Home » Posts tagged 'sécurité'

Tag Archives: sécurité

La cybersécurité a besoin de femmes. Explications.

Il y a quelques jours, le 8 mars dernier, se déroulait la journée internationale du droit des femmes. Et cette année encore, nous constatons toujours une inégalité entre les hommes et les femmes. C’est également vrai dans le domaine de la cybersécurité où seulement 20% des professionnels sont des femmes. Bien que cela représente une hausse de 11% depuis 2013, il reste encore beaucoup à faire dans les carrières de cybersécurité. Dans le même temps, selon Cybersecurity Ventures, il y aura jusqu’à 3,5 millions de postes vacants d’ici 2021. Alors, est-ce une réelle opportunité pour les femmes dans un monde en pleine transformation numérique?

La cybersécurité a besoin de femmes - Explications
Crédit © rawpixel.com 2019

Être une pionnière comporte des défis. Mais selon les professionnels de la cybersécurité que je côtoie régulièrement, les femmes sont tout à fait à la hauteur. Alors essayons de comprendre les raisons de cette situation et comment elle pourrait évoluer très rapidement.

Pourquoi est-ce important de combler le fossé entre les sexes en cybersécurité?

La diversité des perspective est indispensable

Tout d’abord, il est nécessaire de bien comprendre pourquoi c’est si important. L’objectif n’est pas simplement d’engager plus de femmes pour augmenter les pourcentages. L’argument en faveur d’une plus grande égalité des sexes dans la cybersécurité ne se limite pas seulement à juste vs injuste, ou à homme vs femme. C’est simplement, que le fait d’avoir plus de femmes sur le lieu de travail est bon pour le business. En effet, la diversité des points de vue, du leadership et de l’expérience est toujours un facteur positif pour les affaires.

Cette constatation peut d’ailleurs s’appliquer à n’importe quel rôle dans une entreprise. Elle ne se limite pas au domaine de la cybersécurité. Par contre elle est tout particulièrement pertinente pour la cybersécurité. Il est nécessaire d’avoir des personnes d’origines, de sexe, de cultures différentes dans les équipes de cybersécurité. En effet, les cyber-criminels qu’elles poursuivent (acteurs de la menace, pirates informatiques, cyber-criminels) possèdent également une grande variété de formations, de cultures et d’expériences. Plus nous aurons de personnes et d’expériences différentes pour défendre nos réseaux et meilleures seront nos chances de réussite.

Le nombre de postes non pourvus est en expansion

De plus, comme je l’ai mentionné dans l’introduction, la cybersécurité est confrontée actuellement à un problème lié au manque de compétences disponibles sur le marché. Il serait donc totalement préjudiciable, sur un critère tel que le sexe, de limiter le nombre de professionnels de ce secteur. La demande en professionnels de la sécurité ayant les bons niveaux de connaissance et de compétence est très forte. En outre, la menace pour les victimes et les réseaux critiques est de plus en plus vaste. Donc,   les femmes aussi bien que les hommes peuvent tout à fait réussir une carrière percutante et enrichissante dans ce domaine.

Et pourtant aujourd’hui, quand on pense au CISO, on imagine immédiatement un homme. Pourtant une femme peut tout à fait être CISO. Il commence d’ailleurs a y en avoir dans les grandes entreprises internationales, même si les hommes restent largement majoritaires. Par exemple on peut citer Shamia Naidoo qui est l’actuelle Global CISO chez IBM ou Debbie Wheeler, CISO pour la compagnie aérienne Delta ou encore Dr. Jay, CISO chez XEROX et ancienne CIO (DSI) de la Maison Blanche. Malheureusement, en France et dans les pays francophones en général, il y en a encore très – trop – peu, comme Mylène Jarossay, membre fondateur du CESIN et CISO de LVMH.

Les défis auxquels sont confrontées les femmes en cybersécurité

Tout d’abord, les femmes ont trop souvent un problème de perception de la cybersécurité (et de la technologie en général). La technologie ou la sécurité sont souvent considérées comme des professions masculines. Et c’est juste de dire qu’il y a clairement peu de femmes dans ces domaines. Aussi beaucoup de femmes ne considèrent pas encore ces professions peuvent offrir des opportunités de carrière viables.

L’éducation et la culture

Malheureusement, ce point de vue est souvent enraciné dès l’enfance. Dès le plus jeune âge, les femmes sont sensibilisées au fait que les hommes sont bons en sciences et techniques et que les femmes ne le sont pas. Elles seront le plus souvent orientées vers des filières artistiques, littéraires ou commerciales. Malgré l’évolution des mentalités durant ces dernières années, il faut hélas reconnaître que les préjugés demeurent.

Et cette perception est renforcée lorsque les femmes qui poursuivent une carrière dans le secteur de la technologie se révèlent être les seules dans la salle. Dans presque toutes les équipes d’ingénierie dont j’ai fait partie, il n’y avait toujours qu’une ou deux femmes. Le manque de diversité des sexes est clairement évident, en particulier lorsque vous assistez à des événements tels que le Black Hat ou le HackFest de Québec, et que les hommes constituent la grande majorité des participants.

Dès lors, la culture de travail peut rester bloquée dans un cycle de préjugés inconscients qui se perpétue. Tout au long de ma carrière, j’ai remarqué que les femmes devaient redoubler d’efforts pour obtenir des opportunités et être reconnues. Cela tient peut-être en partie au fait que les gens, consciemment ou non, ont tendance à embaucher et à promouvoir des personnes qui leur ressemblent. Et donc naturellement les hommes embauchent… des hommes. Les femmes ne devraient pourtant pas se sentir intimidées. Mais c’est souvent la réalité à laquelle elles font face dans l’industrie.

La facilitation du changement

Ces problèmes sont difficiles à résoudre car ils sont subtils et omniprésents. Ce sont des problèmes profonds, liés à la culture et à l’éducation. Pour changer cela il faut faciliter le changement culturel et cela prend beaucoup de temps. Au bout du compte, la meilleure façon de permettre ce changement dans le secteur de la cybersécurité, c’est de supprimer les obstacles pour les femmes et de permettre à plus de femmes d’entrer.

Et lorsqu’on leur en donne l’opportunité, c’est exactement ce qu’elles font. Dans les formations que j’anime régulièrement dans diverses régions du monde, en sécurité et en gouvernance, je constate une augmentation régulière du nombre de femmes. C’est un signe encourageant certes. Cependant il faut bien reconnaître que tous les pays ne sont pas logés à la même enseigne. Dans le monde francophone, il reste énormément de chemin à parcourir. Les préjugés sont malheureusement encore tenaces et les réticences très fortes.

Les femmes qui font de la cybersécurité aiment leur travail

L’amour du travail est une affaire profondément individuelle. Cependant voici pourquoi la résolution des problèmes évoqués précédemment valait (et vaut) la peine pour ces femmes.

« La cybersécurité consiste essentiellement à protéger les personnes contre les dommages et, lorsqu’une personne est victime, à découvrir qui l’a fait », a récemment déclaré Priscilla Moriuchi, directrice du département Strategic Threat Develoment à Recorded Future. « J’aime protéger les gens du mal, poursuivre les cybercriminels et continuellement apprendre. J’aime mon travail. »

Pavi Ramamurthy, qui travaille dans le secteur de la sécurité depuis 15 ans, aime également le travail quotidien en matière de cybersécurité. « J’aime construire une grande variété de programmes de sécurité, ou simplement être au cœur d’un incident de sécurité et diriger le processus de réponse à l’incident. Chacun vient avec sa propre série d’excitations et de défis. C’est enrichissant de réfléchir avec mon équipe sur les moyens de s’améliorer et également de nous tenir au courant des nouveautés en matière de sécurité, des professionnels et des nouvelles technologies. »

Maggie McDaniel, directrice de Finished Intelligence chez Recorded Future, a opté pour la cybersécurité en milieu de carrière et aime constater l’impact de son travail. « J’aurais pu rester là où j’étais, en faisant la même chose tous les jours, ou je pouvais aller dans un environnement stimulant et provoquer des changements , » dit-elle. « L’environnement, en évolution rapide, me permet de rester sur mes gardes et rend ma carrière intéressante. »

Jessica Ortega de Sitelock, quant à elle, souligne la flexibilité souvent nécessaire pour ces rôles. « De nombreuses entreprises de technologie proposent désormais des formations à votre rythme, des certifications et une possibilité de travailler à distance, faisant de la cybersécurité l’un des meilleurs chemins de carrière pour ceux qui privilégient l’équilibre travail-vie personnelle. »

Quelques trucs pour les femmes envisageant une carrière en cybersécurité

Si vous êtes une femme et que vous souhaitez changer de carrière pour vous orienter vers la cybersécurité, vous le pouvez sans aucun doute. Voici quelques trucs qui peuvent vous aider à mieux vous préparer.

1. Ne soyez pas intimidée et sachez saisir votre chance

Il est absolument nécessaire de saisir votre chance lorsqu’elle se présente et de commander le respect dans un domaine dominé par les hommes pour acquérir les connaissances et l’expérience nécessaires pour réussir. Ce n’est un secret pour personne que la technologie est un domaine à prédominance masculine. C’est aussi un domaine où sévissent encore de nombreux détracteurs. Ils se demandent si les femmes ont vraiment leur place à leurs côtés. Vous devrez sans doute lutter et postuler plusieurs fois pour occuper différents postes avant de devenir analyste de sécurité.

Rappelez-vous que la sécurité ne nécessite pas de dons magiques innés. Vous pouvez apprendre tout aussi bien qu’un homme ce que vous devez savoir pour réussir. N’ayez pas peur de vous battre pour ce que vous voulez.

2. Bâtissez votre réseau et trouvez des mentors dans le secteur

Une fois que vous avez terminé la préparation initiale avec des lectures, des cours en présentiel et en ligne, commencez à tisser des liens. Participez à des réunions et rencontrez des gens de l’industrie dans le domaine de la cybersécurité. Rejoignez un groupe comme Women in CyberSecurity (WyCyS) ou Women in Technology International (WITI) et, bien sûr, assistez à des conférences.

Trouver un mentor est une étape qui peut faire toute la différence. Contactez un acteur du secteur, idéalement un leader d’opinion, et recherchez un mentor. Il y a beaucoup d’hommes et de femmes, qui sont déjà dans le domaine et qui peuvent donner des conseils, répondre aux questions et vous orienter dans la bonne direction.

Un bon mentor peut fournir des conseils précieux sur la manière de trouver votre place dans la cybersécurité et de faciliter les opportunités de mise en réseau. Idéalement, trouvez une femme, professionnelle en cybersécurité, qui saura vous apprendre les ficelles du métier et, surtout, vous apprendre de ses erreurs. Il y a de la force dans les nombres. Cependant, n’ayez pas peur de prendre conseil auprès d’un professionnel de la cybersécurité. Il y a beaucoup d’experts et beaucoup de connaissances à exploiter.

3. Recherchez d’abord des opportunités en interne

Il n’est peut-être pas nécessaire de changer d’entreprise pour changer de carrière. Le meilleur endroit pour commencer est souvent au sein de votre société actuelle. Etablissez des relations avec votre propre équipe de sécurité. Il existe de nombreuses opportunités dans des domaines tels que la sensibilisation et la formation à la sécurité, la gestion de programme de sécurité, la réponse aux incidents et la rédaction technique, pour n’en nommer que quelques-unes.

Si l’équipe de sécurité de votre entreprise doit combler un poste vacant, vous avez un avantage. En effet, vous connaissez déjà l’entreprise, son environnement, sa culture et son activité. Vous pourrez peut-être alors combiner l’auto-apprentissage et la formation continue pour pouvoir démarrer un nouveau rôle.

4. Agissez avec confiance

C’est souvent le conseil le plus difficile à mettre en œuvre pour les femmes, surtout si elles se sentent en sous-effectif ou si elles sont ignorées. « J’avais beaucoup entendu parler des femmes qui ne se sentaient pas entendues lors des réunions, mais la première fois que cela m’est arrivé, ma mâchoire est presque tombée au sol », a déclaré Rose Elliott, senior director of product engineering de Tenable.io. « J’ai pensé: « Oh, c’est ce dont ils parlent. » J’ai même approché l’homme qui dirigeait la réunion par la suite. Mais cela s’est reproduit le lendemain. C’est terrible que ce soit juste une chose à laquelle il faut s’habituer . Mais depuis j’ai appris à exprimer mon opinion et à me sentir à l’aise. « 

L’astuce? Parler et agir de manière décisive, même si vous ne vous sentez pas nécessairement complètement sûre de vous. « De nombreuses femmes ont tendance à parler avec moins de confiance si elles ne sont pas certaines à 100% de ce qu’elles disent, alors que les hommes parlent avec confiance même s’ils sont relativement incertains », a déclaré R. Elliott.  «En fait, j’ai reçu un témoignage essentiel de la part d’un ancien directeur / mentor de sexe masculin: lorsque vous vous sentez vraiment anxieux, appuyez fort, car votre intuition est généralement la bonne.»

5. Mettez l’accent sur l’apprentissage

Comme pour toute carrière, la cybersécurité se base sur un parcours d’apprentissage. Personne de doit être intimidé par ce domaine. Cela semble très technique et très complexe. Et croyez-moi, ça l’est. Donc, bien sûr, ne vous attendez pas non plus à être un expert dès le départ. Nous avons tous quelque chose de nouveau à apprendre, hommes comme femmes, et dans ce domaine il y a de la place pour une expertise technique approfondie, mais aussi pour des généralistes et des gestionnaires. Chaque jour, un nouveau défi se présente et une chance d’apprendre quelque chose de nouveau surgit.

Alors, la cybersécurité est-elle pour vous? Moriuchi a la réponse: « Ce travail est destiné à tous ceux et toutes celles qui sont intellectuellement curieux, disposés à penser de manière non conventionnelle et à s’engager dans une vie d’apprentissage. » Vous vous reconnaissez dans cette description? Alors peut-être que vous devriez envisager de regarder les opportunités qui se présente dans un domaine en pleine expansion avec la transformation digitale des organisations.

Vous vous posez encore des questions?  Votre expérience peut être partagée? Vous avez des remarques sur le contenu de cet article? Les commentaires sont là pour vous permettre de lancer le débat et d’échanger. Profitez-en! Si vous avez aimé cet article vous pouvez aussi nous laisser un « like ». Ou, vous pouvez aussi vous abonner à notre blog pour recevoir une alerte lors de la parution de nos articles.

 

 

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

Cybersécurité: au delà de l’environnement professionnel

Je travaille avec de nombreuses organisations à travers le monde pour les aider à améliorer leur cybersécurité. J’écris beaucoup d’articles sur des blogs, j’anime des conférences et des formations sur ce sujet depuis plusieurs années. Dans le cadre de mes activités de conseil, je me concentre presque toujours sur la gouvernance et le management de la sécurité des systèmes d’information en entreprise. Cela concerne entre autres les mots de passe, la protection des données personnelles, etc.. C’est bien pour cela que mes clients ont recours à mes services. Cependant, il est tout aussi important de penser à la cybersécurité dans nos vies personnelles.

Cybersécurité au delà de l'environnement professionnel, les mots de passe, les objets connectés, les terminaux doivent être protégés
Crédit © rawpixel.com 2018

Dans cet article, j’aborderai trois sujets essentiels :

  • Gestion de vos comptes d’utilisateurs et mots de passe
  • Protection de vos ordinateurs, tablettes et téléphones
  • Protection vos appareils IoT (objets connectés)

Dans un prochain article, j’aborderai le quatrième sujet: « Protection de vos informations personnelles ». Cet article est déjà très long et vous devrez donc attendre un prochain post pour que j’aborde ce sujet sensible. Il mérite beaucoup plus que quelques lignes.

1. Gérez vos comptes utilisateurs et vos mots de passe

Chaque semaine, nous découvrons une nouvelle faille majeure dans la sécurité des informations. Les données personnelles de millions de personnes sont ainsi divulguées. Lors d’une récente attaque contre les hôtels Marriott, les pirates se sont emparés d’informations personnelles concernant des centaines de millions de clients (entre 350 et 500 millions selon les estimations). Cela devrait vous inciter à la plus grande prudence quand à l’utilisation d’internet au quotidien.

Définissez bien votre stratégie de gestion de mots de passe

Lorsqu’une violation survient, les pirates informatiques s’emparent généralement d’une liste de noms d’utilisateurs et de mots de passe utilisés sur les systèmes violés. Souvent ils récupèrent également des informations personnelles et financières qu’ils pourront ensuite utiliser ou revendre. Une des premières choses qu’ils font ensuite, généralement, est d’essayer ces mots de passe sur tous les autres sites auxquels ils peuvent penser. Il ne s’agit pas juste de taper les mots de passe sur un clavier pour voir où leurs victimes travaillent. Les pirates utilisent des scripts qui essaient des millions de mots de passe connus sur plusieurs milliers de sites Web. Cela signifie que si vous avez utilisé le même mot de passe sur plusieurs sites différents, et si l’un de ces sites est victime d’une attaque, les pirates informatiques peuvent potentiellement accéder à tous les autres comptes sur lesquels vous avez réutilisé ce même mot de passe.

Idéalement, vous avez donc besoin d’un nom d’utilisateur différent et d’un mot de passe complexe différent pour chaque connexion. Oui, je sais. Ce n’est pas facile quand vous pouvez avoir des centaines de comptes différents. Je viens de compter le nombre de comptes différents que j’ai. Et vous savez quoi? J’ai découvert que j’utilise plus de 200 identifiants différents, que ce soit pour les achats, les voyages, la gestion de mon argent, les médias sociaux, les entreprises de services publics, le gouvernement, etc.

Assurez-vous que votre stratégie est suffisamment solide

Certaines personnes utilisent un mot de passe commun pour ce qu’ils considèrent être des sites à faible risque. Ils ne définissent des mots de passe uniques que pour les sites qui leur paraissent les plus critiques, comme leur banque. Hélas, cela peut entraîner des problèmes lorsqu’un compte «à faible risque» s’avère plus important que vous ne le pensiez. Des informations personnelles pouvant aider les pirates à violer un compte plus sécurisé pourraient éventuellement être dérobées.

Prenons un exemple simple. Imaginons que votre opérateur de téléphonie mobile utilise un ancien compte de messagerie, que vous utilisez rarement et que vous avez oublié, pour confirmer les commandes. Un pirate informatique peut alors récupérer votre numéro de téléphone et l’utiliser pour se faire passer pour vous sur un autre site. De même, imaginons qu’un pirate informatique accède au site sur lequel vous avez utilisé votre mot de passe commun parce que vous vouliez uniquement effectuer un achat ponctuel et que la société conserver une copie des informations de votre carte de crédit en ligne. Le cyber-criminel pourrait alors obtenir votre mot de passe commun ainsi que les informations de votre carte de crédit. Bon d’accord, imaginons que le site marchand en question ne conserve pas vos informations de carte de crédit. Celles concernant vos achats (nom, prénom, adresse email) peuvent être suffisantes pour qu’un pirate informatique réussisse une attaque de phishing: «Cher Alain, le t-shirt que tu as acheté la semaine dernière provenait d’un lot défectueux. Merci de cliquer sur ce lien pour obtenir un remboursement ».

Utilisez un gestionnaire de mots de passe

Si vous souhaitez créer un mot de passe différent et complexe pour chaque site sur lequel vous vous connectez, vous aurez sûrement beaucoup de mal à le mémoriser. Alors vous pouvez le stocker dans une feuille de calcul ou un document protégé par mot de passe. Encore faut-il vous assurer que la protection du document ne puisse pas être violée. Il est cependant préférable d’utiliser un outil de gestion de mots de passe.

Les gestionnaires de mots de passe sont beaucoup plus qu’un simple outil de stockages des mots de passe. Ils offrent tout un ensemble de fonctionnalités telles que :

  • Protection de tous vos noms d’utilisateur et mots de passe enregistrés protégés par un seul mot de passe (très complexe j’espère) que vous seul connaissez
  • Navigation automatique vers des sites Web et saisie de vos informations dans les champs correspondants
  • Capture automatique des noms d’utilisateur et des mots de passe lorsque vous les entrez ou les modifiez
  • Génération de mots de passe aléatoires complexes correspondant à des critères spécifiés
  • Synchroniser les mots de passe cryptés enregistrés vers un service cloud afin que vous puissiez les utiliser sur de nombreux appareils différents (ordinateur, tablette, téléphone)
  • Prise en charge de plusieurs navigateurs pour vous permettre de vous connecter comme bon vous semble au moment voulu
  • Prise en charge de diverses plates-formes, notamment Windows, Mac, IoS et Android.

Certains gestionnaires de mots de passe sont gratuits, d’autres sont payants. Certains autres ont une version premium et une version gratuite avec des fonctionnalités différentes. Voici une liste de quelques produits que vous devriez considérer:

Une fois que vous aurez commencé à utiliser un gestionnaire de mots de passe, vous verrez par vous-même. Vous vous demanderez comment vous avez réussi à vous en passer jusqu’alors. Cela rend les choses tellement plus faciles. Comme pour tout outil, la configuration et l’habitude de l’interface utilisateur demandent un peu d’effort au début. Ensuite vous pourrez créer des mots de passe longs et complexes pour chaque site et les utiliser pratiquement sans effort.

Utilisez l’authentification à deux facteurs

Les mots de passe longs et complexes aident à sécuriser vos comptes, mais ils ne suffisent pas toujours. Les hackers peuvent utiliser de nombreuses astuces pour obtenir vos mots de passe. En particulier si vous utilisez un réseau WiFi public non sécurisé dans les hôtels, les aéroports ou les cafés, ils peuvent espionner et récupérer vos mots de passe qui sont transmis en clair sur le réseau.

L’authentification à deux facteurs utilise deux manières différentes de prouver qui vous êtes. Elle repose sur deux choses complètement différentes. Il est donc beaucoup plus difficile pour un pirate informatique de prendre le contrôle votre compte. Chaque connexion nécessite l’utilisation de deux éléments distincts parmi les suivants:

  • Quelque chose que vous savez (un mot de passe par exemple)
  • Quelque chose que vous avez (une carte, un badge, un jeton matériel)
  • ou quelque chose que vous êtes (une identification biométrique comme une empreinte digitale par exemple)
  • ou enfin quelque part où vous êtes (l’identité d’un réseau sans fil par exemple ou des coordonnées GPS).

Certains sites Web vous permettent d’utiliser un message texte envoyé sur un téléphone portable ou un code envoyé dans un message électronique en tant que deuxième facteur. C’est notamment le cas pour les banques. Cela vaut mieux que de simplement utiliser un mot de passe mais ce n’est pas aussi sécurisé que d’autres options. En effet, il existe des moyens bien connus d’intercepter les messages électroniques et les messages texte du téléphone. D’ailleurs, considéré comme trop fragile, ce moyen d’authentification utilisé par les banques est en voie d’être interdit en Europe. La commission européenne est  actuellement en train d’élaborer la nouvelle directive DPS2 qui va dans ce sens et s’imposera à toutes les banques et les sites marchands. La meilleure option pour une utilisation personnelle consiste à utiliser une application, telle que Google Authenticator, ou un jeton matériel, tel que Yubikey.

L’authentification à deux facteurs est déjà disponible sur de nombreux sites

Peut-être ne le savez-vous pas mais de nombreux sites et logiciels différents prennent déjà en charge l’authentification à deux facteurs. Par exemple

  • Vous pouvez l’activer sur les sites de médias sociaux tels que Facebook, Twitter et LinkedIn
  • De nombreuses banques et autres sites financiers fournissent un deuxième facteur sous la forme d’un jeton matériel qui génère un code à utiliser lorsque vous vous connectez
  • Certains logiciels prennent en charge deux facteurs. Par exemple, vous pouvez configurer la connexion à deux facteurs pour la plupart des gestionnaires de mots de passe répertoriés ci-dessus.

Utilisez un service de VPN

Vous utilisez un réseau WiFi public, par exemple dans les hôtels, les aéroports ou les cafés? Les pirates informatiques ont alors une bonne occasion de s’attaquer à votre sécurité. Ils peuvent s’y prendre de différentes manières. Notamment, il peuvent mettre en place un faux point d’accès WiFi qui redirige tout le trafic via leurs propres serveurs. Ils ont alors tout loisir de capturer vos informations personnelles.

Le meilleur moyen de vous protéger de ce type d’attaque consiste à utiliser un service VPN. Une fois que vous vous êtes connecté au réseau WiFi et avant de faire quoi que ce soit, le service VPN configure une connexion vérifiée et cryptée entre votre appareil et un serveur VPN. Le serveur VPN achemine ensuite tout votre trafic Internet, de façon cryptée, vers sa destination. Ceci empêche toute personne sur le réseau WiFi local de voir quoi que ce soit sur votre activité Internet ou d’interférer avec celle-ci.

Vous pouvez trouver une comparaison détaillée des produits VPN disponibles sur le site That One Privacy Site.

2. Protégez vos ordinateurs, vos tablettes et vos téléphones

Il est extrêmement facile pour les ordinateurs, les tablettes ou les téléphones d’être infectés par des logiciels malveillants pouvant avoir des conséquences dévastatrices. Un Ransomware peut chiffrer tous vos fichiers et demander de l’argent pour les récupérer. Le cryptojacking peut prendre le contrôle de votre appareil et utiliser toute votre puissance CPU pour générer des bitcoins pour un attaquant. Les virus, les vers et les chevaux de Troie peuvent être utilisés pour prendre complètement le contrôle de votre appareil et l’utiliser pour lancer des attaques sur d’autres ordinateurs ou tout simplement pour vous causer des problèmes.

Parmi les actions que vous pouvez prendre pour vous protéger nous vous proposons les suivantes:

Maintenez les correctifs de sécurité à jour

Ne tardez pas à installer les correctifs du système d’exploitation. Dès que le correctif est disponible et que la connaissance du bug se généralise, il est probable que des cyber-criminels tenteront d’exploiter le bug qu’il corrige. Si vous attendez quelques semaines pour installer le correctif, ils auront tout le temps de vous pirater.

Ne faites pas que patcher votre système d’exploitation. Les applications nécessitent également des correctifs réguliers. Certaines applications les téléchargent automatiquement. Par exemple, des navigateurs Web tels que Chrome et Firefox vous invitent à mettre à jour les versions les plus récentes. Vous devez toutefois surveiller les autres applications et les maintenir à jour manuellement.

Il existe des outils pour vous aider, mais aucun d’eux n’est totalement satisfaisant. Vous pouvez utiliser un produit appelé SUMo, qui identifie les mises à jour dont vous avez besoin et fournit un lien pour les télécharger. Attention cependant, les liens de téléchargement ne sont pas toujours fonctionnels.

Assurez-vous de maintenir votre anti-virus à jour

Vous devez absolument exécuter un logiciel antivirus sur tous vos appareils, le maintenir à jour et effectuer des analyses régulières. Il existe de nombreuses options gratuites, en fonction de la plate-forme que vous utilisez. Par exemple, Sophos propose des produits gratuits pour Windows, Mac et Android. N’hésitez pas à rechercher en ligne des critiques qui seront probablement mises à jour plus fréquemment que ce blog.

Faites attention l’hameçonnage, ne cliquez pas sur des liens

L’hameçonnage (phishing en anglais) est souvent utilisé par les pirates pour vous amener à télécharger et à exécuter des logiciels. Généralement, il se présente sous la forme d’un lien dans un courrier électronique, un message texte ou un message de média social. Mais il peut également être intégré dans un document PDF ou Office. Pour en savoir plus, je vous invite à consulter un précédent article : Phishing – Mode d’emploi.  Auparavant, il était assez facile de reconnaître les attaques de phishing car elles avaient généralement une mauvaise grammaire et des liens qui présentaient des risques évidents à reconnaître. Mais les escrocs deviennent de plus en plus intelligents et certaines de ces attaques sont vraiment difficiles à détecter.

Vous devez être vigilant. Si vous recevez un lien dans un message envoyé par un ami, ne vous contentez pas de cliquer dessus. Réfléchissez bien au type de messages que cet ami vous envoie habituellement. Eventuellement contactez-le et demandez-lui s’il vous a vraiment envoyé le message. Si vous recevez un email d’une banque ou d’une autre institution financière, n’utilisez jamais le lien inclus dans le message pour accéder à votre compte. Ouvrez votre navigateur Web et accédez vous-même au site.

Faites des sauvegardes régulières, spécialement pour les données importantes

Si votre ordinateur ou votre périphérique est compromis, vous pouvez probablement le restaurer dans l’état dans lequel il se trouvait lorsqu’il a quitté l’usine. Cela supprimera tout logiciel malveillant. Cependant, si vos précieuses données ont été compromises, votre seul moyen de récupération consiste à restaurer une sauvegarde. Vous pouvez utiliser un logiciel de sauvegarde comme Acronis TrueImage ou StorageCraft ShadowProtect, mais même si cela n’est pas possible, vous devez stocker des copies des fichiers importants dans un emplacement sûr, même si vous les envoyez régulièrement à votre service de messagerie cloud.

3. Protégez vos objets connectés

De nombreux appareils que nous introduisons aujourd’hui dans nos foyers ont une capacité informatique et une connectivité réseau. Cela inclut

  • les téléviseurs et les différentes éléments que nous leur connectons;
  • haut-parleurs intelligents tels que Amazon Echo ou Google Home;
  • les ampoules intelligentes;
  • systèmes domotiques;
  • les webcams;
  • et des appareils plus exotiques tels que des grille-pain intelligents, des bouilloires et des brosses à dents.

Tous ces appareils sont en réalité des ordinateurs de votre réseau domestique. Ils peuvent donc être attaqués et leur contrôle peut être pris par des pirates. Si vous souhaitez connaître l’ampleur potentielle du problème, consultez Shodan, un moteur de recherche Web qui localise et identifie les périphériques IoT non sécurisés.

Les conseils de ce paragraphe du blog s’appliquent également aux périphériques réseau domestiques tels que les routeurs et les points d’accès sans fil.

Changez les mots de passe par défaut

La première chose, et la plus importante, que vous devriez faire avant de commencer à utiliser tout appareil connecté est de changer les mots de passe par défaut. Choisissez un bon mot de passe et veillez à en conserver une copie, de préférence dans votre gestionnaire de mots de passe.

Mettez à jour le micro-logiciel et les logiciels

Comme tous les autres ordinateurs, ces appareils exécutent des logiciels qui peuvent être compromis. Les fournisseurs publient régulièrement des mises à jour et des correctifs. Vous devez vous assurer que ceux-ci sont installés rapidement.

Désactivez les fonctionnalités que vous n’utilisez pas

De nombreux appareils comportent de nombreuses fonctionnalités qu’on utilise très rarement. Une fois que vous avez identifié les fonctionnalités du périphérique que vous souhaitez utiliser, il est recommandé de désactiver toutes les fonctionnalités que vous n’utilisez pas. Cela réduira la «surface d’attaque» et contribuera à réduire les risques de compromission de votre appareil.

Conclusion

Nous sommes de plus en plus dépendants d’Internet et nos foyers regorgent d’appareils informatiques de plus en plus sophistiqués. Internet et les appareils connectés sont très populaires. Ils contribuent à notre qualité de vie, mais ils comportent des risques. Si vous les utilisez sans penser aux risques, un jour vous serez attaqué et les conséquences pourraient être graves.

Si vous utilisez les contre-mesures disponibles, telles que les bons mots de passe, l’authentification à deux facteurs et les mises à jour de correctifs, vous pouvez alors vous protéger. Vous protègerez ainsi votre maison et votre famille contre les pires effets d’une attaque.

Cet article vous a paru utile? Vous avez d’autres astuces pour vous protéger en ligne? N’hésitez pas à partager vos avis et vos expériences par un commentaire. Si vous avez aimé cet article, vous pouvez aussi nous laisser un « like », cela fait toujours plaisir à notre équipe.

SMSI certifié ISO 27001 vs conformité RGPD

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.

ISO 27001 : un SMSI certifiés est-il la solution pour la conformité RGPD?
Crédit © Adobe Stock

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité. De même, tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est une norme très détaillée en la matière. Le RGPD est une réglementation Européenne. Il faut d’ailleurs noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question : « Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI ? ».

Les similarités entre ISO 27001 et le RGPD

Le RGPD est un cadre beaucoup plus large avec une couverture plus fondamentale de la sécurité et de la confidentialité des données. Toutefois il est nécessaire de bien comprendre les similarités et les différences entre les deux standards pour savoir si un SMSI certifié ISO 27001 peut avoir une utilité pour passer les audits de conformité au RGPD.

Les deux cadres ont beaucoup de points communs.

Confidentialité, intégrité et disponibilité des données

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De façon similaire, plusieurs mesures de sécurité dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de sécurité. La clause 6 leur impose de déterminer leurs objectifs de sécurité des TI et de créer un programme ad hoc. Enfin, La clause 8 définit les exigences pour la maintenance et l’amélioration continue de leur programme de sécurité . Elle leur impose de documenter ce dernier pour démontrer leur conformité.

Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données personnelles. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque. C’est le cas notamment pour les données sensibles.

ISO 27001 impose également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les  vulnérabilité pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de sécurité appropriées (clause 6.1.3).

Gestion des parties intéressées

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

Notification des failles de sécurité

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de sécurité de données personnelles. Les personnes concernées doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des personnes concernées ».

La mesure de sécurité A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité. Cependant,  elle stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à permettre une action corrective rapide.

Protection des informations par défaut et dès la conception

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début du projet (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut. Ceci signifie qu’elle doivent s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »). Il s’agit en fait du principe de minimisation des données.

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent. La clause 6 impose qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

Conservation des enregistrements

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement. Ceci inclut la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité. Elles doivent aussi documenter les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

ISO 27001 et RGPD : est-ce la même chose?

Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il existe des différences importantes entre les deux cadres. Le RGPD est une réglementation européenne à laquelle doit se conformer toute organisation publique ou privée. C’est un cadre global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent protéger les données personnelles. ISO 27001 est une norme et les organisation peuvent, à leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centrées sur la sécurité des informations.

Les différences entre ISO 27001 et le RGPD

La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux liés à la confidentialité des données personnelles (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des personnes concernées ») :

  • Consentement : les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement compréhensible. De plus, la finalité du traitement des données doit être clairement décrit. Les personnes concernées ont également le droit d’annuler leur consentement à tout moment.
  • Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre responsable de traitement sans entrave à l’utilisation.
  • Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
  • Le Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
  • Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
  • Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantisse pas la conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

Facebook piraté : un problème de cyber-hygiène

Facebook vient, encore une fois, de se faire pirater. Entre 50 millions et 90 millions de comptes pourraient avoir été accédés. Rien de vraiment surprenant à cela. Inutile de jeter la pierre aux géants du web. Malgré toutes les mesures de cybersécurité qui sont prises, les hackers mènent toujours le jeu. Alors que pouvons-nous faire, chacun à notre niveau? Juste adopter quelques règles de cyber-hygiène de base.

Cybersécurité - Facebook piraté : un problème de cyber-hygiène de base
Crédit © JOEL SAGET / AFP/GETTY IMAGES

Cet incident est loin d’être le premier. Et encore, il est très probable que nous ne voyons que la face émergée de l’iceberg. Il faut donc de façon urgente revoir notre comportement sur internet. Il s’agit là d’une question de cyber-hygiène dont chacun d’entre nous doit s’emparer. Nous ne devons pas attendre des fournisseurs de services qu’ils nous protègent. C’est le rôle des états qui édictent régulièrement des lois et des réglementations à cet effet. Mais les premiers responsables, ce sont les utilisateurs. En ce début du mois de la cybersécurité, il se trouve justement que le thème central de la première semaine est «Appliquer une cyber-hygiène de base».

Cyber-hygiène: de quoi s’agit-il?

C’est vrai que le mot en lui-même n’est pas très sexy! Mais il représente exactement ce qu’il décrit.

La cyber-hygiène est souvent comparée à l’hygiène personnelle. Tout comme une personne qui applique certaines pratiques d’hygiène personnelle pour maintenir sa santé et son bien-être, les pratiques de cyber-hygiène permettent de garder les données en toute sécurité et bien protégées. Cela aide à maintenir des terminaux (téléphones, tablettes, micro-ordinateurs) fonctionnant correctement en les protégeant contre les attaques extérieures, telles que les logiciels malveillants, qui peuvent entraver leurs fonctionnalités.

La Cyber-hygiène fait donc référence aux pratiques et aux précautions prises par les utilisateurs dans le but de garder leurs données sensibles organisées, en sûreté et à l’abri des attaques venant de l’intérieur et de l’extérieur.

Selon l’ANSSI, la cyber-hygiène est un moyen de garantir une protection et une maintenance adéquates des terminaux et systèmes informatiques, et de mettre en œuvre les meilleures pratiques en matière de cybersécurité.

Règles élémentaires de cybersécurité en entreprise

Une bonne cyber-hygiène n’est pas la panacée universelle et ne sera pas suffisante pour vous protéger en toutes circonstances. Cependant, elle permettra de diminuer les risques liés à la connexion internet. Dans votre Organisation, ll est important que toute personne en contact avec votre réseau, du DG au simple stagiaire, suive ces quelques conseils élémentaires.

10 bonnes pratiques de base

  1. Au niveau de l’Entreprise, tenir un inventaire, à jour, du matériel et des logiciels s’exécutant sur le réseau de l’entreprise.
  2. Développer un processus d’installation des logiciels sur leur poste par les utilisateurs. Il peut, par exemple, limiter l’installation des logiciels approuvés. Il peut aussi interdire et bloquer toute installation non explicitement autorisée par leur management et/ou le TI..
  3. Sensibiliser les utilisateurs aux bonnes pratiques de cybersécurité (gestion des mots de passe, identification des attaques d’hameçonnage potentielles, terminaux autorisés à se connecter au réseau, etc.). Tous les utilisateurs sont concernés. Cela ne s’adresse pas exclusivement aux personnels du département informatique comme on le croit souvent. Cela ne se limite pas non plus aux salariés. N’oubliez pas d’inclure les consultants ayant accès au réseau de votre Organisation.
  4. Identifier les logiciels vulnérables inutilisés et les désactiver en urgence. Il constituent des vulnérabilités importantes pour votre réseau et sont autant de failles potentielles.
  5. Effectuer des sauvegardes régulières des données et en conserver plusieurs copies. Vous pouvez envisager d’utiliser une solution sécurisée dans le Cloud et sur site. En cas de sauvegardes physique, les conserver dans un endroit sécurisé.
  6. Adopter des configurations / normes sécurisées reconnues par le secteur. On peut, par exemple s’appuyer sur celle fournie par l’ANSSI. Cette méthode peut aider les entreprises à définir des paramètres tels que la longueur des mots de passe, le chiffrement, l’accès aux ports et la double authentification.
  7. Appliquer régulièrement et sans délai les correctifs à toutes les applications. Les systèmes non à jour des correctifs représentent l’un des principaux facteurs de risque d’attaque. Les pirates utilisent de plus en plus ces correctifs pour identifier les vulnérabilités et les utilisent à loisir.
  8. Créer des mots de passe complexes. Veiller à ce que la complexité n’entraîne pas de mauvaises pratiques comme par exemple l’écriture du mot de passe sur un post-it collé sous le clavier.
  9. Limiter le nombre d’utilisateurs dotés de privilèges administratifs.
  10. Mettre à niveau les infrastructures et systèmes vieillissants. L’obsolescence des systèmes constitue un risque majeur de sécurité.

Prendre en compte le facteur humain

Même avec la meilleure protection du monde, le risque pour votre entreprise de figurer sur la liste des prochaines victimes d’attaques au rançongiciel, de violations de données et autres menaces de cybersécurité ne sera jamais écarté. C’est pourquoi il est si important de limiter le facteur humain en automatisant autant que possible les pratiques de sécurité.

Les possibilités sont L’utilisation de la double authentification avec mots de passe complexes, le blocage de certains types de fichiers et le test des connaissances des utilisateurs en matière de sécurité sont des mesures que toutes les entreprises peuvent prendre pour protéger les réseaux diversifiés actuels.

La mise en œuvre de ces étapes, aussi simples soient-elles, peut cependant poser problème aux entreprises en manque de professionnels de la cybersécurité. Il est donc utile de recourir à des outils, tels que l’apprentissage machine, capables d’anticiper et de neutraliser les comportements malveillants à votre place.

Règles élémentaires de cyber-hygiène pour les individus

Face la faille apparue sur Facebook, d’une ampleur inédite pour le réseau social américain, les utilisateurs disposent de plusieurs moyens pour tenter de protéger leur vie privée. Voici quelques bonnes pratiques à mettre en œuvre.

Adopter l’authentification à deux facteurs

Pour sécuriser leurs services, tous les grands sites Web mettent à disposition une fonction de double authentification. Celle de Facebook est accessible à cette adresse. Elle consiste à demander à l’utilisateur un second élément, en plus de son mot de passe. Dans la plupart des cas, il s’agit d’un code reçu par SMS sur son smartphone. Facebook considère alors que seul l’utilisateur est susceptible d’avoir accès à son smartphone.

L’opération implique de communiquer son numéro de téléphone au fournisseur de services. Bien sûr, dans le cas de Facebook, celui-ci l’utilise également à des fins publicitaires. Le réseau social propose une autre solution: faire appel à une application tierce (comme Duo ou Google Authenticator) pour envoyer ce second code. Notons qu’à priori,  le piratage révélé par Facebook ne semble pas compromis les mots de passe des utilisateurs. Du mois, jusqu’à plus ample informé…

Vérifier la liste des appareils connectés

Smartphones, tablettes, ordinateurs, objets connectés: nos moyens d’accéder aux réseaux sociaux se multiplient. Avec le temps, nous avons donc de plus en plus d’appareils connectés à notre compte. Il est important de vérifier régulièrement la liste des machines qui y ont accès. Accessible dans la catégorie “Sécurité” des paramètres, elle permet de vérifier qu’un appareil suspect ne soit pas dans la liste.

Au besoin, il est possible de déconnecter automatiquement l’ensemble des machines liées à notre compte. Sur la page “Sécurité et connexion”, Facebook propose de recevoir des alertes en cas de connexion depuis un appareil suspect. Ces alertes peuvent vous être envoyées directement sur le compte Facebook ou par email.

Limiter la quantité de données personnelles offertes à Facebook

Malgré ces précautions, la faille révélée de 28 septembre démontre une fois de plus qu’aucune précaution n’est infaillible. Il est donc plus que jamais préférable de limiter au maximum les données que l’on partage avec les réseaux sociaux. Su Facebook, il est possible de supprimer toutes les informations qui ne sont pas indispensables (ville de naissance, établissement scolaire fréquenté etc.). Une page est par ailleurs prévue pour gérer ses préférences publicitaires. Elle permet de supprimer l’ensemble de ses centres d’intérêts répertoriés ou encore de mettre un frein au partage de données avec les partenaires extérieurs de Facebook.

Cybersécurité : la résilience, chaînon manquant de votre stratégie

A l’heure de la transformation numérique des organisations, la stratégie de cybersécurité est un sujet sur toutes les lèvres. Dans le même temps, on n’entend quasiment jamais prononcer le mot résilience. Pourtant, la résilience devrait être le pilier majeur de toute stratégie de réduction des risques. Essayons donc de décrypter les raisons de cette anomalie et d’en identifier les risques.

Résilience, le chaînon manquant de votre stratégie de cybersécurité
Crédit © rawpixel.com 2018

Et tout d’abord, il convient de situer la cyber-résilience par rapport à la cybersécurité. Dans les deux cas, il s’agit de répondre aux cyber-risques. Un risque se caractérise par une probabilité de survenance et par un impact (sous forme de conséquences) lors de la réalisation du risque. Dans tous les cas, la stratégie des risques a pour objet d’aligner le niveau des risques au seuil de tolérance de l’Organisation. Cela se fait en mixant la réduction de la probabilité et de l’impact. Bien sûr, la stratégie des risques couvre tous les risques de l’Entreprise et parmi ceux-ci, on aura les cyber-risques.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité. Les mesures de sécurité sont essentiellement de 3 types :

  • préventives
  • de détection (pour détecter l’incident lorsqu’il se produit),
  • correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

A côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit? ». En d’autres termes il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

L’expérience de l’année écoulée

Il y a tout juste un an, l’été 2017 a montré très concrètement à quoi pouvait ressembler des cyber-attaques mondiales. Ce fut le cas notamment avec NotPetya. Un an plus tard, les conséquences du « ransomworm » ne sont toujours pas complètement terminées. Le groupe Merck a annoncé fin novembre 2017 que cette cybe-rattaque lui coûterait environ 600 millions de dollars sur l’exercice 2017 ! Mais, en additionnant les dernières annonces, le seuil des 2 milliards de perte est clairement plus réaliste. C’est la première fois qu’un tel impact est recensé pour un incident cyber. Ce changement de dimension mobilise aujourd’hui enfin les directions générales et les conseils d’administration. Et ce n’est pas trop tôt! Ils sont maintenant demandeurs de moyens pour limiter les impacts de telles attaques. Mais ils sont aussi en attente sur la posture à adopter lorsqu’un cas réel se présentera.

Les mesures préventives de cybersécurité ne suffisent clairement plus à empêcher les cyber-risques de se réaliser. Il est désormais évident que la technologie n’est pas le rempart infranchissable que tout le monde imaginait. La cyber-criminalité est devenue une véritable industrie qui progresse plus rapidement que les moyens de protection ne se développent.

Cyber-résilience : les actions clés

Une cyber-attaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication ou d’immeubles voire de collaborateurs.

Or les cyber-attaques majeures, destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers sont focalisés sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyber-attaques.

En effet, les dispositifs de continuité du SI sont plus souvent liés aux ressources qu’ils protègent. Ils sont donc également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud ». Le double objectif de cette approche est à la fois de répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Mais, de fait, le lien entre le SI nominal et son secours rend les dispositifs de continuité vulnérables aux cyber-attaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils donc avaient été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Enfin il reste les sauvegardes comme dernier rempart. Etablies sur une base souvent quotidienne ou hebdomadaire, elles constituent, pour la plupart des organisations, le dispositif de dernier recours pour reconstruire le SI.

Dorénavant, il n’est pas rare de faire face à une intrusion qui date de plusieurs mois. Bien que la  détection soit récente, dans ce cas, les sauvegardes embarquent de fait les éléments malveillants. Il peut s’agir de malwares par exemple, mais aussi de modifications déjà opérées par les attaquants.

De plus, la continuité en tant que telle des systèmes de sauvegarde est bien souvent négligée. Lors de plusieurs cas de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes avaient eux-mêmes été détruits. Les restaurer a souvent nécessité plusieurs jours vu leur complexité et leur imbrication dans le SI.

S’agissant des SI industriels, les constats sont tout aussi alarmants. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ils ne disposent souvent pas de mécanismes de sécurité avancés. La longueur de leur cycle de vie (souvent plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités anciennes. Enfin l’indépendance des chaînes de contrôle  vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours respectée.

Des leçons tirées de l’expérience

Il s’avère que lors du déroulement d’une crise, le cycle est souvent identique. Les écueils rencontrés sont quasiment toujours les mêmes. Il convient donc de tirer les leçons de cette expérience.

Gestion de crise en cas de cyber-attaques : les écueils rencontrés
Crédit © Wavestone 2017

Des scénarios d’attaques récurrents

Destruction massive ou indisponibilité d’une grande partie du SI

Ce type de cyber-attaques, concrétisé au travers des cas Wannacry et NotPetya, entraîne généralement une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par des attaques de ce type (parmi lesquelles Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h.

La situation au démarrage de la crise est alors très difficile. En effet, il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes atteignant plusieurs centaines de millions d’euros suite à ces attaques.

Compromission et perte de confiance dans le SI

Il s’agit d’attaques ciblées ne remettant pas en cause le bon fonctionnement du système. Elles visent par contre à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…). Elles leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi atteindre tout type de données ou réaliser des actions métiers nécessitant plusieurs validations successives.

Ces cyber-attaques ont touché de très nombreuses entreprises dans tous les secteurs. Les conséquences sont souvent des fraudes massives, comme celles ayant touché la banque du Bangladesh. Il peut aussi s’agir de vols de données financières et de paiements. Ce fut le cas de celles ayant touché plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot.

La situation au démarrage de ce type de cyber-crise est extrêmement complexe. La raison réside dans la conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il faut alors investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes de ces attaques ont également fait état d’impacts financiers atteignant plusieurs centaines de millions d’euros.

La résilience passe par une bonne gestion de crise

Les crises cyber sont des crises très particulières. Elles sont souvent longues (plusieurs semaines). Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc indispensable d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer cette dimension particulière.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense. Cela se ferait au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agit donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction du plan de défense.

Au-delà de l’aspect organisationnel, il faut s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs, isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La rédaction d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faudra faire face à la crise, la réalisation d’exercices de crise sera un bon révélateur de la situation réelle.

Les dispositifs de continuité doivent être repensés

Des solutions les plus simples…

Les dispositifs de continuité doivent également évoluer pour s’adapter aux cyber-menaces. Les solutions possibles sont nombreuses. Elles peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certaines organisations ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les installer rapidement en cas de destruction physique.

A des solutions très complexes et coûteuses…

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyber-attaques. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir. Elle est envisagée pour certaines applications critiques dans le monde de la finance notamment.

A des solutions intermédiaires mais suffisantes

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative. Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Cyber-résilience et cybersécurité doivent être imbriqués

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager  — ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) — sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle.

Il est très clair que la résilience est un pilier majeur de votre stratégie de cybersécurité. A ce titre il convient de l’y intégrer dès la conception. Mais il vous appartient également de convaincre votre conseil d’administration de la réalité des cyber-risques et de la nécessité de la mise en oeuvre de mesures de résilience.

Comment s’y prendre concrètement?

Nous ne le répétons, jamais assez, mais deux bonnes pratiques de base sont absolument nécessaires.

Inutile de réinventer la roue : appuyez-vous sur ce qui existe

Il serait vain de partir d’une feuille blanche. Inspirez-vous des bonnes pratiques du marché. A cet effet, AXELOS a publié une référentiel de bonnes pratiques en matière de résilience des SI : RESILIA. Complémentaires d’ITIL, ces bonnes pratiques vous aideront à compléter vos processus existants afin d’y incorporer la planification de la résilience de votre SI

Faite monter vos collaborateurs en compétence, formez-les

La réponse aux cyber-attaques nécessite une préparation minutieuse et du personnel formé et efficace. A cet effet, 2AB & Associates vous propose des formations sur RESILIA (RESILIA Foundation et RESILIA Practitioner) ainsi que des formations sur la continuité des activités (Business Continuity Foundation et ISO 22301 Lead Implementer). Nous vous proposons également une formation indispensable pour mieux évaluer et planifier la réponse aux cyber-risques : ISO 27005 Risk Manager.

Et bien sûr, nos experts sont à votre disposition pour répondre à vos commentaires.

Cybersécurité : comment convaincre le Conseil d’Administration

A l’heure où les Entreprises entreprennent leur transformation digitale, le risque en matière de Cybersécurité s’accroit de jour en jour et une question se pose : comment sensibiliser et convaincre le Conseil d’Administration d’adopter une stratégie en matière de cybersécurité?

Stratégie de cybersécurité : comment convaincre le Conseil d'Administration?
Crédit © Image by rawpixel.com

Lorsqu’il s’agit de mettre en œuvre une stratégie de cybersécurité à l’échelle de l’entreprise, les responsables de la sécurité, tels que les RSSI, les directeurs informatiques ou les gestionnaires des risques, ont souvent les mains liées. Ressources et budgets insuffisants, incompréhension du risque au plus haut niveau sont leur lot quotidien. Il leur faut donc tout d’abord convaincre le Conseil d’Administration de la criticité du sujet. C’est en effet le Conseil d’Administration qui exerce la responsabilité de gouvernance de l’Entreprise. C’est donc lui qui priorise les risques et définit les ressources qu’il autorise pour atteindre les bénéfices attendus par les parties prenantes de l’Organisation.

Heureusement, la cybersécurité est désormais passée de la sphère technique à la salle du conseil au cours de ces dernières années. Aussi, de plus en plus de membres du conseil d’administration comprennent l’importance d’une bonne cybersécurité dans l’environnement numérique actuel. Il faut dire aussi que beaucoup d’Entreprises ont renouvelé leurs conseils d’administration avec des administrateurs plus jeunes et plus au fait des problématiques de sécurité de l’information.


La stratégie de cybersécurité doit être décidée par le Conseil d’Administration, exécutée par le Comité de Direction et devenir la propriété des premières lignes de l’Organisation. (Help Net Security)


Néanmoins, environ 87% des membres du Conseil d’Administration et des cadres supérieurs n’ont pas confiance dans le niveau de cybersécurité de leur organisation.

Vous êtes RSSI ou responsable de la mise en œuvre des stratégies de sécurité pour votre organisation? Alors il est très probable que vous serez amené à présenter vos propositions au Conseil d’Administration. Et vous devrez le faire d’une manière claire, pertinente et convaincante. Nous allons donc vous donner quelques pistes pour mieux sensibiliser les administrateurs à l’urgence d’agir en la matière.

Cybersécurité : comment convaincre votre Conseil d’Administration?

Nous vous proposons 10 bonnes pratiques à suivre pour expliquer la cybersécurité à votre conseil d’administration afin d’obtenir l’adhésion nécessaire pour sécuriser votre entreprise. Il ne s’agit pas là d’une liste exhaustive et vous devrez, sans aucun doute l’adapter en fonction des priorités de votre Organisation. Il s’agit seulement de 10 pratiques éprouvées par nos experts dans le cadre de leurs missions auprès des Entreprises :

  1. Apprenez à bien connaître les membres du CA
  2. Banissez les termes techniques
  3. Appuyez-vous sur des exemples réels
  4. Alignez-vous sur la stratégie business globale
  5. Concentrez-vous uniquement sur les points importants
  6. Adoptez une approche basée sur la gestion des risques
  7. Expliquez clairement ce que vous essayez de réaliser
  8. Argumentez en vous appuyant sur des chiffres significatifs et justes
  9. Proposez des solutions concrètes
  10. Démontrez le retour sur investissement

Apprenez à bien connaître les membres de votre Conseil d’Administration

Quel que soit votre secteur d’activité, la taille de votre entreprise ou son niveau de maturité en matière de cybersécurité, une présentation réussie dépendra de votre connaissance du public. Assurez-vous donc de vous familiariser vous-même avec chacun des membres du conseil avant d’entrer dans la salle. Apprenez à connaître leurs antécédents, leur position respective et leur influence dans l’organisation. Comprenez aussi leurs points sensibles et leur approche globale vis à vis de la sécurité et des risques. Plus vous en saurez sur les membres du conseil, plus il sera facile de les comprendre. Et cela vous permettra de les convaincre plus facilement avec des arguments qui leur parleront.

Au minimum, essayez d’en savoir un peu plus sur le président du Conseil d’Administration, ainsi que sur les présidents des comités suivants:

  • Comité de sécurité,
  • Comité des Risques et de la Conformité.

Banissez les termes techniques

Plus vous utiliserez des termes simples et mieux les membres du Conseil d’Administration comprendront votre présentation.

Il y a fort à parier que,votre CA ne soit pas très familier avec les termes, les outils et les technologies de sécurité. Pour vous assurer que vous pouvez être compris et faire passer votre message, banissez les termes techniques. Concentrez plutôt votre discours sur des principes et des scénarios faciles à comprendre. Remplacez les termes tels que les attaques  de type SIEM, DDoS et MITM par des concepts universels tels que la gestion des risques, les cyberattaques et les principes de sécurité.

Abordez les sujets qui intéressent les administrateurs tels que :

Appuyez-vous sur des exemples réels

Tout point que vous voudrez aborder doit être appuyé par un exemple concret. Cela aidera les membres du conseil à comprendre l’essence de ce que vous dites.

Par exemple, le niveau de maturité en matière de l’entreprise en matière de cybersécurité pourrait être présenté avec une échelle de feux tricolores simple allant du vert au rouge en passant par l’orange. L’impact de certaines cyber-menaces peut être souligné par des articles récents montrant les conséquences. Ainsi, par exemple, il peut s’agir des coûts résultant de l’absence de mise en oeuvre des mesures de cybersécurité appropriées.

Si ce n’est pas suffisant, appuyez vous sur des études de cas réels. Choisissez  des organisations similaires à la vôtre. Vous pourrez ainsi montrer comment les stratégies de cybersécurité ont aidé à sécuriser d’autres organisations contre les violations et les intrusions.

Alignez-vous sur la stratégie business globale de votre Organisation

Quelle que soit la conviction de votre proposition, elle sera inutile si elle ne correspond pas à la stratégie globale de l’organisation. Vous n’êtes pas là pour discuter des difficultés inhérentes à la gestion de vos opérations de sécurité. Votre CA ne s’intéresse qu’à la stratégie de haut niveau de l’entreprise. Aussi chaque décision sera probablement basée sur la manière dont elle aidera l’organisation à atteindre ses objectifs business.

Avant de parler aux administrateurs, assurez-vous de vous familiariser avec la stratégie et les objectifs globaux de l’entreprise. Faites ainsi valoir vos arguments en faveur de l’atteinte ces objectifs.

Concentrez-vous uniquement sur les points importants

Rappelez-vous que votre CA ne se réunit que de façon périodique et que son temps est précieux. C’est pourquoi votre présentation doit se concentrer uniquement sur les éléments critiques. N’incluez jamais des informations « intéressantes à avoir » mais non essentielles. Si vous éliminez le superflu votre CA appréciera votre respect pour son temps. Il se rappellera ainsi d’autant mieux les points essentiels que vous souhaitez faire passer.

Adoptez une approche basée sur la gestion des risques

Les entreprises ont des ressources limitées pour gérer leurs risques et le CA est le garant de leur optimisation. L’une des priorités majeures du Conseil d’Administration est de s’assurer que les risques pour l’Organisations sont correctement gérés. Lors de votre présentation, vous devez vous assurer que votre stratégie de cybersécurité aura un impact durable sur l’Entreprise. Concentrez-vous donc sur les principales stratégies qui peuvent vous aider à améliorer votre situation en matière de cybersécurité et à renforcer vos défenses contre les menaces et les intrusions.

En adoptant une approche de gestion des risques, vous serez mieux compris des administrateurs. C’est un des sujets auxquels ils sont très sensibles et qu’ils maîtrisent parfaitement.

Expliquez clairement ce que vous essayez de réaliser

En introduction essayez de bien faire comprendre aux administrateurs la raison de votre présence devant eux. Avant de commencer votre présentation, assurez-vous donc d’expliquer clairement quel est votre objectif :

  • S’agit-il d’une nouvelle orientation stratégique en matière de cybersécurité?
  • Avez-vous besoin de plus de budget pour certaines acquisitions?
  • Devrez-vous embaucher des ressources supplémentaires et obtenir leur approbation?
  • Avez-vous besoin que le CA examine et approuve une nouvelle politique relative à la sécurité?

Les membres du conseil d’administration doivent avoir une compréhension claire de ce que vous essayez d’obtenir de leur part.

Argumentez en vous appuyant sur de chiffres significatifs et justes

Collectez des faits et des chiffres. Et surtout préparez-vous à répondre de façon précise aux questions.

Il est probable que les membres du Conseil d’administration poseront des questions spécifiques sur la situation actuelle de l’organisation en matière de cybersécurité, son évolution au fil des dernières années et la manière dont ils peuvent mesurer le niveau d’exposition au risque.

Assurez-vous de trouver des chiffres et des statistiques pertinents pour faire valoir votre point de vue. Par exemple, la stratégie de cybersécurité proposée peut nécessiter un budget supplémentaire de 8%, mais vous obtenez un retour sur investissement mesurable car votre exposition au risque sera réduite de 25%. La connaissance des chiffres significatifs et vérifiables constituera un argument clé pour convaincre le conseil.

Proposez des solutions concrètes

Soulever un problème est une chose, proposer une solution en est une autre.


Souvent les managers des départements ou des équipes viennent me voir en me disant « J’ai un problème ». Et j’ai l’habitude de leur répondre « Alors va le résoudre, et reviens me voir lorsque tu auras des solutions à me proposer ». Le CA n’est pas là pour vous aider à résoudre vos défis. Il a seulement pour rôle d’entériner une des solutions que vous lui proposez.


Assurez-vous de ne pas simplement parler de vos défis mais plutôt de mettre en place des solutions concrètes de cybersécurité qui vous faciliteront la vie tout en bénéficiant à l’Organisation. Par exemple, votre présentation pourrait se terminer par une liste de 5 stratégies concrètes que vous prévoyez d’entreprendre. Présentez leur impact budgétaire, leur date de début et de fin, leur impact sur l’activité et le retour sur investissement prévu. Une conversation de haut niveau est un bon point de départ. Cependant seules des solutions concrètes permettront d’apporter un changement durable.

Démontrez le retour sur investissement

Si vous voulez obtenir l’adhésion du CA à votre proposition de stratégie de cybersécurité, assurez-vous d’expliquer clairement comment vous allez rendre compte de vos projets. Et surtout, expliquez comment vous pouvez démontrer le retour sur investissement de votre proposition. Par exemple, vous pouvez décider de mener une évaluation de la situation de la cybersécurité de votre entreprise pour savoir où vous en êtes aujourd’hui et où vous devriez vous situer à la fin de la mise en œuvre.

Une progression mesurable du niveau de maturité de l’Entreprise en matière de cybersécurité peut aider à gagner l’adhésion des membres du conseil d’administration. Ils pourront ainsi être assurés que leur engagement a été payant.

En conclusion…

Pour qu’une stratégie de cybersécurité soit efficace et permette d’opérer un changement durable, le RSSI devra faire preuve d’intelligence pour obtenir l’adhésion de son Conseil d’Administration. Gardez à l’esprit que le temps que vous allez passer devant le CA est limité (généralement moins de 30 minutes). Alors concentrez-vous sur les éléments les plus importants qui éveilleront leur intérêt  et qui sont alignés avec leurs priorités et objectifs permettant d’assurer le succès de l’Entreprise sur le long terme

Si vos arguments sont clairs, pertinents et facilement compréhensibles, liés aux opérations et à la stratégie de l’entreprise, et que vous pouvez démontrer le retour sur investissement de votre proposition de stratégie de cybersécurité, alors vous aurez de meilleures chances d’obtenir le soutien nécessaire pour ce que vous essayez de réaliser.

Vous avez besoin d’aide pour préparer votre intervention ou même pour vous assister lors de votre présentation au CA? Vous pouvez contacter l’un de nos experts en Gouvernance et en Stratégie de cybersécurité qui vous proposera une présentation exécutive efficace à destination des membres de votre Conseil d’Administration.

RGPD – La loi Française enfin publiée le 20 Juin 2018

Après une « étrange » et longue bataille juridique et un recours des sénateurs d’opposition auprès du Conseil Constitutionnel, la loi Française sur la protection des données personnelles, alignée sur le règlement européen connu sous le nom de RGPD (GDPR) a enfin été promulguée le 20 juin 2018, soit près d’un mois après la date d’entrée en vigueur du RGPD. Alors que contient cette loi? Pourquoi une aussi longue bataille pour obtenir sa promulgation? Pourquoi est-il si difficile pour la France et les Français de s’aligner sur les lois et réglementations internationales?

RGPD - La loi Française sur la protection des données personnelles publiée le 20 Juin 2018
Crédits © Sondem

La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi « Informatique et libertés » du 6 janvier 1978 au règlement général sur la protection des données (RGPD) du 27 avril 2016, directement applicable dans tous les pays européens au 25 mai 2018.

La loi du 20 juin 2018 modifie la loi « informatique et libertés » de 1978 pour la mettre en conformité avec le RGPD. Notamment, sont concernés les pouvoirs et missions de la CNIL et l’élargissement des données sensibles. Elle tire également  parti des marges de manœuvre permises par le RGPD : majorité numérique, etc.. Enfin, elle s’aligne à une directive européenne publiée également le 27 avril 2016 sur les fichiers en matière pénale, dite directive « police justice ».

Adaptation du rôle de la CNIL et de ses pouvoirs de contrôle et de sanction

La composition, les missions et les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont modifiés.

L’évolution des missions de la CNIL

Le RGPD introduit une nouvelle logique de responsabilisation et d’accompagnement des acteurs traitant des données personnelles (entreprises, administrations, etc.). Les missions de la CNIL évoluent donc afin de les adapter à cette nouvelle logique. En contrepartie, les formalités préalables auprès de la CNIL prévues dans la loi de 1978 sont quasiment toutes supprimées.

En outre, et en complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

  • d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
  • d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
  • de certifier des personnes, des produits, des systèmes de données ou des procédures ;
  • de lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés fondamentales des personnes.

Un rôle de conseil

Dans l’exercice de ses missions, la CNIL doit désormais prendre en compte les besoins propres des collectivités locales. Or, parmi elles, beaucoup s’inquiètent des nouvelles règles européennes. Pour les aider, la CNIL a publié sur son site internet un certain nombre de pages qui leur sont dédiées. La loi prévoit que les petites et moyennes entreprises (TPE-PME) doivent également faire l’objet d’un accompagnement personnalisé. A cet égard, la CNIL, en partenariat avec Bpifrance, a d’ores et déjà publié un guide pratique les sensibilisant au RGPD.

Un rôle consultatif vis à vis du parlement

Toujours au titre de ses missions, la CNIL peut désormais être consultée sur toute proposition de loi portant sur la protection des données personnelles par les présidents ou les commissions compétentes de l’Assemblée nationale ou du Sénat et par les présidents des groupes parlementaires.

Renforcement des pouvoirs de la CNIL en matière de contrôle et de sanction

Pouvoirs de contrôle étendus

Les pouvoirs de contrôle de la CNIL sont précisés et étendus par la loi. La nature des locaux que ses agents peuvent visiter et les conditions dans lesquelles le secret professionnel, notamment médical, peut leur être opposé sont redéfinies. De plus, pour les contrôles en ligne, ses agents peuvent dorénavant recourir à une identité d’emprunt.

Plusieurs articles de la loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux (touchant des personnes de plusieurs pays européens). Le RGPD pose, en effet, de nouvelles règles en la matière. L’objectif est d‘apporter une réponse unique en cas d’atteinte au droit à la vie privée des citoyens de plusieurs pays européens. La récente affaire Cambridge Analytica-Facebook est, à cet égard, une illustration.

Pouvoirs de sanction adaptés

Les pouvoirs de sanction de la CNIL sont adaptés. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation des règles sur la protection des données personnelles. En outre, le montant des amendes administratives est très fortement augmenté. Elles sont désormais alignées sur le RGPD et peuvent aller jusqu’à 20 Millions d’Euros ou 4% du CA mondial annuel. Ces astreintes et amendes concernent autant les entreprises que les collectivités locales et les associations, qu’elles soient responsables d’un traitement ou sous-traitants. Seul l’État en est dispensé.

Lors de la discussion du projet de loi, le Sénat voulait exempter les collectivités locales des sanctions financières. Il souhaitait également que leur produit serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Il a, de plus, proposé la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD. Cette mise en conformité va, en effet, avoir un coût budgétaire pour les petites collectivités. Toutefois, ces amendements ont tous été rejetés. Néanmoins, à la demande des sénateurs, la mutualisation des services numériques entre les collectivités et leurs groupements est facilitée. Les communes peuvent, en particulier, se doter d’un délégué à la protection des données commun. Cette disposition est totalement en ligne avec le RGPD qui ne mentionnait rien à cet égard.

La CNIL a-t-elle les moyens d’exercer sa mission?

Pour assurer la bonne application du RGPD, la CNIL a clairement besoin de ressources. La présidente de la CNIL, Isabelle Falque-Pierrotin, a d’ores et déjà demandé aux pouvoirs publics plus de moyens humains. Ceux-ci seront discutés dans le cadre de la prochaine loi de finances. La CNIL emploie actuellement 200 personnes. Ce chiffre est à comparer avec ceux des autorités de protection comparables. Celles-ci comptent en général 500 ou 700 collaborateurs (comme au Royaume-Uni et en Allemagne).

Renforcement de la protection des données personnelles sensibles

Conformément au RGPD, le champ des données sensibles (sur l’origine raciale, les opinions politiques, etc.) est étendu aux données génétiques et biométriques ainsi qu’aux données relatives à l’orientation sexuelle d’une personne. En principe, ces données ne peuvent pas faire l’objet d’un traitement en raison de leur nature même.

Des dérogations à cette interdiction sont toutefois prévues par le droit européen. C’est le cas en matière de sécurité sociale ou si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques, etc.. La loi du 20 juin 2018 ajoute d’autres dérogations. Sont notamment permis les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail. Sont de même autorisés les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Les marges de manoeuvre permises et prévues par le RGPD

Le RGPD, bien que d’application directe, contient plus d’une cinquantaine de marges de manœuvre autorisant les États membres à préciser certaines dispositions. La plupart d’entre elles ont été utilisées pour conserver des dispositions qui existaient déjà dans la loi de 1978. La loi du 20 juin 2018 n’aménage que quelques points, afin notamment de répondre aux évolutions technologiques et sociétales.

Des formalités préalables maintenues pour certains traitements

Les formalités préalables (autorisations ou déclarations) auprès de la CNIL sont quasiment toutes supprimées. La loi en maintient cependant quelques une, comme prévu par le RGPD, pour certains traitements. Sont concernés les traitements :

  • comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, sauf exceptions ;
  • de données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes mis en œuvre pour le compte de l’État ;
  • qui intéressent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • de données de santé se justifiant par une finalité d’intérêt public (sécurité des médicaments, etc.).

Catégories particulières de traitement

Plusieurs dispositions de la loi sont consacrées à des catégories particulières de traitements. Sont notamment visés les traitements de données de santé, qui font l’objet d’un régime spécifique.

Sont aussi concernés les traitements de données sur les infractions, condamnations ou mesures de sûreté connexes (hors champ de la directive c’est-à-dire à d’autres fins que la prévention et la répression des infractions). Ces traitements peuvent dorénavant être effectués par une liste élargie de personnes. Citons par exemple les associations d’aide aux victimes ou de réinsertion ou des personnes mises en cause ou victimes dans une procédure pénale. En revanche, le Conseil Constitutionnel, saisi par des sénateurs Les républicains, a déclaré anticonstitutionnel l’élargissement de la mise en œuvre des tels traitements « sous le contrôle de l’autorité publique » (comme l’hébergement des données sur un serveur). Cette formulation, pourtant reprise du RGPD, a été jugée insuffisamment précise.

Droits des personnes concernées

Sur ce point encore, la loi utilise les marges de souplesse permises par le RGPD.

Protection des données personnelles concernant les enfants

Elle fixe à 15 ans la majorité numérique, c’est-à-dire l’âge à partir duquel un enfant peut consentir seul au traitement de ses données, typiquement sur les réseaux sociaux. Le gouvernement et les sénateurs souhaitaient retenir le seuil de 16 ans. C’est l’âge du consentement fixé par défaut par le RGPD. Le texte a toutefois laissé aux États la possibilité de l’abaisser jusqu’à 13 ans. C’est donc dans ce cadre que les députés ont voté l’âge de la majorité numérique à 15 ans.

Recours à des décisions individuelles automatisées

La loi ouvre, par ailleurs, plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. Néanmoins, de nouvelles garanties sont données aux administrés : droits à l’information et à l’explication (déjà consacrés par la loi pour une République numérique de 2016), droit à recours avec une intervention humaine a posteriori, obligation pour l’administration de maîtriser l’algorithme et ses évolutions (prohibition des algorithmes auto-apprenants), interdiction d’utiliser des données sensibles.

Sur ce point les deux chambres étaient à nouveau en désaccord. Les sénateurs souhaitaient encadrer plus strictement l’usage des algorithmes par l’administration. Ils demandaient aussi la transparence des algorithmes utilisés par les universités dans le cadre de Parcoursup. Or cette transparence est exclue par la loi « orientation et réussite des élèves » du 8 mars 2018). Les propositions du Sénat ont été rejetées. Cependant, sur amendement du gouvernement, le fonctionnement de Parcoursup fera l’objet, chaque année, d’un rapport au Parlement.

Dans sa décision du 12 juin 2018, le Conseil constitutionnel a jugé conforme à la Constitution les nouvelles règles régissant l’emploi des algorithmes par l’administration. Il considère que « le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme ».

Traitement des données scolaires

La loi oblige aussi les établissements publics des premier et second degrés à rendre public, à partir de la rentrée 2018, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées.

Actions de groupe

Les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou un sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

En vertu du RGPD, les citoyens peuvent aussi se faire représenter par les associations ou organismes actifs dans le domaine de la protection des données personnelles pour exercer en leur nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre le responsable du traitement ou sous-traitant.

Récemment, l’association La Quadrature du Net a déposé une réclamation collective auprès de la CNIL. Elle est dirigée contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft). L’association estime, en effet, que ces derniers ne respectent pas le RGPD sur le consentement « libre et éclairé » des internautes.

Le libre choix de ses applications sur smartphone

Cette disposition est issue de l’amendement « Bothorel », du nom du député qui l’a porté. Aujourd’hui, la quasi-totalité des smartphones vendus en France et en Europe sont équipés d’un système d’exploitation mobile iOS ou Android. Ces systèmes sont imposés ainsi que le moteur de recherche par défaut (souvent Google). Il n’y a donc pas de consentement véritable des utilisateurs. La loi oblige désormais les fabricants ou distributeurs de smartphones à proposer aux consommateurs plus de choix dans les applications. L’objectif est de faire un peu plus de place aux navigateurs web et moteurs de recherche « alternatifs ». Ceux-ci sont parfois plus respectueux de la protection des données personnelles de leurs utilisateurs (par ex. Qwant en France).

La transposition de la directive « police »

Enfin, la loi du 20 juin 2018 transpose la directive du 27 avril 2016 dite « police – justice ». Celle-ci harmonise le régime des traitements à finalité pénale. Il est clairement fait référence aux fichiers de police et de justice comme le fichier national des empreintes génétiques. Par contre, les fichiers de renseignement sont exclus.

Un droit à l’information est en particulier créé pour les personnes fichées en matière pénale. Ces dernières peuvent aussi désormais exercer de façon directe leur droit d’accès auprès du responsable du traitement (sauf exceptions). Elles peuvent ensuite demander la rectification des données les concernant, voire leur effacement.

Les autorités publiques doivent, par ailleurs, respecter un certain nombre d’obligations. Parmi celles-ci, citons la production d’une analyse d’impact pour les données sensibles, la tenue d’un registre des activités du traitement et d’un journal pour certaines opérations de traitement, la désignation d’un délégué à la protection des données, la communication de toute violation de données à la CNIL et à la personne concernée, etc.

De nouvelles règles sur les transferts de données personnelles vers les autorités judiciaires et les forces de l’ordre des pays hors Union européenne sont également posées.

 

RGPD: Optical Center va payer 250.000 € d’amende! Et vous?

La formation restreinte de la CNIL a prononcé le 7 mai dernier une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER. Celle-ci est accusée avoir insuffisamment sécurisé les données de ses clients effectuant une opération en ligne sur son site internet. Heureusement, à cette date, le RGPD n’était pas encore entré en vigueur. Ceci explique le montant relativement faible de l’amende infligée. Après le 25 mai, la même infraction aurait pu être sanctionnée d’une amende allant jusqu’à 20 millions d’Euros.

Et vous? Où en êtes-vous de votre mise en conformité un mois après l’entrée en vigueur des sanctions? 

RGPD la CNIL sanctionne Optical Center
Crédits © Jürgen Fälchle

C’est la première fois que la CNIL inflige une amende conséquente pour un défaut de sécurité sur un site web. Alors des questions se posent. Pourquoi et comment les données personnelles des clients d’une entreprise peuvent-elles se retrouver accessibles par un simple clic dans un navigateur… par la planète entière ?

La décision de la CNIL (Commission nationale informatique et libertés) a été prise deux semaines seulement avant l’entrée en vigueur du Règlement Général de Protection des Données Personnelles (RGPD). Après le 25 mai, Optical Center aurait pu payer jusqu’à 20 millions d’euros — ou 4% du chiffre d’affaire du groupe — au lieu des 250.000 € exigés. Ce qui est reproché à la société est très grave et nous allons essayer de l’analyser. Pourtant, l’Entreprise a été très réactive. Le défaut de sécurité sur son site web a été corrigé le lendemain de sa découverte. Cependant la CNIL a estimé qu’elle ne pouvait pas laisser une telle infraction à la loi sans sanctions. Il faut souligner que Optical Center avait déjà été condamnée à 25.000 € pour le même type de manquement en 2015.

Il s’agit d’un défaut de sécurité et non d’une faille exploitée

C’est quoi la différence?

Suite à un signalement, la CNIL a effectué un contrôle en ligne. Le site web d’Optical Center permettait l’accès direct par navigateur — sans vérification d’authentification — à 334.000 factures de ses clients. Autrement dit, n’importe qui pouvait télécharger les documents en question. Il suffisait de taper l’adresse web y donnant l’accès. Ces factures contenaient les noms et les prénoms des clients ainsi que leur adresse postale, leurs coordonnées téléphoniques et pour certains, leur numéro de sécurité sociale et des informations médicales (correction ophtalmique). Selon la CNIL, qui a été informée d’une « fuite de données conséquente » en juillet 2017 du site  www.optical-center.fr, « le site n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société ».

Le site web d’Optical Center n’a donc pas été piraté. La fuite de données provenait simplement d’un défaut d’administration du site. C’est très différent d’un piratage exploitant une « faille » du serveur. Dans le cas d’un piratage, des compétences techniques pointues auraient été nécessaires pour contourner la sécurité établie. Il aurait fallu pénétrer par un moyen technique dans le système distant afin d’y copier des fichiers. Dans l’affaire Optical Center, il n’y avait aucun besoin de prouesses techniques pour copier les 334.000 documents. L’accès aux factures des autres clients était direct, comme pour accéder à ses propres factures.

La sanction tient compte des précédents

Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l’instruction des sanctions] a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société » précise l’autorité administrative indépendante.

Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334.000), la formation restreinte a décidé de rendre publique sa décision. Donc, ce sont la récidive et la quantité de données accessibles qui expliquent la lourdeur de la sanction.

Les sites internet doivent être mieux sécurisés

Le coup de poing sur la table de la CNIL

L’amende de 250.000 € à l’encontre d’Optical Center est un coup de semonce. Cela devrait faire réfléchir les entreprises sur leurs obligation de sécurisation de leurs sites web. Cette affaire n’est pas sans rappeler celle de la fuite de données sur le site web de Darty. Celle-ci avait conduit la CNIL à infliger à la célèbre marque d’électroménager une amende de 100.000 € pour des raisons similaires.

La mise en place de contrôles d’accès sécurisés, leur vérification par des administrateurs, sont le b.a.ba de la sécurité informatique — dont celle des sites internet. Il est surprenant que des entreprises recueillant des informations sur leurs clients ne soient pas en mesure de faire le minimum à ce niveau là. Ce constat est inquiétant, surtout pour des entreprises aux chiffres d’affaire importants et dont les moyens sont parfaitement suffisants pour s’assurer une « qualité normale » de sécurité de leurs sites internet.

Des entreprises focalisées uniquement sur les coûts

D’ailleurs, c’est bien là que réside la raison de ces défauts de sécurité. Payer des gens compétents est un élément vital en sécurité informatique. Or la culture des entreprises françaises, de ce point de vue là, ne semble pas être encore à la hauteur des enjeux. Les Entreprises Françaises sont malheureusement toujours focalisée sur les coûts au détriment des risques. Souvent, les salaires des techniciens sont faibles, leur nombre est insuffisant. Dans de nombreux cas les Responsables de la Sécurité des Systèmes d’Information (RSSI) sont inexistants. Enfin, plus souvent encore, l’Entreprise n’a pas nommé de CISO (Chief Information Security Officer) à son comité de direction.

De fait, les « économies » des entreprises (et des structures publiques) sont souvent réalisées sur le dos de la sécurité des SI. Par conséquent la France apparait, en matière de protection des données personnelles, comme un très mauvais élève. Un chiffre est éloquent concernant la sécurité des SI. Selon les dernières statistiques de l’ISO, la France compte 209 entreprises certifiées ISO 27001. Ce chiffre est à mettre en relation avec les statistiques de nos voisins. On recense 1338 entreprises certifiées ISO 27001 en Allemagne, 3367 au Royaume Uni, 1220 en Italie et 752 en Espagne. Il y a donc un gros travail à faire pour les Entreprises Françaises pour revenir dans la moyenne européenne.

Enfin, le dernier problème concerne les lanceurs d’alerte en sécurité informatique. Ils sont la plupart du temps attaqués en justice en France, plutôt qu’écoutés. Pas certain que dans ces conditions la sécurité des sites web n’y gagne beaucoup…

Et vous? Avez-vous pris toutes les mesures nécessaires?

Si vous en doutez, n’hésitez pas à poster vos commentaires et vos questions. Nos consultants experts se feront un plaisir de vous répondre.

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :