessez de parler de création de valeur par la gestion des services TI à vos collègues du business

Attendez!? Quoi!? Ne vous inquiétez pas, c’est l’une de ces situations du type «Le roi est mort, vive le roi». La gestion des services TI est toujours aussi bénéfique pour votre entreprise. Par contre, il est important de faire la distinction entre ce dont on parle et comment cela s’appelle. La plupart des personnes de votre entreprise (y compris au sein des équipes informatiques) ne savent pas ou ne se soucient pas de ce qu’est vraiment la gestion des services TI. La plupart, cependant, comprennent que «la transformation numérique est un impératif commercial» (peu importe ce que cela signifie). Et les éléments de la gestion de services informatiques que nous connaissons et aimons peuvent jouer un rôle efficace dans la transformation numérique. C’est le cas en particulier dans la transformation du back-office. Il peut s’agir par exemple de remplacer les procédures manuelles souvent lentes par une automatisation améliorée, une meilleure compréhension et, pour l’avenir, de tirer avantage de l’AI.

12. Repensez vos stratégies et vos politiques en matière de ressources humaines.

J’ai parlé de certains changements importants ayant une incidence sur la gestion des services TI dans les points précédents. Cependant, les responsables informatiques doivent également tenir compte les effets de ces changements sur les personnes. Et ils doivent se préparer à y réagir. C’est un sujet qui mérite beaucoup plus qu’un simple point et un conseil, mais je vais essayer d’être bref.

Pour commencer, il faut bien comprendre qu’il est de plus en plus difficile de travailler dans l’informatique. Les informaticiens se sentent de plus en plus mal à leur place. Le stress quotidien augmente considérablement sur le lieu de travail et conduit à des difficultés de rétention du personnel. De plus, les types de compétences et de capacités requises du personnel évoluent en permanence. Cela va de l’attitude à l’aptitude du centre de services informatiques à travailler avec succès, en s’améliorant continuellement en s’appuyant sur de nouvelles fonctionnalités basées sur l’IA. Non seulement de nouvelles méthodes de travail apparaissent, mais aussi de nouveaux rôles traitant de tâches et de problèmes plus complexes. Ceci est dû notamment à un accroissement du libre-service, de l’automatisation et de l’IA qui ont supprimé les tâches plus simples. Les techniciens se retrouvent donc désormais uniquement face à des tâches complexes.

13. Reconsidérez la façon dont vous évaluez la satisfaction des utilisateurs face à l’informatique.

Le traditionnel questionnaire de satisfaction constitue depuis longtemps l’outil privilégié pour comprendre ce que vos clients, c’est-à-dire vos collègues de travail, pensent de l’organisation informatique et du support en particulier. Toutefois, l’industrie de la gestion des services informatiques (ITSM) tarde à prendre conscience du fait que cette mesure – ou du moins les questions qui sont posées et la manière dont elles sont posées – cache la véritable perception des clients en matière d’informatique. Et si les perceptions des clients ne sont pas bien comprises, toutes les activités entreprises pour vous améliorer sont probablement mal ciblées. Pour citer le légendaire Ivor Macfarlane: « Si nous mesurons les mauvaises choses, nous améliorerons probablement seulement les mauvaises choses ».

14. Evaluez votre niveau de gestion des connaissances et le succès de votre libre-service

Pourquoi? Parce que ce sont deux domaines qui devraient influencer positivement vos succès en matière d’IA. Mais cela sera possible seulement si vous «exploitez» au mieux ces deux domaines. Et, malheureusement, de nombreuses organisations informatiques ont beaucoup de mal à traduire les technologies associées en fonctionnalités que les employés utilisent activement au quotidien.

15. Examinez bien la façon dont vos collaborez avec les équipes de développement

Je ne m’étendrai pas sur ce point, car mon article est déjà long et j’aime penser que les choses s’améliorent. Cependant «70% des répondants pensent que le personnel ITSM n’a pas été suffisamment impliqué dans les activités et les ambitions DevOps du business” selon une enquête ITSM réalisée mi-2017. Alors, prenez le temps de vous demander si les communautés de la production, du support et DevOps collaborent vraiment bien au sein de votre organisation. Si elles ne le font pas, alors faites enfin quelque chose de positif sur ce sujet critique. Et rappelez-vous que le point critique dans une approche DevOps c’est l’aspect culturel.

16. Investissez massivement sur la facilitation du changement organisationnel

Non, je ne parle pas ici du processus de gestion du changement préconisé par ITIL. Je fais bien référence à la gestion du changement organisationnel (OCM) qui est essentiellement culturel. Il est indispensable de reconnaître que la plupart des changements technologiques et commerciaux sont en définitive des changements liés aux personnes.

La publication « ITIL Practitioner Guidance » décrit la gestion du changement organisationnel (OCM) comme suit: «Une approche permettant de gérer les effets du changement sur les personnes, ce qui peut être dû à de nouveaux processus métier, à des changements de structure organisationnelle ou à des changements culturels au sein d’une entreprise. En termes simples, OCM s’adresse au côté humain de la gestion du changement. ». Il s’agit en réalité de comprendre comment nous, humains, réagissons au changement, puis d’utiliser des outils et des techniques éprouvés pour aider les gens à adhérer à un changement donné. COBIT prend d’ailleurs très au sérieux ce sujet qui se traduit dans plusieurs composantes de la gouvernance et du management.

Regardez au delà de chaque changement pris individuellement

Mon dernier groupe de conseils de 2019 concerne la durabilité des activités d’amélioration dans le temps.

17. Obtenez la mesure de vos mesures ITSM

Depuis combien de temps utilisez-vous les mêmes mesures ITSM? Et en particulier depuis combien de temps avez-vous les mêmes indicateurs de performance clés pour votre centre de services? J’ai déjà évoqué la nécessité de mieux comprendre la perception des clients vis-à-vis de l’informatique, au-delà du questionnaire de satisfaction client traditionnel. Mais il existe également de nombreuses autres raisons d’investir du temps et des ressources dans la révision de vos métriques.

Par exemple, une fois que vous avez une meilleure compréhension de ce qui influence ou motive le «bonheur» du client, vous pouvez ensuite identifier les indicateurs actuels qui génèrent les comportements et actions incorrects du personnel informatique, puis les résultats obtenus, par rapport aux besoins désormais connus du client. Et donc vous pouvez identifier les attentes. Ou encore, comment les mesures d’efficacité traditionnelles seront affectées par le succès du libre-service, de l’automatisation et de l’IA. Sera-t-il possible de modifier simplement les cibles ou est-il plus facile de simplement mettre quelques mesures nouvelles dans votre tableau de bord? Par exemple vous pourriez mesurer le taux de résolution de premier contact.

18. N’oubliez pas de communiquer largement sur vos succès

C’est facile à faire! Pourtant c’est rarement fait… Tout le monde est tellement occupé par les tâches quotidiennes que tous les succès en matière d’amélioration sont rapidement «salués de la tête», puis on passe à autre chose. Si vous vous êtes longtemps battu pour obtenir des ressources et des budgets supplémentaires pour atteindre vos objectifs, ne pas communiquer efficacement vos succès revient à «vous tirer une balle dans le pied». En effet si vous ne communiquez pas, on oubliera que vous avez atteint votre objectif. Et, au final, il en résultera une impression de faible retour sur investissement.  Et, point important, obtenir des budgets d’amélioration en 2020 sera probablement encore plus difficile.

19. Essayez d’aider les autres mais surtout aidez-vous vous-même

Le succès futur de l’ITSM dépend, et a probablement toujours dépendu, de ceux qui ont pu aider les autres à réussir. Traditionnellement, cela a pu se faire via les nombreuses conférences mondiales liées à l’ITSM ou, pour quelques-uns, en contribuant aux publications officielles des meilleures pratiques ITSM. Cependant, comme le montre l’évolution rapide et le succès de DevOps, nos vies de plus en plus sociales et connectées offrent davantage de possibilités de partage et de collaboration entre pairs – en amélioration itérative – pour des bonnes pratiques émergentes qui pourraient bien remplacer les meilleures pratiques « à l’ancienne » rapidement obsolètes.

Voici donc mes 19 conseils ITSM pour 2019.  Que pensez-vous devoir ajouter? Avec quoi n’êtes-vous pas d’accord? S’il vous plaît exprimez-vous dans les commentaires.

SMSI certifié ISO 27001 vs conformité RGPD

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.

ISO 27001 : un SMSI certifiés est-il la solution pour la conformité RGPD?
Crédit © Adobe Stock

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité. De même, tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est une norme très détaillée en la matière. Le RGPD est une réglementation Européenne. Il faut d’ailleurs noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question : « Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI ? ».

Les similarités entre ISO 27001 et le RGPD

Le RGPD est un cadre beaucoup plus large avec une couverture plus fondamentale de la sécurité et de la confidentialité des données. Toutefois il est nécessaire de bien comprendre les similarités et les différences entre les deux standards pour savoir si un SMSI certifié ISO 27001 peut avoir une utilité pour passer les audits de conformité au RGPD.

Les deux cadres ont beaucoup de points communs.

Confidentialité, intégrité et disponibilité des données

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De façon similaire, plusieurs mesures de sécurité dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de sécurité. La clause 6 leur impose de déterminer leurs objectifs de sécurité des TI et de créer un programme ad hoc. Enfin, La clause 8 définit les exigences pour la maintenance et l’amélioration continue de leur programme de sécurité . Elle leur impose de documenter ce dernier pour démontrer leur conformité.

Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données personnelles. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque. C’est le cas notamment pour les données sensibles.

ISO 27001 impose également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les  vulnérabilité pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de sécurité appropriées (clause 6.1.3).

Gestion des parties intéressées

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

Notification des failles de sécurité

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de sécurité de données personnelles. Les personnes concernées doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des personnes concernées ».

La mesure de sécurité A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité. Cependant,  elle stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à permettre une action corrective rapide.

Protection des informations par défaut et dès la conception

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début du projet (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut. Ceci signifie qu’elle doivent s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »). Il s’agit en fait du principe de minimisation des données.

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent. La clause 6 impose qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

Conservation des enregistrements

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement. Ceci inclut la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité. Elles doivent aussi documenter les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

ISO 27001 et RGPD : est-ce la même chose?

Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il existe des différences importantes entre les deux cadres. Le RGPD est une réglementation européenne à laquelle doit se conformer toute organisation publique ou privée. C’est un cadre global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent protéger les données personnelles. ISO 27001 est une norme et les organisation peuvent, à leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centrées sur la sécurité des informations.

Les différences entre ISO 27001 et le RGPD

La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux liés à la confidentialité des données personnelles (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des personnes concernées ») :

  • Consentement : les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement compréhensible. De plus, la finalité du traitement des données doit être clairement décrit. Les personnes concernées ont également le droit d’annuler leur consentement à tout moment.
  • Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre responsable de traitement sans entrave à l’utilisation.
  • Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
  • Le Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
  • Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
  • Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantisse pas la conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.

Certifications et compétences qui paient en 2018

Comme chaque année, nous vous proposons un survol des certifications et compétences qui paient le mieux en 2018. Cet article s’appuie sur l’enquête annuelle réalisée par Global Knowledge sur les compétences et les salaires dans le domaine IT.

Les certifications et les compétences les mieux payées en 2018
Crédit © AdobeStock & Gwimages 2018

Notre précédent article sur les 6 certifications qui payaient le mieux en 2017 continue à être l’article plus lu de ce blog. Voici donc la version 2018 avec quelques évolutions notables. On constate un véritable glissement vers de nouvelles certifications et compétences correspondant aux meilleurs salaires. Cependant on peut constater des différences énormes selon les zones géographiques. Elles correspondent totalement à l’économie et aux besoins des entreprises dans chacune des zones. Il reste toutefois clair que les salaires sont dépendants de l’offre de compétences et de la demande régionale.

Vous courrez après les gros salaires? Cet article vous présente les certifications les mieux payées. Cependant il vous indique aussi ce que les employeurs attendent de vous et ce que cela implique. La certification ne suffit pas… C’est, pour un employeur potentiel, une assurance raisonnable quand à vos connaissances dans le cas de certifications courantes et aussi de votre compétence dans le cas des certifications professionnelles. Le recherche trois critères :

  • le savoir (sur la base de vos diplômes académiques et des vos certifications standards),
  • le savoir-faire (sur la base de vos certifications professionnelles et de votre expérience),
  • votre savoir-être sur la base de l’évaluation de votre comportement et de votre attitude (le recruteur ira chercher ces informations sur les réseaux sociaux, auprès de votre entourage professionnel et personnel).

Dans tous les cas, dites-vous que votre futur employeur vérifiera la réalité de ce que vous annoncez dans votre CV. Inutile donc de revendiquer une certification que vous n’avez pas. La vérification auprès de l’organisme émetteur de la certification révèlera immédiatement la supercherie. Cela se retournera contre vous. D’ailleurs, certains organismes de certification n’hésitent pas à porter plainte contre les fraudeurs et réclament des amendes importantes.

Certifications standards vs certifications professionnelles

Lorsqu’on parle de certification, il faut toujours bien faire attention à la signification qu’on donne aux mots. Les certifications standards sont par essence des certifications résultant de la simple réussite à un examen. C’est le cas des certifications ITIL, PRINCE2, VERISM, certaines certifications COBIT, etc. Elles se dénomment souvent Foundation, Practitioner, Intermediate ou encore Advanced. Aucune expérience dans le domaine n’est réclamée et la certification est valide sans limitation de durée.

Dans le cas des certifications professionnelles, à l’inverse, la réussite à l’examen n’est qu’une première étape. Ensuite il est nécessaire de prouver une expérience minimum de 3 à 5 ans dans le domaine concerné. L’organisme de certification effectue donc une vérification auprès des précédents employeurs de du candidat sur la valeur et la durée de son expérience ainsi que sur son attitude et son comportement. Ce n’est que lorsque cette vérification est positive que la certification est délivrée.

En général les certifications professionnelles ont une durée limitée, souvent de 3 ans. Chaque année ou chaque 3 ans, l’organisme exige la preuve que le certifié a bien suivi un nombre minimum d’heures de formation (CPD/CPE/CPU). Le certifié doit également acquitter de nouveau un montant significatif pour le renouvellement de sa certification. L’organisme de certification effectue alors, de façon aléatoire, des contrôles sur l’expérience acquise pendant les 3 ans ainsi que sur le comportement du certifié pendant cette période. A cette occasion la certification peut lui être retirée.

Parmi les certifications professionnelles, on peut citer CISA, CISM, CGEIT, CRISC, PMP, CIA, ISO 27001 Lead Implementer ou ISO 27001 Lead Auditor. Il est bien évident que les certifications professionnelles, plus « sérieuses », sont les plus recherchées par les employeurs. Ce sont donc aussi, logiquement, celles qui correspondent aux meilleurs salaires.

Les compétences les plus recherchées

Les compétences les plus recherchées sont bien naturellement celles qui paient le plus. C’est tout simplement la loi de l’offre et de la demande. Voyons ensemble les 5 domaines de compétences qui suscitent le plus de demandes en 2018. Précisons bien qu’il s’agit là de recherche de professionnels certifiés et pouvant démontrer plusieurs années d’expérience dans le domaine. Donc ce sont des domaines dans lesquels les employeurs recherchent en priorité des détenteurs de certifications professionnelles.

Notons toutefois que parmi ces 5 compétences les plus recherchées, deux certifications sont de niveau Foundation (COBIT 5 Foundation et Six Sigma Green Belt).

La cybersécurité

Comme lors des trois dernières années, les certifications en sécurité tiennent les premières places en matière de rémunération. Lorsque nous élargissons la liste aux 20 premiers, six certifications sont relatives à la sécurité an niveau mondial, y compris les deux premières places: CISSP de (ISC) 2 et CRISC de l’ISACA. Le CISM d’ISACA se classe au sixième rang mondial et au huitième rang en EMEA.

Le CISSP enregistre le salaire global moyen le plus élevé avec 70.177 € en EMEA (100.146 $ aux USA, ce qui représente une différence de plus de 27% entre les deux zones géographiques). Les professionnels de l’informatique possédant des certifications en sécurité ont tendance à avoir des salaires moyens globaux supérieurs de 15% (aux USA) à 63% (dans la région Asie-Pacifique) à la moyenne des autres certifiés.

Pour en savoir plus sur les certifications CISSP et CISM, nous vous invitons à lire notre article CISM vs CISSP : quelle certification choisir?

Le Cloud

Les certifications liées au Cloud, y compris AWS Certified Solutions Architect – Associate, ont des salaires moyens nettement supérieurs à la norme. En Amérique du Nord, le le salaire moyen du personnel informatique certifié AWS est 10% plus élevé que celui des personnels possédant une autre certification dans le Cloud et 29% supérieur au salaire moyen des professionnels IT certifiés dans un autre domaine. Toutefois, l’augmentation du salaire des professionnels certifiés en Cloud computing n’est pas limitée à ceux possédant les certifications AWS.

L’accent mis sur le nuage s’est également étendu à d’autres domaines fonctionnels. Les help-desks et les équipes de support technique recherchent activement des professionnels possédant des certifications dans le cloud computing et les réseaux.

La gestion de projet

Les gestionnaires de projets certifiés en Amérique du Nord ont également des salaires moyens au dessus de la norme. C’est particulièrement vrai pour ceux qui possèdent une certification PMP (103 406 $) par rapport à la moyenne des autres professionnels certifiés en gestion de projet, par exemple PRINCE2  (97 745 $). La tendance est beaucoup moins nette sur la région EMEA. Pour en savoir plus sur ces deux certifications, nous vous invitons à relire notre article PRINCE2 vs PMP : Quelle méthode de gestion de projet choisir?

On voit également émerger cette année une demande croissante pour les chefs de projets certifiés sur une méthode agile. Dans ce contexte c’est la certification Certified ScrumMaster (CSM) avec un salaire moyen de 98 562 $ qui tient la tête.

La gouvernance et le management

L’ISACA est une association indépendante axée sur l’adoption et l’utilisation des meilleures pratiques de gouvernance et de management de l’information et des technologies dans les organisations. L’ISACA possède six certifications dans le top 20 mondial, y compris CGEIT, CISA, CRISC et CISM . Une nette tendance se dégage également avec une demande de plus en plus forte de professionnels certifiés sur COBIT 5. Cela se traduit par un salaire moyen des professionnels certifiés COBIT 5 Foundation qui atteint maintenant 65.000 € dans la région EMEA.

Si vous vous posez des questions sur le CISA, nous vous conseillons trois articles précédemment publiés sur notre blog :

Compétences Six Sigma

La certification Six Sigma Green Belt est parrainée par l’association indépendante IASSC. C’est une certification de base sur un ensemble de techniques et d’outils d’amélioration des processus. Une tendance nette se dégage également en faveur des professionnels possédant une certification Six Sigma Green Belt qui obtiennent un salaire moyen de 99.865 $ en Amérique du Nord et de 69.000 Euros en EMEA soit une différence de 21%, la plus faible du top 20 des certifications.

Le top vingt des salaires par certification en Europe

Les résultats du classement 2018 sont extrêmement intéressants car ils montrent un changement important par rapport à 2017. La grande nouveauté est l’arrivée en force des certifications AWS (Amazon) dans les premières places du classement. A l’inverse les certifications qui monopolisaient les premières places ce dernières années subissent un fort recul (CISA, PMP). On voit également apparaître en 7ème position une certification qui fait sont entrée dans les 10 premières : COBIT 5 Foundation. Il est également à noter que cette année les certifications CISCO disparaissent complètement du classement.

Classement 2018 des 20 certifications et certifications professionnelles correspondant au meilleurs salaires en euros
Classement établi sur les salaires en région EMEA (Europe, Moyen Orient & Afrique). L’ordre est différent en Amérique du Nord.

L’autre enseignement de ce classement est la différence très importante des salaires entre la région EMEA et l’Amérique du Nord. Les salaires en EMEA sont tirés nettement vers le bas par la zone Afrique ainsi que le montre la carte suivante.

Salaires des professions IT par région du monde
Moyenne des salaires IT par région du monde – Crédit © Global Knowledge 2018

Conclusion

Ces éléments peuvent vous aider à choisir parmi les certifications disponibles celles qui vous conviennent le mieux. Bien sûr le salaire est un critère mais n’oubliez pas que la certification ne garantit pas le niveau de salaire. C’est votre compétences et votre adéquation au marché qui feront la différence.

N’hésitez pas à commenter cet article en y apportant vos témoignages sur votre expérience personnelle. Posez-nous également des questions. Nos experts se feront un plaisir de vous répondre. Si cet article vous a paru intéressant, n’hésitez pas à le partager sur les réseaux sociaux et à nous mettre un « like » si vous le souhaitez.

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :