Home » Posts tagged 'sécurité de l’information'

Tag Archives: sécurité de l’information

La cybersécurité a besoin de femmes. Explications.

Il y a quelques jours, le 8 mars dernier, se déroulait la journée internationale du droit des femmes. Et cette année encore, nous constatons toujours une inégalité entre les hommes et les femmes. C’est également vrai dans le domaine de la cybersécurité où seulement 20% des professionnels sont des femmes. Bien que cela représente une hausse de 11% depuis 2013, il reste encore beaucoup à faire dans les carrières de cybersécurité. Dans le même temps, selon Cybersecurity Ventures, il y aura jusqu’à 3,5 millions de postes vacants d’ici 2021. Alors, est-ce une réelle opportunité pour les femmes dans un monde en pleine transformation numérique?

La cybersécurité a besoin de femmes - Explications
Crédit © rawpixel.com 2019

Être une pionnière comporte des défis. Mais selon les professionnels de la cybersécurité que je côtoie régulièrement, les femmes sont tout à fait à la hauteur. Alors essayons de comprendre les raisons de cette situation et comment elle pourrait évoluer très rapidement.

Pourquoi est-ce important de combler le fossé entre les sexes en cybersécurité?

La diversité des perspective est indispensable

Tout d’abord, il est nécessaire de bien comprendre pourquoi c’est si important. L’objectif n’est pas simplement d’engager plus de femmes pour augmenter les pourcentages. L’argument en faveur d’une plus grande égalité des sexes dans la cybersécurité ne se limite pas seulement à juste vs injuste, ou à homme vs femme. C’est simplement, que le fait d’avoir plus de femmes sur le lieu de travail est bon pour le business. En effet, la diversité des points de vue, du leadership et de l’expérience est toujours un facteur positif pour les affaires.

Cette constatation peut d’ailleurs s’appliquer à n’importe quel rôle dans une entreprise. Elle ne se limite pas au domaine de la cybersécurité. Par contre elle est tout particulièrement pertinente pour la cybersécurité. Il est nécessaire d’avoir des personnes d’origines, de sexe, de cultures différentes dans les équipes de cybersécurité. En effet, les cyber-criminels qu’elles poursuivent (acteurs de la menace, pirates informatiques, cyber-criminels) possèdent également une grande variété de formations, de cultures et d’expériences. Plus nous aurons de personnes et d’expériences différentes pour défendre nos réseaux et meilleures seront nos chances de réussite.

Le nombre de postes non pourvus est en expansion

De plus, comme je l’ai mentionné dans l’introduction, la cybersécurité est confrontée actuellement à un problème lié au manque de compétences disponibles sur le marché. Il serait donc totalement préjudiciable, sur un critère tel que le sexe, de limiter le nombre de professionnels de ce secteur. La demande en professionnels de la sécurité ayant les bons niveaux de connaissance et de compétence est très forte. En outre, la menace pour les victimes et les réseaux critiques est de plus en plus vaste. Donc,   les femmes aussi bien que les hommes peuvent tout à fait réussir une carrière percutante et enrichissante dans ce domaine.

Et pourtant aujourd’hui, quand on pense au CISO, on imagine immédiatement un homme. Pourtant une femme peut tout à fait être CISO. Il commence d’ailleurs a y en avoir dans les grandes entreprises internationales, même si les hommes restent largement majoritaires. Par exemple on peut citer Shamia Naidoo qui est l’actuelle Global CISO chez IBM ou Debbie Wheeler, CISO pour la compagnie aérienne Delta ou encore Dr. Jay, CISO chez XEROX et ancienne CIO (DSI) de la Maison Blanche. Malheureusement, en France et dans les pays francophones en général, il y en a encore très – trop – peu, comme Mylène Jarossay, membre fondateur du CESIN et CISO de LVMH.

Les défis auxquels sont confrontées les femmes en cybersécurité

Tout d’abord, les femmes ont trop souvent un problème de perception de la cybersécurité (et de la technologie en général). La technologie ou la sécurité sont souvent considérées comme des professions masculines. Et c’est juste de dire qu’il y a clairement peu de femmes dans ces domaines. Aussi beaucoup de femmes ne considèrent pas encore ces professions peuvent offrir des opportunités de carrière viables.

L’éducation et la culture

Malheureusement, ce point de vue est souvent enraciné dès l’enfance. Dès le plus jeune âge, les femmes sont sensibilisées au fait que les hommes sont bons en sciences et techniques et que les femmes ne le sont pas. Elles seront le plus souvent orientées vers des filières artistiques, littéraires ou commerciales. Malgré l’évolution des mentalités durant ces dernières années, il faut hélas reconnaître que les préjugés demeurent.

Et cette perception est renforcée lorsque les femmes qui poursuivent une carrière dans le secteur de la technologie se révèlent être les seules dans la salle. Dans presque toutes les équipes d’ingénierie dont j’ai fait partie, il n’y avait toujours qu’une ou deux femmes. Le manque de diversité des sexes est clairement évident, en particulier lorsque vous assistez à des événements tels que le Black Hat ou le HackFest de Québec, et que les hommes constituent la grande majorité des participants.

Dès lors, la culture de travail peut rester bloquée dans un cycle de préjugés inconscients qui se perpétue. Tout au long de ma carrière, j’ai remarqué que les femmes devaient redoubler d’efforts pour obtenir des opportunités et être reconnues. Cela tient peut-être en partie au fait que les gens, consciemment ou non, ont tendance à embaucher et à promouvoir des personnes qui leur ressemblent. Et donc naturellement les hommes embauchent… des hommes. Les femmes ne devraient pourtant pas se sentir intimidées. Mais c’est souvent la réalité à laquelle elles font face dans l’industrie.

La facilitation du changement

Ces problèmes sont difficiles à résoudre car ils sont subtils et omniprésents. Ce sont des problèmes profonds, liés à la culture et à l’éducation. Pour changer cela il faut faciliter le changement culturel et cela prend beaucoup de temps. Au bout du compte, la meilleure façon de permettre ce changement dans le secteur de la cybersécurité, c’est de supprimer les obstacles pour les femmes et de permettre à plus de femmes d’entrer.

Et lorsqu’on leur en donne l’opportunité, c’est exactement ce qu’elles font. Dans les formations que j’anime régulièrement dans diverses régions du monde, en sécurité et en gouvernance, je constate une augmentation régulière du nombre de femmes. C’est un signe encourageant certes. Cependant il faut bien reconnaître que tous les pays ne sont pas logés à la même enseigne. Dans le monde francophone, il reste énormément de chemin à parcourir. Les préjugés sont malheureusement encore tenaces et les réticences très fortes.

Les femmes qui font de la cybersécurité aiment leur travail

L’amour du travail est une affaire profondément individuelle. Cependant voici pourquoi la résolution des problèmes évoqués précédemment valait (et vaut) la peine pour ces femmes.

« La cybersécurité consiste essentiellement à protéger les personnes contre les dommages et, lorsqu’une personne est victime, à découvrir qui l’a fait », a récemment déclaré Priscilla Moriuchi, directrice du département Strategic Threat Develoment à Recorded Future. « J’aime protéger les gens du mal, poursuivre les cybercriminels et continuellement apprendre. J’aime mon travail. »

Pavi Ramamurthy, qui travaille dans le secteur de la sécurité depuis 15 ans, aime également le travail quotidien en matière de cybersécurité. « J’aime construire une grande variété de programmes de sécurité, ou simplement être au cœur d’un incident de sécurité et diriger le processus de réponse à l’incident. Chacun vient avec sa propre série d’excitations et de défis. C’est enrichissant de réfléchir avec mon équipe sur les moyens de s’améliorer et également de nous tenir au courant des nouveautés en matière de sécurité, des professionnels et des nouvelles technologies. »

Maggie McDaniel, directrice de Finished Intelligence chez Recorded Future, a opté pour la cybersécurité en milieu de carrière et aime constater l’impact de son travail. « J’aurais pu rester là où j’étais, en faisant la même chose tous les jours, ou je pouvais aller dans un environnement stimulant et provoquer des changements , » dit-elle. « L’environnement, en évolution rapide, me permet de rester sur mes gardes et rend ma carrière intéressante. »

Jessica Ortega de Sitelock, quant à elle, souligne la flexibilité souvent nécessaire pour ces rôles. « De nombreuses entreprises de technologie proposent désormais des formations à votre rythme, des certifications et une possibilité de travailler à distance, faisant de la cybersécurité l’un des meilleurs chemins de carrière pour ceux qui privilégient l’équilibre travail-vie personnelle. »

Quelques trucs pour les femmes envisageant une carrière en cybersécurité

Si vous êtes une femme et que vous souhaitez changer de carrière pour vous orienter vers la cybersécurité, vous le pouvez sans aucun doute. Voici quelques trucs qui peuvent vous aider à mieux vous préparer.

1. Ne soyez pas intimidée et sachez saisir votre chance

Il est absolument nécessaire de saisir votre chance lorsqu’elle se présente et de commander le respect dans un domaine dominé par les hommes pour acquérir les connaissances et l’expérience nécessaires pour réussir. Ce n’est un secret pour personne que la technologie est un domaine à prédominance masculine. C’est aussi un domaine où sévissent encore de nombreux détracteurs. Ils se demandent si les femmes ont vraiment leur place à leurs côtés. Vous devrez sans doute lutter et postuler plusieurs fois pour occuper différents postes avant de devenir analyste de sécurité.

Rappelez-vous que la sécurité ne nécessite pas de dons magiques innés. Vous pouvez apprendre tout aussi bien qu’un homme ce que vous devez savoir pour réussir. N’ayez pas peur de vous battre pour ce que vous voulez.

2. Bâtissez votre réseau et trouvez des mentors dans le secteur

Une fois que vous avez terminé la préparation initiale avec des lectures, des cours en présentiel et en ligne, commencez à tisser des liens. Participez à des réunions et rencontrez des gens de l’industrie dans le domaine de la cybersécurité. Rejoignez un groupe comme Women in CyberSecurity (WyCyS) ou Women in Technology International (WITI) et, bien sûr, assistez à des conférences.

Trouver un mentor est une étape qui peut faire toute la différence. Contactez un acteur du secteur, idéalement un leader d’opinion, et recherchez un mentor. Il y a beaucoup d’hommes et de femmes, qui sont déjà dans le domaine et qui peuvent donner des conseils, répondre aux questions et vous orienter dans la bonne direction.

Un bon mentor peut fournir des conseils précieux sur la manière de trouver votre place dans la cybersécurité et de faciliter les opportunités de mise en réseau. Idéalement, trouvez une femme, professionnelle en cybersécurité, qui saura vous apprendre les ficelles du métier et, surtout, vous apprendre de ses erreurs. Il y a de la force dans les nombres. Cependant, n’ayez pas peur de prendre conseil auprès d’un professionnel de la cybersécurité. Il y a beaucoup d’experts et beaucoup de connaissances à exploiter.

3. Recherchez d’abord des opportunités en interne

Il n’est peut-être pas nécessaire de changer d’entreprise pour changer de carrière. Le meilleur endroit pour commencer est souvent au sein de votre société actuelle. Etablissez des relations avec votre propre équipe de sécurité. Il existe de nombreuses opportunités dans des domaines tels que la sensibilisation et la formation à la sécurité, la gestion de programme de sécurité, la réponse aux incidents et la rédaction technique, pour n’en nommer que quelques-unes.

Si l’équipe de sécurité de votre entreprise doit combler un poste vacant, vous avez un avantage. En effet, vous connaissez déjà l’entreprise, son environnement, sa culture et son activité. Vous pourrez peut-être alors combiner l’auto-apprentissage et la formation continue pour pouvoir démarrer un nouveau rôle.

4. Agissez avec confiance

C’est souvent le conseil le plus difficile à mettre en œuvre pour les femmes, surtout si elles se sentent en sous-effectif ou si elles sont ignorées. « J’avais beaucoup entendu parler des femmes qui ne se sentaient pas entendues lors des réunions, mais la première fois que cela m’est arrivé, ma mâchoire est presque tombée au sol », a déclaré Rose Elliott, senior director of product engineering de Tenable.io. « J’ai pensé: « Oh, c’est ce dont ils parlent. » J’ai même approché l’homme qui dirigeait la réunion par la suite. Mais cela s’est reproduit le lendemain. C’est terrible que ce soit juste une chose à laquelle il faut s’habituer . Mais depuis j’ai appris à exprimer mon opinion et à me sentir à l’aise. « 

L’astuce? Parler et agir de manière décisive, même si vous ne vous sentez pas nécessairement complètement sûre de vous. « De nombreuses femmes ont tendance à parler avec moins de confiance si elles ne sont pas certaines à 100% de ce qu’elles disent, alors que les hommes parlent avec confiance même s’ils sont relativement incertains », a déclaré R. Elliott.  «En fait, j’ai reçu un témoignage essentiel de la part d’un ancien directeur / mentor de sexe masculin: lorsque vous vous sentez vraiment anxieux, appuyez fort, car votre intuition est généralement la bonne.»

5. Mettez l’accent sur l’apprentissage

Comme pour toute carrière, la cybersécurité se base sur un parcours d’apprentissage. Personne de doit être intimidé par ce domaine. Cela semble très technique et très complexe. Et croyez-moi, ça l’est. Donc, bien sûr, ne vous attendez pas non plus à être un expert dès le départ. Nous avons tous quelque chose de nouveau à apprendre, hommes comme femmes, et dans ce domaine il y a de la place pour une expertise technique approfondie, mais aussi pour des généralistes et des gestionnaires. Chaque jour, un nouveau défi se présente et une chance d’apprendre quelque chose de nouveau surgit.

Alors, la cybersécurité est-elle pour vous? Moriuchi a la réponse: « Ce travail est destiné à tous ceux et toutes celles qui sont intellectuellement curieux, disposés à penser de manière non conventionnelle et à s’engager dans une vie d’apprentissage. » Vous vous reconnaissez dans cette description? Alors peut-être que vous devriez envisager de regarder les opportunités qui se présente dans un domaine en pleine expansion avec la transformation digitale des organisations.

Vous vous posez encore des questions?  Votre expérience peut être partagée? Vous avez des remarques sur le contenu de cet article? Les commentaires sont là pour vous permettre de lancer le débat et d’échanger. Profitez-en! Si vous avez aimé cet article vous pouvez aussi nous laisser un « like ». Ou, vous pouvez aussi vous abonner à notre blog pour recevoir une alerte lors de la parution de nos articles.

 

 

Top 5 des types de cyber-attaques en 2019

Votre entreprise risque d’être la victime de cyber-criminels. Afin de vous permettre de mieux cerner les menaces de sécurité auxquelles vous êtes exposés, en voici le top 5 en 2019. Pour chaque catégorie de cyber-attaque, je vous propose également quelques contre-mesures possibles.

Top 5 des types de cyber-attaques en 2019
Crédit © rawpixel.com 2019

Une cyber-attaque consiste en tout type d’action offensive qui cible des systèmes informatiques, des infrastructures, des réseaux informatiques ou des dispositifs informatiques personnels. Les cyber-criminels utilisent des méthodes diverses pour voler, modifier ou détruire des données ou des systèmes d’information.

En 2019, selon le dernier rapport d’IBM, chaque entreprise dans le monde à une probabilité de 28% de subir une cyber-attaque.De plus, le coût moyen d’une violation de données s’élève à 3,4 millions de dollars. Il est donc préférable de connaître le risque auquel vous êtes exposé si vous voulez mieux vous prémunir. A chaque type d’attaque correspondent une ou plusieurs réponses permettant de réduire le risque. Nous vous proposons ici le top 5 des cyber-attaques que vous avez le plus de risque de devoir affronter.

1. Attaque par déni de service (DoS) ou par déni de service distribué (DDoDS)

Une attaque par déni de service surcharge les ressources d’un système. Elle l’inonde de demandes au delà de sa capacité maximum.. Ainsi, le système ne peut plus répondre aux demandes de service des utilisateurs autorisés. Une attaque DDoS est aussi une attaque sur les ressources du système. Mais elle est lancée à partir d’un grand nombre d’autres machines hôtes infectées par des logiciels malveillants contrôlés par l’attaquant (botnet).

Contrairement aux attaques qui sont conçues pour permettre à l’attaquant d’obtenir ou d’augmenter l’accès, le déni de service ne procure pas d’avantages directs aux attaquants. La satisfaction du déni de service est une motivation pour certains. Cependant, si la ressource attaquée appartient à un concurrent, alors l’avantage pour l’attaquant peut être tout à fait réel. Mais souvent, l’objectif d’une attaque DoS est de mettre un système hors ligne pour qu’une autre attaque puisse être lancée simultanément. L’attaque DoS sert ainsi à masquer la véritable attaque qui se déroule en parallèle. Vous pourrez retrouver ce point dans un de mes précédents articles décrivant la chaîne cyber criminelle (cyber kill chain). Un exemple courant est le détournement de session, que je décrirai plus tard.

Pour tout savoir sur les attaques de type DoS et DDoS, vous pouvez également télécharger cet excellent document de l’ANSSI : Comprendre et anticiper les attaques DDoS.

Il existe différents types d’attaques DoS et DDoS ; les plus courantes sont l’attaque TCP SYN flood, teardrop attack, smurf attack, ping-of-death attack et l’utilisation des botnets.

Attaque TCP SYN Flood

Ici, les cyber-criminels exploitent l’espace tampon à l’initialisation d’une session TCP (Transmission Control Protocol). Le dispositif de l’attaquant inonde la petite file d’attente du système cible de demandes de connexion (SYN). Mais lorsque le système cible répond à ces demandes, le dispositif de l’attaquant ne réagit pas. Le système cible se trouve alors bloqué en attente de la réponse. En générant suffisamment de connexions incomplètes de ce type, il est possible de surcharger les ressources du système et ainsi de l’empêcher d’accepter de nouvelles requêtes, avec pour résultat un déni de service.

Contre-mesures possibles :

  • Placez les serveurs derrière un pare-feu configuré pour arrêter les paquets SYN entrants.
  • Augmentez la taille de la file d’attente de connexion et diminuez le délai de temporisation des connexions ouvertes.

Attaque Teardrop

Elle consiste à envoyer des paquets TCP qui se recouvrent en jouant sur le champ de fragmentation dans les paquets du protocole Internet séquentiel (IP) sur l’hôte attaqué. Le système attaqué tente de reconstruire les paquets pendant le processus mais il échoue. Le système cible devient alors désorienté et plante.

Contre-mesures possibles :

Appliquez les correctifs système pour vous protéger contre cette attaque DoS ou désactivez SMBv2 et bloquez les ports 139 et 445.

Attaque Smurf

Il s’agit là d’un ping flooding un peu particulier. C’est une attaque axée sur les réseaux. Ce procédé comporte deux étapes:

  • La première consiste à récupérer l’adresse IP de la cible par spoofing.
  • La seconde est d’envoyer un flux maximal de packets ICMP ECHO (ping) aux adresses de Broadcast. Chaque ping comportant l’adresse spoofée de l’ordinateur cible.

Si le routeur permet cela, il va transmettre le broadcast à tous les ordinateurs du réseau, qui vont répondre à l’ordinateur cible. La cible recevra donc un maximum de réponses au ping, saturant ainsi totalement sa bande passante… Bien entendu, plus de réseau comporte de machines et plus c’est efficace… Ce processus est répétable et peut être automatisé pour générer d’énormes d’encombrements du réseau.

Contre-mesures possibles :

Pour vous protéger contre ce genre d’attaque, vous devez désactiver les diffusions dirigées par IP sur les routeurs. Ceci empêchera ou limitera la demande de diffusion d’écho ICMP sur les périphériques réseau. Une autre option serait de configurer les systèmes finaux pour les empêcher de répondre aux paquets ICMP à partir d’adresses de diffusion. Vous pouvez également configurer le firewall pour filtrer les packets ICMP echo ou les limiter à un pourcentage de la bande passante.

Ping of death

Un ping a normalement une longueur maximale de 65535 ((2 exp 16) – 1) octets, incluant une entête de 20 octets. Un ping of death c’est un ping qui a une longueur de données supérieure à la taille maximale. Lors de son envoi, le ping of death est alors découpé en packets plus petits. L’ordinateur cible qui reçoit ces paquets doit les reconstruire. Il peut alors subir des débordements de tampon et d’autres plantages. Certains systèmes ne gèrent pas cette fragmentation, et se bloquent, ou crashent complètement. D’où le nom de cette attaque.

Contre-mesures possibles :

Pour commencer, mettez à jour votre OS. Puis effectuez un test avant que quelqu’un d’autre le fasse à votre place. Si le système réagit correctement, il n’y a pas de problème. Dans le cas contraire, les attaques Ping of death peuvent être bloquées en utilisant un pare-feu qui vérifiera la taille maximale des paquets IP fragmentés.

Botnets

Les botnets sont les millions de systèmes infectés par des logiciels malveillants sous le contrôle de cyber-criminels, afin d’effectuer des attaques DDoS. Ces robots ou systèmes zombies sont utilisés pour effectuer des attaques contre les systèmes cibles. De la sorte, ils submergent souvent la bande passante et les capacités de traitement du système cible. Ces attaques DDoS sont difficiles à retracer parce que les botnets sont situés dans des lieux géographiques différents.

Contre-mesures possibles :

Il est très difficile de se protéger contre les botnets. Par contre, on affaiblit les botnets grâce aux mesures suivantes :

  • Le filtrage RFC3704 empêchera le trafic en provenance d’adresses piratées et aidera à assurer la traçabilité du trafic jusqu’à son réseau source correct. Par exemple, le filtrage RFC3704 supprimera les paquets des adresses de liste bogon.
  • Le filtrage des trous noirs, qui élimine le trafic indésirable avant qu’il n’entre dans un réseau protégé. Lorsqu’une attaque DDoS est détectée, l’hôte BGP (Border Gateway Protocol) doit envoyer des mises à jour de routage aux routeurs des FAI afin qu’ils acheminent tout le trafic en direction des serveurs victimes vers une interface null0 au prochain saut.

2. Attaque de l’homme au milieu

On parle d’attaque de l’homme au milieu (Man in the Middle ou MitM) lorsqu’un pirate s’insère entre les communications d’un client et d’un serveur. C’est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l’internaute lambda. L’attaquant doit d’abord être capable d’observer et d’intercepter les messages d’une victime à l’autre. Les pirates interceptent les e-mails, l’historique de votre navigation sur Internet et les réseaux sociaux pour cibler vos données sécurisées et commettre des actes criminels.

attaque homme du milieu

Contrairement au phishing qui nécessite que vous baissiez votre garde involontairement et que vous ouvriez votre ligne de défense, une attaque dite de l’homme du milieu est une cyber-attaque passive. Elle se fait sans que vous en ayez conscience.

Elle affecte laussi bien es particuliers que les entreprises. Personne n’est à l’abri. En 2015, une importante opération menée par Europol a piégé 49 membres d’un groupe de cyber-criminels. Ils ciblaient des victimes à travers toute l’Europe. Leurs méthodes impliquaient l’utilisation de techniques de piratage informatique pour pénétrer des communications de confiance entre les entreprises et leurs clients. Une fois à l’intérieur, ils ont surveillé les communications et poussé les victimes peu méfiantes à transférer de l’argent sur leurs comptes bancaires.

Méthodes d’attaque

L’augmentation spectaculaire des bornes wifi gratuites et des connexions à haut débit a contribué à améliorer nos vies. Mais c’est aussi une aubaine pour les criminels qui veulent espionner ou intercepter vos activités en ligne.

Les voyageurs constituent une cible facile pour les cyber-criminels. Une méthode d’attaque classique consiste à créer sa propre connexion wifi. Imaginez que vous vous trouvez dans votre restaurant préféré. Vous configurez alors vos paramètres wifi pour vous connecter au réseau gratuit. Les réseaux disponibles listés sont-ils tous des réseaux wifi légitimes, ou certains appartiennent-ils à un pirate?

Cette question est primordiale. En effet, une fois que vous vous connectez à un faux réseau, le pirate obtient l’accès instantané à votre appareil. Il est très facile pour un pirate de créer des bornes wifi frauduleuses lui permettant d’avoir accès aux informations personnelles des personnes qui tentent de s’y connecter.

Détournement de messagerie

Le détournement de messagerie consiste à cibler des comptes de messagerie et à espionner des communications. Une fois infiltrés dans ce système fermé, les cyber-criminels peuvent envoyer de faux e-mails ou des imitations très réalistes. Généralement il s’agit de demande d’un transfert d’argent, de vos informations financières ou encore de vos mots de passe. Cela peut être particulièrement problématique lorsque les cibles sont des dirigeants d’une entreprise. Ils peuvent ainsi recevoir de faux e-mails semblant pourtant authentiques et leur demandant de transférer de l’argent.

Détournement de session

Le détournement de session est une attaque courante, où le pirate prend le contrôle des cookies de votre navigateur. Les cookies sont de petits morceaux de données qui stockent des renseignements sur les sites Web que vous visitez. Grâce à cet accès, le cyber-criminel peut voler tout un tas de données. Il peut s’agir de vos informations de connexion ou de vos informations personnelles saisies dans les formulaires en ligne.

Comment se protéger d’une attaque de type homme au milieu?

L’essentiel est de faire en sorte de naviguer en toute sécurité.

  • Cryptez le trafic entre le réseau et votre appareil à l’aide d’un logiciel de chiffrement de navigation. Vous pourrez ainsi repousser les éventuelles attaques dites de l’homme du milieu.
  • Vérifiez toujours la sécurisation des sites que vous visitez. La plupart des navigateurs affichent un symbole de cadenas à côté de l’URL lorsqu’un site Web est sécurisé. Si vous ne voyez pas ce symbole, vérifiez que l’adresse Web commence par « https ». Le « S » signifie « sécurisé » et garantit que vos données ne seront pas susceptibles d’être interceptées par des cyber-criminels.
  • Utilisez un pare-feu. C’est également un moyen fiable de protéger vos données de navigation. Sans être infaillible, un pare-feu fournit un degré de sécurité supplémentaire lorsque vous utilisez un réseau wifi public. Si vous naviguez souvent sur un réseau wifi public, configurez un réseau privé virtuel (VPN). Ce type de réseau protège votre trafic et complique la tâche des pirates qui voudrait l’intercepter.
  • Mettez vos logiciels de sécurité à jour. Les cyber-criminels ne cessent de s’adapter et de se perfectionner. Vous devriez donc en faire de même. En mettant à jour votre solution de sécurité, vous avez accès en permanence à des outils les plus actualisés. Et ils surveilleront votre activité en ligne pour une navigation sécurisée et agréable.

3. Phishing et Spear Phishing

L’hameçonnage (phishing) est la pratique consistant à envoyer des courriels qui semblent provenir de sources fiables. Le but est d’obtenir des renseignements personnels ou d’influencer les utilisateurs à faire quelque chose. Il combine l’ingénierie sociale et la supercherie technique. Cela peut prendre la forme d’une pièce jointe à un mail qui charge un logiciel malveillant sur votre ordinateur. Cela peut également être d’un lien vers un site Web illégitime qui peut vous amener à télécharger des logiciels malveillants ou à communiquer vos renseignements personnels. Pour une description détaillée, je vous invite à relire un de mes précédents articles : Phishing mode d’emploi.

L’hameçonnage au harpon (spear phishing) est un type particulier d’activité d’hameçonnage très ciblé. Les cyber-criminels prennent le temps de faire des recherches sur leurs cibles pour créer des messages personnels et pertinents. Pour cette raison, l’hameçonnage au harpon peut être très difficile à identifier et encore plus difficile à défendre. L’une des façons les plus simples qu’un pirate peut utiliser pour mener une attaque de harponnage est l’usurpation de courriels. Par exemple l’information dans la section « De » du courriel donne l’impression qu’elle provient de l’une de vos connaissances. Ce peut être votre direction ou un partenaire d’affaire. Les cyber-criminels utilisent souvent le clonage de site web pour donner de la crédibilité à leur histoire. Ils copient des sites Web légitimes pour vous tromper en fournissant des informations personnellement identifiables (IPI) ou des identifiants de connexion.

Comment vous protéger de l’hameçonnage ou de l’hameçonnage au harpon?

Pour réduire le risque d’être victime d’hameçonnage, je vous propose ces techniques simples :

  • Pensée critique – Ne considérez jamais un courriel comme fiable par défaut. Peut-être simplement êtes-vous occupé ou stressé ou avez-vous 150 autres messages non lus dans votre boîte de réception. Arrêtez-vous un instant et analysez soigneusement le courriel.
  • Survolez les liens – Déplacez votre souris sur le lien, mais ne cliquez surtout pas dessus ! Il suffit de laisser le curseur de votre souris sur le lien et de voir où il vous emmènerait réellement. Appliquer la pensée critique pour déchiffrer l’URL.
  • Analyse des en-têtes de courriel – Les en-têtes de courriel définissent comment un courriel est arrivé à votre adresse. Les paramètres « Reply-to » et « Return-Path » doivent conduire au même domaine que celui indiqué dans l’email.
  • Sandboxing – Vous pouvez tester le contenu des e-mails dans un environnement sandbox, en enregistrant l’activité à partir de l’ouverture de la pièce jointe ou en cliquant sur les liens à l’intérieur de l’e-mail.

4. Attaque par drive by download

Les attaques Drive by-download sont une méthode courante pour propager des logiciels malveillants. Les cyber-criminels recherchent les sites Web non sécurisés. Ils y implantent alors un script malveillant dans le code HTTP ou PHP sur l’une des pages. Ce script, invisible, peut installer des logiciels malveillants directement sur l’ordinateur d’une personne qui visite le site. Il peut aussi rediriger la victime vers un site contrôlé par les cyber-criminels. Les Drive by-download peuvent se produire lors de la visite d’un site Web ou de l’affichage d’un message électronique ou d’une fenêtre contextuelle.

Contrairement à de nombreux autres types d’attaques de cybersécurité, un drive-by ne nécessite pas qu’un utilisateur active l’attaque. Ainsi, même si vous n’avez pas cliqué sur un bouton ou ouvert une pièce jointe malveillante, vous pouvez être infecté. Un téléchargement par drive-by download peut profiter d’une application, d’un système d’exploitation ou d’un navigateur Web qui contenant des failles de sécurité dues à des mises à jour échouées, ou à l’absence de mises à jour.

Méthode d’attaque

Attaque de type drive by download
Crédit © Sophos

Une attaque de type drive by download se déroule en 5 étapes.

Le terme drive-by download décrit la manière avec laquelle les malwares infectent votre ordinateur, lors de la simple visite d’un site web qui utilise un code malveillant (l’étape 1 de la cyberattaque : le point d’entrée).

La plupart du temps, il s’agit de sites officiels, qui ont été corrompus et qui vous redirigent vers un autre site web sous le contrôle de hackers (l’étape 2 d’une attaque web la distribution).

Aujourd’hui, les cyber-criminels utilisent des malwares sophistiqués, disponibles sous la forme d’un kit d’exploit, et qui permettent de trouver une vulnérabilité au sein de votre logiciel parmi des milliers de possibilités.

Lorsque votre navigateur internet est redirigé vers le site web qui héberge un kit d’exploit, il examine votre système d’exploitation, votre navigateur internet et les autres logiciels (comme votre lecteur de PDF ou le lecteur vidéo). L’objectif est de trouver une faille de sécurité qu’il pourra exploiter (l’étape 3 de la cyber-attaque : l’exploit).

Lorsque le kit d’exploit a identifié une vulnérabilité, l’étape 4 d’une attaque web l’infection, peut commencer. Dans la phase d’infection d’une attaque web, le kit d’exploit télécharge le logiez malveillant qui s’installe alors sur votre ordinateur.

Pour finir, vient l’étape 5 d’une attaque webl’exécution. Lors de cette étape,  le logiciel malveillant fait ce pour quoi il a été conçu, à savoir rapporter de l’argent à son maître.

Par exemple, le malware connu sous le nom de Zbot (APT), peut avoir accès à vos emails et vos comptes bancaires. Un autre type de charge utile est appelée ransomware. Le logiciel malveillant prend en otage vos fichiers en les cryptant et vous demande de payer une rançon pour les récupérer.

Comment vous protéger contre une attaque de type drive-by?

Pour vous protéger contre les attaques par drive-by-download, vous devez tenir à jour vos navigateurs et systèmes d’exploitation. Evitez également  les sites Web qui pourraient contenir des codes malveillants. Tenez-vous-en aux sites que vous utilisez normalement – mais gardez à l’esprit que même ces sites peuvent être piratés. Ne conservez pas trop de programmes et d’applications inutiles sur votre machine. Plus vous avez de plug-ins, plus il y a de vulnérabilités exploitable par des attaques par drive-by-download.

5. Attaque par mot de passe

Méthode d’attaque

Les mots de passe sont le mécanisme le plus couramment utilisé pour authentifier les utilisateurs d’un système d’information. L’obtention de mots de passe est donc une approche d’attaque commune et efficace. Les cyber-criminels obtiennent l’accès au mot de passe d’une personne de multiples façon. Il  suffit souvent de regarder autour du bureau de la personne, de sniffer la connexion au réseau pour acquérir des mots de passe non cryptés, d’utiliser l’ingénierie sociale, d’accéder à une base de données de mots de passe ou de le deviner directement. La dernière approche peut se faire de manière aléatoire ou systématique :

  • Deviner un mot de passe par un passage en force brutal signifie essayer de nombreux mots de passe en espérant que l’un d’entre eux fonctionne. Les cyber-criminels appliquent alors une certaine logique en essayant des mots de passe liés au nom de la personne, à sa fonction, à ses loisirs, à ses proches ou à des éléments similaires.
  • Dans une attaque par dictionnaire, un dictionnaire de mots de passe communs est utilisé pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une approche consiste à copier un fichier crypté contenant les mots de passe, à appliquer le même cryptage à un dictionnaire de mots de passe couramment utilisés et à comparer les résultats.

Comment vous protéger?

Afin de vous protéger contre les attaques par dictionnaire ou par force brute, vous pouvez mettre en œuvre une politique de verrouillage de compte qui verrouillera le compte après quelques tentatives de mot de passe invalides.

Vous avez un témoignage ou un commentaire? Alors ne soyez pas timide et laissez-nous un commentaire. Plus il y a d’échanges sur ce sujet sensible et plus les gens seront informés et sensibilisés. N’oubliez pas : la probabilité de subir une cyber-attaque en 2019 est de 28%. Si cet article vous a plu, vous pouvez aussi nous laisser un « like » et vous abonner à notre blog.

Violations de données : un gouffre financier évitable?

Comme chaque année depuis 13 ans, IBM vient de publier son rapport sur les coût des violations de données. Cette année, le coût moyen des violations de données dans le monde est en hausse de 6,4% par rapport à l’année précédente. Il atteint désormais 3,86 millions de dollars (environ 3,4 millions d’euros). Le coût moyen de chaque enregistrement perdu ou volé contenant des informations sensibles et confidentielles a également augmenté de 4,8% par rapport à l’année dernière pour atteindre 148 $ (soit environ 130 euros). Ce sont des sommes considérables. Imaginez le coût de la violation de données qui a affecté les hôtels Marriott fin 2018. 500 millions d’enregistrements de données personnelles de clients ont été affectées!! 

Violations de données : un gouffre financier pour les entreprises
Crédit © rawpixel.com 2019

Dans cet article, je vous explique comment on évalue ces coûts et comment essayer de les réduire. Cela vous permettra également d’identifier les impacts auxquels vous devez vous attendre lorsque cela vous arrivera. Vous remarquez que je n’ai pas dit « si cela vous arrive ». En effet, cela vous arrivera à coup sûr. Voyons donc les enjeux de sécurité de l’information auxquels vous devez faire face…

Le temps c’est de l’argent

Beaucoup connaissent l’adage selon lequel «le temps, c’est de l’argent». C’est un conseil judicieux pour quiconque soumis à un stress persistant dans sa vie professionnelle (et personnelle). Cela s’applique également aux violations de données. L’étude 2018 sur le coût des violations de données, réalisée par IBM / Ponemon Institute, est un guide indispensable à l’intention des CISO (Responsables de la Sécurité de l’Information), des CPO (responsables de la protection de la vie privée), des DPO (responsables de la protection des données), des gestionnaires de risques et des consultants. Elle leur permet de mieux gérer leurs cyber-risques et les coûts concomitants en cas d’infraction aux réglementations (RGPD par exemple).

Le rapport souligne le coût élevé des violations de données. Dans le même temps, souvent, les responsables de la cybersécurité ignorent si ou quand de telles violations ont lieu dans leurs réseaux. Certains gardent la tête dans le sable et ne privilégient pas suffisamment la détection comme moyen de connaissance. Les réglementations récentes en matière de confidentialité exigent le signalement en temps voulu d’une violation de données lorsque le Responsable du Traitement en a connaissance. Cela peut peut-être amener certains à penser qu’éviter de connaître une violation est une bonne stratégie. Cela permettrait de réduire les coûts associés aux rapports.

Une mauvaise stratégie des entreprises

Hélas, cette «stratégie de l’autruche» n’est pas seulement imprudente et contraire à l’éthique. Elle est bien plus coûteuse pour les organisations. Elle peut même s’avérer catastrophique. Une détection plus rapide des violations de données peut réduire considérablement les pertes. N’oubliez jamais que les pirates de frappent pas d’un seul coup. Ils ont tout leur temps. Et plus vous tardez à réagir, plus ils auront de temps pour commettre des dégâts.

Si nous reprenons le cas de la violation de données qui a touché les hôtels Marriott. C’est le 19 Novembre 2018 que l’investigation a permis de déterminer qu’une violation avait eu lieu. Apparemment un outil avait déjà alerté sur un accès non autorisé dès le 8 septembre. Cela représente plus de 60 jours de délai. Mais cette attaque avait probablement démarré bien avant septembre 2018.

La chaîne cyber-criminelle peut prendre un temps extrêmement long. Je vous invite à bien la comprendre. Elle est décrite de façon détaillée dans un de mes articles récents sur les tests de pénétration.

Le coût stupéfiant des violations de données

En 2018, dans le monde, le coût moyen d’une violation de données hausse de 6,4% par rapport à l’année précédente. Il s’élève désormais à 3,86 millions de dollars (3,4 millions d’euros). Ces statistiques devraient être très préoccupantes. Et elles ne représentent que les coûts tangibles d’une violation. Ce montant ne prend notamment pas en compte les coûts des amendes réglementaires. Par conséquent, les chiffres figurant dans ce rapport doivent être considérés comme une limite basse. Les autres coûts potentiels comprennent les frais liés aux litiges, les amendes pour non-conformité réglementaire et les pertes de revenus dues aux clients qui quittent l’entreprise à la suite d’une violation. Les entreprises investissent massivement dans les produits de cybersécurité et les services professionnels. Alors, pourquoi le coût des violations de données ne diminue-t-il pas? La question mérite d’être posée.

Des moyens insuffisants mis en oeuvre

Chaque nouvelle réglementation relative à la protection des données personnelles appelle à prendre des «mesures de sécurité appropriées». C’est le cas notamment du règlement général européen sur la protection des données (RGPD) ou de la loi américaine sur la protection des renseignements personnels des consommateurs (CCPA). Les entreprises ne prennent en général ces mesures de sécurité de l’information que pour éviter des amendes dissuasives. Et par souci de facilité et d’économie, elles se limitent à s’appuyer sur des outils informatiques facilement accessibles.  C’est hélas très insuffisant. Elles ne mettent pas en oeuvre les actions nécessaires pour prévenir la violations résultant d’erreurs humaines. J’ai rarement vu des actions de formation de masse portant sur l’ensemble du personnel. C’est généralement considéré comme trop coûteux et trop lourd.

Des réglementations qui ne vont pas assez loin

L’aspect le plus frustrant de ces nouvelles réglementations est que la responsabilité des données incombe au responsable du traitement. Cela signifie qu’une organisation est responsable de la protection de ses données, peu importe avec qui les données sont partagées et comment les données sont traitées. Cela vaut également une fois qu’elles ne sont plus sous son contrôle. Les obligations contractuelles d’un fournisseur tiers de sécuriser les données une fois qu’il y a accès résultent du contrat entre le responsable du traitement et son sous-traitant.

Le RGPD, impose que de tels accords soient signés. Cependant, il place l’entière responsabilité sur l’organisation d’origine en tant que responsable des pertes de données. Les amendes encourues peuvent atteindre jusqu’à de 4% du chiffre d’affaires mondial annuel, ou 20 millions d’euros par violation. Alors, peut-être que les meilleures pratiques «raisonnables» ne suffisent pas. Peut-être que la technologie liée à la cybersécurité n’est pas utilisée pour s’attaquer au bon problème.

Meilleure détection et meilleure réponse

Le délai moyen moyen d’identification d’une violation est maintenant de 197 jours. Cela représente une légère amélioration par rapport à l’année précédente. Cependant ce délai reste beaucoup trop long. Imaginez-vous vivre avec un voleur chez vous qui dérobe tout ce qui a de la valeur pendant 197 jours? 197 jours pendant lesquels vous ne vous apercevez de rien?

Considérez le comportement typique des attaquants. Je l’ai décrit en détail dans mon précédent article « Tests de pénétration : nécessaires mais pas suffisants« . C’est ce qu’on appelle la chaîne cyber-criminelle.  Ils suivent une méthodologie éprouvée. Cela commence par la reconnaissance pour localiser leur cible et identifier les points d’entrée. Vient ensuite la première entrée (généralement par les utilisateurs du harponnage au sein de la cible choisie). Une fois qu’ils ont réussi à voler les informations d’identité d’un utilisateur légitime, ils s’installent pour établir le contrôle pendant de longues périodes. Ils se déplacent latéralement, recherchant d’autres informations d’identification, serveurs, journaux, fichiers et documents qu’ils souhaitent. Les documents et les données sont regroupés et exfiltrés à l’aide de protocoles courants. Ils utilisent aussi des sites tiers qui servent de serveurs de transfert à partir desquels ils peuvent télécharger leurs biens volés. Le fait d’avoir pris pied permet l’exfiltration de données à long terme à un rythme adapté à leurs besoins.

Et ce qui est le plus frappant, c’est que tout cela se déroule à l’insu de l’organisation cible.

L’utilisation de leurres est-elle efficace?

La plupart des approches de détection de fraude passent à côté de la cible en matière de détection précoce. Une variété de sociétés de technologie de détection de fraude vantent les réseaux de miel (honeynets en anglais) permettant une détection précoce. En gros, il s’agit de leurres qui vont agir comme des pièges à pirates. Je vous invite à consulter cet article sur le blog du hacker pour mieux comprendre leur fonctionnement. On installe les honeynets à côté de serveurs opérationnels. Et les attaquants ne seraient attirés par ces honeynets que s’ils y étaient conduits. On prend soin d’empêcher les utilisateurs ordinaires de se connecter à des réseaux de miel. Sinon, les fausses alarmes auraient un impact négatif sur les affaires. Et, au moment où un attaquant est tombé dans un leurre (en anglais honeypot), il aura déjà avoir effectué une recherche sur le réseau opérationnel et probablement déjà volé son butin. Malheureusement, cette approche est inefficace pour détecter et réagir aux violations de données.

Il existe également des technologies émergentes de capteurs qui offrent une meilleure solution. On les déploie directement dans l’environnement opérationnel. Par exemple, des capteurs de perte de données peuvent être générés automatiquement, des documents leurres hautement crédibles avec des balises incorporées placées de manière stratégique dans des dossiers, des répertoires ou des partages tiers afin d’inciter les pirates à les ouvrir et d’alerter les équipes de sécurité sur les violations à un stade précoce.

Des pistes pour améliorer la détection

L’absence de données de recherche réelles et à grande échelle sur le monde réel a empêché la mise au point de systèmes de détection d’intrusion (IDS) efficaces pouvant arrêter une attaque dès le début de son cycle de vie. La plupart des organisations confrontées à ce type d’attaques préfèrent ne pas les annoncer publiquement pour des raisons de responsabilité et de confidentialité.

Soixante-douze pour cent des incidents résultant des menaces internes (insiders en anglais) survenus dans les établissements sondés ont été traités en interne. Aucune action judiciaire ni intervention de la police n’est intervenue. Seulement 13% des incidents issus de menaces internes ont été traités en interne mais ont donné lieu à des poursuites judiciaires. L’annonce de telles attaques peut également avoir des conséquences sur les parts de marché d’une entreprise. Pour ces mêmes raisons, les victimes d’infractions sont encore moins susceptibles de partager des données réelles qui pourraient être utilisées pour étudier de telles attaques avec le monde de la recherche.

Les attaques de mascarade

Une attaque courante est la mascarade ou usurpation d’identité (en anglais, masquerade). Elle consiste à tromper les mécanismes d’authentification pour se faire passer pour un utilisateur autorisé, de façon à obtenir des droits d’accès illégitimes et ainsi compromettre la confidentialité, l’intégrité ou la disponibilité. Un cas particulier de d’usurpation d’identité consiste pour un attaquant à « forger » de fausses adresses d’origine pour les messages qu’il émet. Dans ce cas, nous parlons alors plus particulièrement de spoofing (littéralement, parodie) d’adresse. Ce déguisement est, par exemple, très facile à réaliser sur le réseau Internet, puisqu’il n’y a pas d’authentification sur les adresses IP.

L’étude des attaques par mascarade souffre également de la rareté des données réelles, malgré leur importance. Trente-cinq pour cent des dirigeants et des membres des autorités publiques ont vu leurs informations, systèmes et réseaux utilisés sans autorisation. Les attaques de mascarade se classent au deuxième rang des cinq principaux cyber-crimes perpétrés par des personnes extérieures, juste après les virus, les vers et autres vecteurs d’attaque malveillants.

L’expérience de la DARPA

L’essentiel de cette expérience est le suivant. Les imposteurs, tout comme les voleurs qui s’introduisent dans une maison, doivent collecter des informations sur l’environnement dans lequel ils viennent d’entrer. Ils doivent en savoir plus sur leur domicile, rechercher des objets de valeur à voler et empaqueter des données pour les exfiltrer. Cette activité précoce est essentielle pour détecter leur activité néfaste. Par conséquent, le fait de placer les capteurs qui agissent comme des fils de déclenchement dans les dossiers et les répertoires les plus susceptibles d’être recherchés dans le cadre d’une attaque sert de mécanisme de détection.

L’efficacité de l’utilisation de capteurs intégrés dans des documents comme moyen de détecter la perte de données a été prouvée par une étude scientifique parrainée par la DARPA. L’étude a mesuré les vrais et faux positifs et les vrais négatifs. Dans le cadre de l’étude, 39 imposteurs individuels, tous sélectionnés pour leur connaissance approfondie et sophistiquée de l’informatique et des systèmes en général, ont été autorisés à accéder à un système comme s’ils avaient déjà réussi à voler les références nécessaires. Les imposteurs ont ensuite été informés que leur travail consistait à voler des informations sensibles dans le système en exploitant les informations d’identification qui leur étaient fournies. L’étude a suivi une méthodologie prescrite et statistiquement valide selon laquelle les imposteurs étaient informés du type d’informations à voler, mais non de la manière de les voler. Ils ont été laissés à eux-mêmes pour trouver et exfiltrer leur butin.

Dans cette étude, l’utilisation stratégique de capteurs pour détecter le moment où les documents ont été consultés a permis:

  • de détecter 98% des imposteurs
  • la génération d’un seul faux positif par semaine d’opération
  • de réussir la détection dans les 10 minutes.

Conclusion

La détection précoce d’un accès non autorisé à des données sensibles, telle que celle décrite dans cette étude de la DARPA, peut permettre aux organisations de ne pas souffrir du coût d’une violation. Il y a 28% de chances qu’une entreprise subisse une violation dans les deux prochaines années. Cela peut entraîner une perte de 3,6 millions USD basée sur le coût moyen d’une violation de données. En utilisant ces chiffres comme point de repère, la détection d’une violation dans les 30 jours ou moins (au lieu de la moyenne de 197 jours) permet à l’entreprise d’économiser un million de dollars en coûts. La plupart des entreprises s’appuient déjà sur des capteurs de réseau et de points d’accès pour collecter des données de sécurité critiques. Pourquoi ne pas utiliser des capteurs à la source des données?

Si le temps de détection est essentiel pour permettre aux entreprises de réaliser des économies substantielles, le secteur de la sécurité doit examiner de nouvelles technologies et approches pour améliorer cette mesure. L’utilisation de capteurs de perte de données est une méthode éprouvée pour attraper rapidement les imposteurs dès le début d’une attaque.

Les violations de données représentent un gouffre financier pour les entreprises. Cependant, ce n’est pas inévitable. Des solutions existent pour réduire les impacts. Encore faut-il que les dirigeants comprennent l’ampleur du phénomène et évaluent correctement les risques.

Vous êtes tous et toutes concerné(e)s puisqu’un quart d’entre vous serez potentiellement affectés dans les deux ans qui viennent. Alors, n’hésitez pas à réagir et à donner votre avis au travers de vos commentaires.

 

Tests de pénétration : nécessaires mais pas suffisants

Trop souvent, lors de mes missions dans différentes parties du monde, je fais face à des idées fondamentalement erronées sur l’objectif d’un test de pénétration. Et malheureusement, ces incompréhensions peuvent mener à des catastrophes en termes de  création de valeur. Dans cet article, j’explore certains des comportements courants que j’ai pu constater vis à vis des pentests. Ils conduisent le plus souvent à une absence de retour sur investissement, faute d’être correctement utilisés. Et, hélas, ils aboutissent systématiquement à une augmentation des risques business due à un faux sentiment de sécurité.

Cybersécurité - Les tests de pénétration sont indispensables mais insuffisants
Crédit : © rawpixel.com 2018

Si vous êtes un lecteur régulier de ce blog, vous savez que j’aborde régulièrement des sujets relatifs à la cybersécurité. Mes articles s’appuient souvent sur des référentiels, des normes ou des réglementations. Aujourd’hui, je vous propose un sujet un peu différent. On entend de plus en plus parler de tests de pénétration (ou pentests) des systèmes d’information. On parle également souvent de tests d’intrusion. Mais à quoi cela sert-il vraiment? Est-ce vraiment utile? Et si vous réalisez ce type de test, cela vous garantit-il que votre système informatique est vraiment sécurisé? Je vais essayer de répondre à toutes ces questions et vous démontrer l’utilité de ces tests de sécurité. Je vais aussi vous démontrer qu’ils ne constituent qu’un des éléments de la chaîne, parmi beaucoup d’autres. En d’autres termes, je vais vous expliquer pourquoi les tests de pénétration sont indispensables mais totalement insuffisants.

En quoi consiste la chaîne cyber-criminelle (« Cyber Kill Chain »)?

Il est important de connaître les étapes qu’un cybercriminel va suivre pour attaquer votre entreprise / service. Le terme «chaîne cyber-criminelle» a été adopté pour exprimer l’ensemble de ces étapes.

Pour mieux comprendre l’intérêt des tests de pénétration, il faut d’abord comprendre ce qu’on appelle la chaîne cyber-criminelle (« Cyber Kill « Chain’). En fait il s’agit de comprendre comment se déroule une cyber-attaque de façon générale.

A l’origine, c’est l’armée qui utilisait le terme de « chaîne de destruction ». Cette « chaîne » définit les étapes que l’ennemi utilise pour attaquer une cible. En 2011, Lockheed Martin a publié un document définissant une «chaîne cyber-criminelle». Ce document, similaire à celui de l’armée, définit les étapes suivies par les hackers dans les cyber-attaques d’aujourd’hui. Et c’est en comprenant chacune de ces étapes que les défenseurs peuvent mieux identifier et bloquer les attaques.

Chaîne cyber-criminelle selon Lockheed Martin
© Lockheed Martin 2011

La chaîne cyber-criminelle, telle que décrite dans le document de Lockheed Martin se compose de 7 étapes.

Une variante, définie par Varonis, rajoute une étape supplémentaire : l’exfiltration. C’est une étape qui apparaît nécessaire. En effet, un pirate ne commet jamais une attaque sans avoir une stratégie de sortie.

Chaîne cyber-criminelle ver. 2 ou les étapes suivies par les cybercriminels
© Varonis 2016

Voici la description détaillée de chacune des étapes d’une chaîne cyber-criminelle (le chemin suivi pour attaquer une cible) :

1. Reconnaissance

Tout « casse » réussi commence toujours par une mission de repérage des lieux. Le même principe s’applique dans le cas d’une cyber-attaque. La phase de reconnaissance constitue la phase préliminaire de toute attaque. Il s’agit de la mission de recueil d’informations. Le cybercriminel recherche alors les indications susceptibles de révéler les vulnérabilités et les points faibles de votre système. Les pare-feu, les dispositifs de prévention des intrusions, les périmètres de sécurité (et même les comptes de médias sociaux) font l’objet de reconnaissance et d’examen minutieux. Les outils de repérage analysent les réseaux des entreprises pour y trouver des points d’entrée et des vulnérabilités à exploiter.

2. Intrusion

Après avoir obtenu ces renseignements, il est temps de s’infiltrer dans le système. Le cybercriminels est maintenant juste derrière la porte. Il est prêt à agir. Il doit encore, cependant, piéger les lieux pour faciliter son attaque. L’intrusion constitue le moment où l’attaque devient active. Les logiciels malveillants (y compris les ransomware, spyware et adware) peuvent être envoyés vers le système pour en forcer l’entrée. C’est la phase de livraison. Elle peut s’effectuer par e-mail de phishing ou prendre la forme d’un site Web compromis. Elle peut aussi venir du sympathique café au coin de la rue avec sa liaison WiFi non sécurisée, facile à utiliser par les pirates. L’intrusion constitue le point d’entrée d’une attaque. C’est le moment où les agresseurs pénètrent dans la place.

3. Exploitation

Le hacker se trouve de l’autre côté de la porte et le périmètre est désormais violé. La phase d’exploitation d’une attaque exploite les failles du système. Les cybercriminels peuvent désormais entrer dans le système, installer des outils supplémentaires, modifier les certificats de sécurité et créer de nouveaux scripts à des fins nuisibles.

4. Escalade de privilèges

Quel intérêt y aurait-t-il à entrer dans un bâtiment si vous restez coincé à la réception? Vous devez absolument pénétrer le coeur du bâtiment pour y trouver les secrets les plus intéressants. C’est ce que font les cybercriminels en utilisant l’escalade de privilèges. Ils vont ainsi pouvoir obtenir des autorisations élevées d’accès aux ressources. Ils modifient les paramètres de sécurité des GPO, les fichiers de configuration, les permissions et essaient ensuite d’extraire des informations d’identification.

5. Mouvement latéral

Vous avez maintenant carte blanche. Il vous reste cependant à trouver la chambre forte où sont protégées les informations les plus précieuses. Les cybercriminels se déplacent de système en système, de manière latérale, afin d’obtenir d’autres accès et de trouver toujours plus de ressources. C’est également une mission avancée d’exploration des données. Au cours de cette mission, les cybercriminels recherchent des données critiques et des informations sensibles, des accès administrateur et des serveurs de messagerie. Ils utilisent souvent les mêmes ressources que le service informatique de l’entreprise. Ils tirent également parti d’outils intégrés tels que PowerShell et se positionnent de manière à causer le plus de dégâts possible.

6. Camouflage

C’est bon, vous êtes arrivés au bon endroit. Encore faut-il vous assurer que vous n’allez pas vous faire repérer. Mettez les caméras de sécurité en boucle et montrez un ascenseur vide. Ainsi, personne ne verra ce qui se déroule en coulisses. Les hackers font exactement la même chose. Ils masquent leur présence et leur activité pour éviter toute détection et déjouer les investigations. Cela peut prendre la forme de fichiers et de métadonnées effacés, de données écrasées au moyen de fausses valeurs d’horodatage (timestamps) et d’informations trompeuses. Ou encore cela peut se faire sous forme d’informations critiques modifiées pour que les données semblent ne pas avoir été touchées.

7. Déni de service

Bloquez les lignes téléphoniques et coupez le courant. C’est la phase au cours de laquelle les cybercriminels ciblent le réseau et l’infrastructure de données. Leur objectif est d’empêcher que les utilisateurs légitimes puissent accéder à ce dont ils ont besoin. L’attaque par déni de service (DoS) perturbe et interrompt les accès. Elle peut entraîner la panne des systèmes et saturer les services.

 8. Exfiltration

Vous devez toujours prévoir une stratégie de sortie. Vous avez obtenu ce que vous étiez venu chercher. Il serait idiot de rester là à attendre d’être découvert et arrêté par la police. Vous devez maintenant sortir votre butin pour pouvoir en tirer profit. Les cybercriminels obtiennent les données. Ils copient, transfèrent ou déplacent les données sensibles vers un emplacement sous leur contrôle. Ils pourront ensuite en faire ce qu’ils veulent : les rendre contre une rançon, les vendre sur internet ou sur le Dark Web par exemple. Sortir toutes les données peut prendre des jours entiers. Mais une fois qu’elles se trouvent à l’extérieur, elles sont sous le contrôle des cybercriminels.

N’oubliez pas que les attaquants disposent d’un temps considérable (potentiellement illimité). Ils disposent également d’une étendue totalement libre au niveau des vecteurs d’attaque. Rien n’est interdit! Ils ne se limiteront pas toujours à une seule méthode et les voies d’attaque couvriront tous les chemins possibles entre vos données et la position de l’attaquant (y compris les serveurs / services et les points finaux n’appartenant pas à votre entreprise). Les attaques peuvent être continues et ne se dérouleront probablement pas durant les heures de travail de votre organisation.

Qu’en est-il des tests de pénétration?

Examinez maintenant les phases d’un test de pénétration. Celles-ci (bien qu’elles puissent sembler quelque peu similaires) sont souvent très différentes :

1. Sélection du prestataire

Les entreprises choisissent un fournisseur sur le marché. Ils se concentrent le plus souvent sur la liste de ses badges de certification et les coûts plutôt que sur la méthode de test utilisée.

2. Définition du périmètre du test

Une réunion de cadrage est organisée au cours de laquelle le client et le fournisseur discutent des exigences. Sur la base de cette réunion, le fournisseur élabore une proposition. Un périmètre spécifique sera sélectionné, qui inclura et exclura des scénarios et des types de tests. Il pourra s’agir de tests de type black box, grey box ou white box, à l’aveugle, internes ou externes, …

3. Planification

Une fois les contrats conclus, le test sera planifié, les prérequis activés et les délais convenus.

4. Réalisation du test

Les tests seront effectués (souvent sur quelques jours) en fonction de la méthode de test du fournisseur. Il peut s’agir d’un balayage automatisé utilisant un produit tel que Nessus . Idéalement, ce sera une combinaison de tests automatisés et manuels couvrant l’ensemble du spectre du service testé. Cependant il s’agit le plus souvent d’un ensemble limité de tests

5. Fourniture d’un rapport

Une fois le test d’intrusion terminé, l’étape finale consiste à collecter les preuves des vulnérabilités exploitées et à les signaler à la direction. C’est elle qui les examine et prendra les mesures qui s’imposent. C’est maintenant à la haute direction de décider de la manière dont ce risque doit être traité. Ils choisiront d’accepter le risque, de le transférer, de le réduire ou de l’ignorer (option la moins probable). Un rapport formel sera fourni au client. Celui-ci se présente le plus souvent sous la forme d’un agencement de style feux de signalisation décrivant les risques critiques, élevés, moyens, faibles ou négligeables. Le rapport inclut souvent également des recommandations de mesures correctives afin de réduire les risques identifiés.

6. Suivi

Après la soumission du rapport de test d’intrusion, le client doit l’examiner avec les parties prenantes concernées. Il doit ensuite ajuster les contrôles de sécurité en conséquence. Cela nécessitera probablement un effort de collaboration entre plusieurs fonctions, services, équipes et moyens. Ce suivi sera normalement réalisé sous la direction du CISO. L’objectif clé ici devrait être de permettre aux équipes de réduire le risque d’un service spécifique. Cependant il ne faut pas en rester là. Il convient également de jouer sur l’amélioration continue du processus de développement du cycle de vie logiciel/service afin d’améliorer la posture de sécurité et la robustesse tout au long du cycle de vie.

Les problèmes en amont des tests de pénétration

Les six phases de test de pénétration que j’ai décrites ci-dessus peuvent sembler relativement simples. Hélas les choses peuvent mal se passer. Et c’est malheureusement souvent ce qui se produit. Les quatre scénarios suivants sont des scénarios que je vois malheureusement maintes et maintes fois. Et, même avant le début des tests, ils contribuent à détruire tout le bénéfice de l’opération. Cette liste n’est pas exhaustive, alors n’hésitez pas à commenter ci-dessous (je suis sûr que vous avez d’autres exemples concrets).

  • Les tests de pénétration ne sont effectués que sur un périmètre très réduit. Par exemple un test de type boîte noire est réalisé à partir d’une adresse IP spécifique par rapport à une cible spécifique, d’une manière limitée.
  • La sélection du prestataire du test d’intrusion est effectuée sur la seule base du coût.
  • La portée des tests ne représente pas un nombre suffisant de vecteurs d’attaque par rapport à ce que les cybercriminels utiliseront dans le monde réel.
  • Les tests sont limités aux environnements de «test» uniquement, car l’entreprise craint que le business ou un service ne soit affecté si un test produisait un résultat «destructeur» sur les systèmes en production.

Les problèmes en aval du test d’intrusion

En plus de ce qui précède:

  • Les résultats des tests de pénétration restent extrêmement secrets. Bien sûr, ils sont sensibles, mais les méchants vous sondent déjà. Et ils connaissent probablement déjà les faiblesses de votre système.
  • Souvent, les résultats ne sont pas utilisés pour aider les équipes concernées (équipe bleue, opérations informatiques, développeurs, centre de services et architectes) à apprendre non seulement à atténuer les attaques spécifiques, mais également à améliorer leurs pratiques pour réduire le nombre de vulnérabilités créées.

Alors, que faut-il faire?

Vous liez ceci et vous pensez que rien de tout cela ne se peut se produire dans votre organisation? Alors j’en suis vraiment très heureux pour vous. Mais hélas, j’ai beaucoup de mal à vous croire. Cependant, je soupçonne que beaucoup d’entre vous, tout comme moi, hocherez la tête et grinceront un peu des dents en vous rappelant la valeur limitée des activités réalisées lors du dernier test d’intrusion.

Lors de la conception et de l’exploitation des services, il est essentiel que les activités de test et d’assurance de la sécurité se déroulent selon un cycle continu qui améliore à la fois la sécurité et la création de valeur. Les rapports sur les étagères, ou des listes des case de conformité à cocher ou encore des tests menés à un moment précis, n’apportent que peu de valeur ajoutée. Cela ne contribue pas efficacement à la réduction des risques pour l’entreprise.

La détection et la correction des vulnérabilités de sécurité sont beaucoup moins stressantes et coûteuses si elles sont traitées dès les premières étapes du cycle de vie. De plus la connaissance des outils et des méthodes à déployer avant de réaliser une revue de sécurité vous évitera de nombreuses nuits blanches si vous commencez très tôt et faites des évaluations en continu.

Conclusion

Les tests de pénétration ont définitivement un rôle à jouer pour sécuriser et garantir les services. Cependant, n’oubliez pas qu’il ne s’agit que d’un composant de la solution et non de la solution complète. Les autres activités importantes à réaliser comprennent notamment :

  • Conception sécurisée,
  • Gestion des actifs,
  • Modélisation des menaces,
  • Évaluation des risques,
  • Revues de code,
  • Audits et examens des services,
  • Évaluation des vulnérabilités,
  • Analyse de code (statique et dynamique),
  • Renforcement de la sécurité,
  • Gestion des correctifs de sécurité,
  • Exploitation sécurisée,
  • Simulation d’attaques,
  • et bien d’autres encore…

Espérons que cet article vous amène à réfléchir à l’objectif des tests de pénétration. Cela devrait être l’amélioration de l’apprentissage et de la posture de la sécurité. Les tests de pénétration  se doivent de jouer un rôle général dans la planification, la conception, la construction et l’exploitation de services sécurisés. Ainsi, non seulement vous réduirez les risques pour l’entreprise mais aussi vous offrirez de la valeur à votre client!

N’hésitez pas à commenter cet article pour échanger vos expériences. C’est sur la base d’une discussion avec et entre nos lecteurs que nous pouvons mieux répondre à vos attentes. Alors, n’attendez pas. Ne soyez pas timide et osez poster un commentaire.

 

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

SMSI certifié ISO 27001 vs conformité RGPD

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.

ISO 27001 : un SMSI certifiés est-il la solution pour la conformité RGPD?
Crédit © Adobe Stock

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité. De même, tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est une norme très détaillée en la matière. Le RGPD est une réglementation Européenne. Il faut d’ailleurs noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question : « Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI ? ».

Les similarités entre ISO 27001 et le RGPD

Le RGPD est un cadre beaucoup plus large avec une couverture plus fondamentale de la sécurité et de la confidentialité des données. Toutefois il est nécessaire de bien comprendre les similarités et les différences entre les deux standards pour savoir si un SMSI certifié ISO 27001 peut avoir une utilité pour passer les audits de conformité au RGPD.

Les deux cadres ont beaucoup de points communs.

Confidentialité, intégrité et disponibilité des données

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De façon similaire, plusieurs mesures de sécurité dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de sécurité. La clause 6 leur impose de déterminer leurs objectifs de sécurité des TI et de créer un programme ad hoc. Enfin, La clause 8 définit les exigences pour la maintenance et l’amélioration continue de leur programme de sécurité . Elle leur impose de documenter ce dernier pour démontrer leur conformité.

Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données personnelles. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque. C’est le cas notamment pour les données sensibles.

ISO 27001 impose également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les  vulnérabilité pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de sécurité appropriées (clause 6.1.3).

Gestion des parties intéressées

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

Notification des failles de sécurité

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de sécurité de données personnelles. Les personnes concernées doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des personnes concernées ».

La mesure de sécurité A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité. Cependant,  elle stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à permettre une action corrective rapide.

Protection des informations par défaut et dès la conception

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début du projet (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut. Ceci signifie qu’elle doivent s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »). Il s’agit en fait du principe de minimisation des données.

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent. La clause 6 impose qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

Conservation des enregistrements

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement. Ceci inclut la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité. Elles doivent aussi documenter les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

ISO 27001 et RGPD : est-ce la même chose?

Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il existe des différences importantes entre les deux cadres. Le RGPD est une réglementation européenne à laquelle doit se conformer toute organisation publique ou privée. C’est un cadre global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent protéger les données personnelles. ISO 27001 est une norme et les organisation peuvent, à leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centrées sur la sécurité des informations.

Les différences entre ISO 27001 et le RGPD

La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux liés à la confidentialité des données personnelles (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des personnes concernées ») :

  • Consentement : les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement compréhensible. De plus, la finalité du traitement des données doit être clairement décrit. Les personnes concernées ont également le droit d’annuler leur consentement à tout moment.
  • Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre responsable de traitement sans entrave à l’utilisation.
  • Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
  • Le Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
  • Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
  • Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantisse pas la conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.

RGPD – La CNIL ordonne l’effacement de 14 millions d’enregistrements

La société SINGLESPOT produit une solution technique permettant aux développeurs d’applications mobiles de monétiser leur applications grâce à de la publicité ciblée. Le 26 Mai 2018, dans le cadre du RGPD (GDPR), cette société est l’objet d’un contrôle par la CNIL. Celle-ci met alors en demeure SINGLESPOT d’effacer 14 millions d’enregistrements de données personnelles.

RGPD / GDPR : La CNIL met SINGLESPOT en demeure d'effacer 14 millions d'enregistrements de données personnelles
Crédit © rawpixel 2018

C’est le premier contrôle de la CNIL réalisé depuis l’entrée en vigueur des sanctions prévues par le RGPD. Mais Singlespot est la troisième start-up du secteur du marketing mobile à être mise en demeure par la CNIL cette année. Celle-ci souhaite informer le public sur l’utilisation de technologies s’appuyant sur la géolocalisation des téléphones portables.

Les grands groupes ne sont pas les seuls concernés par la protection des données personnelles. Près de cinq mois après l’entrée en vigueur du RGPD, les start-ups sont, elles aussi, surveillées de près par la CNIL. « Les entreprises sont toutes concernées, à partir du moment où elles gèrent une quantité importante de données », rappelle Mathias Moulin, directeur de la protection des droits et des sanctions à la CNIL.

Après Teemo et Fidzup, Singlespot est la troisième start-up utilisant des données de géolocalisation à des fins publicitaires à être mise en demeure par la CNIL. Alors que la procédure liée à Teemo a été clôturée, celle liée à Fidzup est toujours en cours. De son côté, Singlespot dispose de trois mois, à compter du 23 octobre, pour se mettre en conformité avec le RGPD. A défaut, la société s’expose à des sanctions financières importantes.

Pourquoi rendre public le cas de Singlespot?

Nul doute que ce n’est pas la seule organisation à avoir été contrôlée par la CNIL depuis le 25 Mai 2018. Pourtant toutes les infractions, pas plus que toutes les mises en demeure ne sont pas rendue publiques.

La délibération du bureau de la CNIL, datée du 18 octobre 2018 explique clairement les raisons de cette publicité. Le bureau estime que la publicité de la décision de mise en demeure se justifie par les caractéristiques des manquements. Alors quels sont ces manquements si graves qui justifient cette décision?

Les constats effectués par la CNIL

La société SINGLESPOT s’appuie sur une technologie dénommée SDK afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes.

À l’occasion de ses investigations, la CNIL a constaté que la société collecte des données de géolocalisation. Et elle le fait sans recueillir le consentement des personnes. Un tel traitement constitue, de fait, un risque particulier au regard de la vie privée. En effet, il révèle les déplacements des personnes et leurs habitudes de vie.

Le bureau de la CNIL indique également que le nombre massif de personnes susceptibles d’être impactées par le traitement mis en œuvre par la société SINGLESPOT constitue une justification pour la publicité de cette décision. En effet, le SDK est intégré à des dizaines d’applications mobiles et une partie importante de la population possède un smartphone. À cet égard, le bureau relève que le SDK installé sur les applications collecte les données de géolocalisation des personnes environ toutes les cinq minutes. De plus, il a été constaté par la délégation de la CNIL que plus de 5 millions d’identifiants avaient été collectées par la société.

Les raisons profondes de cette publicité

Le bureau estime, que, vu la gravité des faits constatés, il est du devoir de la CNIL de mettre les personnes concernées en mesure de conserver le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par la société SINGLESPOT.

Enfin, la CNIL dont on connaît le manque de moyens, souhaite sensibiliser les professionnels du secteur. Cette sensibilisation est d’autant plus importante que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. De plus, l’utilisation de tels mécanismes s’inscrit dans un écosystème faisant intervenir plusieurs acteurs. Il s’agit en particulier des éditeurs d’applications mobiles et des clients annonceurs. Il est donc essentiel de les alerter sur les enjeux de la protection des données personnelles des clients.

Le bureau de la CNIL rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisation se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Les faits constatés par la CNIL

L’activité de l’entreprise

La mise en demeure adressée par la CNIL à la société SINGLESPOT révèle le détail des faits constatés lors des investigations.

La particularité de la solution technique mise en place, du point de vue RGPD, tient à ce que la société établit des profils de consommateurs géolocalisés. Elle peut ainsi suivre les utilisateurs au long de leurs déplacements et leur proposer des publicités en fonction de leur localisation. “Sont ainsi, par exemple, ciblés les mobinautes s’étant rendus dans des magasins concurrents et ceux ayant visité le magasin d’un client au cours des 15 derniers jours”.

Les données collectées étaient les suivantes : l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé (ANDROID ou IOS). Ces données étaient ensuite croisées avec des points d’intérêts, déterminés par les annonceurs (ex: boutiques concurrentes) afin de qualifier le profil de l’utilisateur pour le ciblage publicitaire souhaité.

Le constat réalisé par la CNIL

La délégation de la CNIL a pu constater que la collecte des données de géolocalisation des personnes était opérée :

  • tous les 200 mètres pour les applications installées sur le système d’exploitation IOS ;
  • toutes les cinq minutes sur le système d’exploitation Android.

Les données des utilisateurs étaient transmises à la société SINGLESPOT sans que les personnes n’en soit spécifiquement informées et sans que leur consentement ne soit recueilli pour cette transmission.

Au terme du contrôle effectué, la CNIL constatait que plus de 14 millions d’identifiants publicitaires étaient présents dans les bases de données de SINGLESPOT, dont plus de 5 millions associés à des données de géolocalisation. Il s’agit là d’un identifiant unique lié au téléphone mobile des personnes ayant utilisé les applications des éditeurs partenaires de l’entreprise.

La CNIL notait également que les données de géolocalisation des personnes étaient collectées et conservées dans les bases de données de la société, même lorsque les utilisateurs étaient situés en dehors des points d’intérêts géographiques déterminés. De pus la durée de conservation par Singlespot atteignait treize mois à compter de la date de la collecte.

La non conformité au RGPD

Du point de vue du RGPD nous sommes apparemment face à un traitement dit de “profilage”. Le profilage est défini par l’article 4.4 du RGPD comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”.

Or, on le sait, la CNIL est particulièrement sensible à ce type de traitement.

D’un point de vue juridique, on voit quatre problèmes se profiler. La CNIL les a évidemment relevés :

  • une collecte de données personnelles sans information préalable et sans consentement
  • une violation probable des principes de loyauté et de transparence (art. 5.1.a)
  • la violation probable du principe de minimisation (art. 5.1.c)
  • une interrogation quant à la base légale sur laquelle repose le traitement (consentement ?).

Les manquements relevés par la CNIL

Lors de son contrôle, la CNIL a relevé plusieurs manquements aux dispositions légales sur la base du RGPD :

  • Un manquement à l’obligation de disposer d’une base légale pour la mise en œuvre du traitement. L’entreprise affirmait que les opérations de ciblage étaient basées sur le consentement des personnes. Or la CNIL a relevé “qu’au moment de l’installation des applications contrôlées, les personnes ne sont pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire”
  • Le non-respect de l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement. Il s’agit là, en fait, du principe de minimisation du RGPD. A ce titre, la CNIL mentionne à juste titre : “la Commission considère que l’utilisation des dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans l’espace public que dans des lieux privés. Ainsi, la CNIL estime que les données de géolocalisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géolocalisation”
  • Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données. En fait, le mot de passe administrateur consistait en un mot de passe de 16 caractères composé uniquement de trois types caractères différents (majuscules, minuscules et chiffres). Ceci contrevenait à la charte de sécurité de l’entreprise. Celle-ci préconisait un mot de passe de 10 caractères minimum composé de majuscules, minuscules, chiffres et caractères spéciaux. La CNIL relève également une utilisation non conforme des données utilisateurs des bases de données de production. En effet, celles-ci étaient utilisées dans les environnements de développement. Cette utilisation viole ainsi le principe de confidentialité

Le dernier manquement concernant la sécurité informatique relevé par la CNIL. Il semble ressortir des faits que l’entreprise développait ses applications directement dans des environnements de production. Cette pratique représente un risque majeur en matière d’intégrité des données des personnes concernées. Ce risque bien se rajouter à celui qui pèse sur la confidentialité.

Le contenu de la mise en demeure adressée par la CNIL

En conséquence, la société SINGLESPOT a été mise en demeure sous un délai de trois (3) mois à compter de la notification de la décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

  • ne pas procéder sans base légale au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire, en particulier recueillir, de manière effective, le consentement préalable des utilisateurs des applications éditées par les partenaires de la société SINGLESPOT au traitement de leurs données par cette dernière (par exemple par la mise en place d’un pop-up contenant une information et une case à cocher dédiées ou un bouton de refus) et à défaut, supprimer lesdites données collectées ;
  • sous réserve de base légale du traitement, définir et mettre en œuvre une politique de durée de conservation des données raisonnable, en particulier :
  • supprimer les données de géolocalisation des utilisateurs collectées en dehors des zones de POIs une fois la correspondance entre les données de géolocalisation et les zones de POIS effectuée ;
  • définir une durée de conservation des données de géolocalisation proportionnée à la finalité du traitement et procéder à la purge ou, le cas échéant, à l’anonymisation des données anciennes ;
  • prendre toute mesure nécessaire pour garantir la sécurité des données à caractère personnel des utilisateurs, notamment en mettant en place une politique contraignante relative aux mots de passe utilisés par les comptes accédant aux bases de données ou aux plateformes d’administration de ces bases, respectant l’une des modalités suivantes :
    • les mots de passe sont composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ;
    • les mots de passe sont composés d’au moins 8 caractères, contenant 3 des 4 catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) et s’accompagnent d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs, (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses (au maximum 10).
  • un stockage des mots de passe sous une forme hachée (par exemple, à l’aide de l’algorithme SHA256 avec l’utilisation d’un sel) ;
    • en mettant en place une politique de séparation entre les environnements de tests de développement (ou de recette) et les environnements de production.
  • justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société SINGLESPOT s’est conformée à la mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société SINGLESPOT ne s’est pas conformée à la mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par la loi.

Les conséquences potentielles

Rappelons qu’en application des articles 121-2, 131-37, 131-38 et 226-17 du Code pénal combiné le fait, pour une personne morale, de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 était puni d’une amende de 1 500 000 euros. Avec la mise en application du RGPD, les sanctions se sont nettement alourdies. La société risque maintenant une amende allant jusqu’à 4% de son CA mondial avec un minimum de 20 millions d’euros.

Cyber-risques : technologies émergentes et vie privée

De nouveaux cyber-risques apparaissent au fur et à mesure que des technologies émergentes arrivent sur le marché. Dans de nombreux cas les données privées sont menacées. La protection de la vie privée des individus, malgré le RGPD, est de plus en plus mise en défaut. Y a-t-il des solutions? Quelles sont les responsabilités?

Cyber-risques : Technologies émergentes (objets connectés, IoT) et protection des données personnelles et de la vie privée
Crédit © rawpixel.com 2018

Il est maintenant possible de connecter presque tous les objets. Bien sûr on pense à la montre connectée, mais il y a aussi de nombreux autres équipements concernés. Il peut s’agir d’accessoires automobiles ou d’accessoires de la maison (stores, réfrigérateur, télévision, thermostat intelligent, etc.). On ne doit pas non plus faire abstraction des drones et autres équipements médicaux tels que pacemakers ou autres. Aujourd’hui, 6,4 milliards d’appareils sont ou vont être connectés à Internet. Et si ça se passait mal? Si des pirates pouvaient avoir accès au données personnelles collectées par ces terminaux? Et même si les GAFAM (Google-Amazon-Facebook-Apple-Microsoft) récupéraient ces données et les revendaient? Et même si des cyber-criminels prenaient le contrôle de ces objets connectés? Alors, que pourrait-il advenir?

Une menace claire et omni-présente

Vous vous dites peut-être que c’est juste de la science-fiction. Et pourtant, il serait insensé de penser que les thermostats intelligents connectés à Internet ou d’autres appareils intelligents ne posent pas de problème de sécurité pour les organisations. Lors du développement d’objets connectés (IoT), l’absence de réflexion en matière de sécurité a entraîné un risque considérable pour les réseaux d’entreprises.

Selon Kaspersky Labs, 85 000 raisons très claires sont prises en compte lorsque l’on considère le coût moyen d’une attaque par déni de service distribué (DDoS) pour l’entreprise. En octobre 2016 déjà, de larges pans de l’internet sont devenus indisponibles en Europe et en Amérique du Nord. Amazon, PayPal, Netflix, Airbnb, Twitter et Visa ont figuré parmi les grands noms qui ont subi des perturbations. La cause? Une attaque DDoS contre le fournisseur Dyn. La vraie cause? Mirai.

Mirai est un logiciel malveillant qui transforme des ordinateurs utilisant le système d’exploitation Linux en bots contrôlés à distance. Ils forment alors un botnet (réseau de bots) utilisé notamment pour réaliser des attaques à grande échelle sur les réseaux. Mirai s’attaque principalement à des dispositifs grand public tels que des caméras pilotables à distance ou encore des routeurs pour la maison. En gros, il force brutalement les appareils IoT, bien que peu de force soit généralement nécessaire, à cause de mesures de sécurité rares (voire nulles). Suite à l’attaque de 2016, le botnet qui en a résulté était composé d’environ 150 000 caméras IP, de routeurs domestiques et même de moniteurs pour bébé.

Des failles de sécurité pour le moins surprenantes

La plupart des fabricants d’objets connectés (IoT) ne placent pas la sécurité au centre des préoccupations de conception. Le plus souvent , de nombreux fournisseurs et l’industrie technologique font alors porter la faute sur les utilisateurs. Il les accusent de n’avoir pas déployé suffisamment d’efforts pour sécuriser les appareils en modifiant les mots de passe par défaut. Et de leur côté, il arrive même que les fabricants fassent des erreurs majeures de sécurité. Ainsi, certains vont jusqu’à coder en dur des mots de passe faciles à deviner dans leurs appareils. C’est le monde à l’envers. Toutes les bonnes pratiques sont bafouées pour des raisons de coût essentiellement. La conséquence c’est que les cyber-risques explosent.

Des responsabilités claires des fabricants

Certes, les utilisateurs ne modifient pas toujours les mots de passe par défaut pour les rendre plus difficiles à deviner. Cela, les fabricants le savent. Alors pourquoi ne proposent-ils pas un mot de passe par défaut unique, difficile à pirater?

On peut toujours facilement reprocher aux utilisateurs de ne pas mettre à jour les systèmes avec les derniers correctifs. Mais, dans la réalité, ces mises à jour fournies par les fabricants d’objets connectés ne sont pas très fréquentes. Et elles n’arrivent généralement qu’après qu’un périphérique ait déjà été piraté. Ils sont en mode réactif et quasiment jamais en mode proactif.

Les dispositifs IoT sont conçus pour être faciles à utiliser. Ce sont aussi, souvent, des appareils destinés à être vendus à un prix attractif. La question du coût de réalisation devient donc un facteur primordial pour les fabricants. Or les compétences en sécurité sont relativement rares sur le marché et, par conséquent, relativement chères. Aussi, très souvent, la sécurité est développée par des techniciens n’ayant pas les compétences suffisantes en matière de sécurité. Au lieu de cela, il faudrait que les fabricants d’objets connectés fassent développer leurs appareils par des spécialistes de la sécurité possédant, en plus, des compétences de développement et ayant une parfaite compréhension des conséquences d’une protection insuffisante. Pas l’inverse!!

Des réglementations insuffisantes

En outre, l’industrie de l’internet des objets n’est, à ce jour, ni normalisée ni réglementée. La conséquence est une anarchie complète pour les utilisateurs finaux. Cela pourrait changer si le gouvernement tentait d’inciter les fabricants d’appareils IoT à adopter une approche de la protection de la vie privée dès la conception (Protection by Design). Les gouvernements pourraient chercher à légiférer si les fabricants d’appareils IoT n’écoutent pas les conseils. Il y a bien sûr une tentative d’évolution dans ce sens avec le RGPD. Malheureusement c’est encore insuffisant pour faire bouger les lignes au niveau des objets connectés..

L’évolution de la surface d’attaque des entreprises

Il est clair que quelque chose ne va pas dans le monde de la technologie lorsque vos utilisateurs deviennent le périmètre du réseau, étant donné le rôle qui consiste à empêcher les menaces de s’infiltrer davantage dans le réseau.

Les appareils IoT ouvrent le réseau à un éventail de risques beaucoup plus large. Ils servent de points de terminaison à sécuriser, tout en diluant les ressources assignées pour la définition classique et traditionnelle de la protection contre les menaces.

La bascule intelligente

Étant donné ce que vous ne pouvez pas faire pour empêcher la compromission des périphériques IoT, quel est le revers de la médaille? Il ne s’agit pas d’un exercice de «longueur de chaîne» comme le suggère la variété presque infinie d’appareils dont nous parlons. D’ailleurs, cette accusation de conception par des « comptables » que nous avons formulée plus tôt va, en fait déjà, commencer à tomber, dès que les vendeurs verront une opportunité du marché de fournir des produits plus sécurisés.

Attendez-vous à ce que la segmentation du réseau et l’authentification entre périphériques (si aucun cryptage de données suffisamment puissant n’est possible) figure parmi les priorités dans les listes de fonctionnalités des objets connectés.

Gardons un oeil sur le futur

Quoi que l’avenir nous apporte, vous ne devez pas perdre de vue ces objets connectés (IoT), ni même leur emplacement. Vous devez absolument savoir quels appareils vous avez, avec quoi ils se connectent et comment ils le font. Tenir un inventaire détaillé des vos actifs informationnels fait partie des bonnes pratiques de sécurité de l’information. Cependant on oublie souvent ces appareils dans la liste des actifs informationnels.

La visibilité est essentielle pour sécuriser l’IoT dans la mesure où votre entreprise est concernée. Ces points de d’accès sont les endroits où les attaquants rechercheront des vulnérabilités pour essayer de franchir le fossé entre les équipements et l’infrastructure de votre entreprise.

 

Cybersécurité : la résilience, chaînon manquant de votre stratégie

A l’heure de la transformation numérique des organisations, la stratégie de cybersécurité est un sujet sur toutes les lèvres. Dans le même temps, on n’entend quasiment jamais prononcer le mot résilience. Pourtant, la résilience devrait être le pilier majeur de toute stratégie de réduction des risques. Essayons donc de décrypter les raisons de cette anomalie et d’en identifier les risques.

Résilience, le chaînon manquant de votre stratégie de cybersécurité
Crédit © rawpixel.com 2018

Et tout d’abord, il convient de situer la cyber-résilience par rapport à la cybersécurité. Dans les deux cas, il s’agit de répondre aux cyber-risques. Un risque se caractérise par une probabilité de survenance et par un impact (sous forme de conséquences) lors de la réalisation du risque. Dans tous les cas, la stratégie des risques a pour objet d’aligner le niveau des risques au seuil de tolérance de l’Organisation. Cela se fait en mixant la réduction de la probabilité et de l’impact. Bien sûr, la stratégie des risques couvre tous les risques de l’Entreprise et parmi ceux-ci, on aura les cyber-risques.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité. Les mesures de sécurité sont essentiellement de 3 types :

  • préventives
  • de détection (pour détecter l’incident lorsqu’il se produit),
  • correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

A côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit? ». En d’autres termes il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

L’expérience de l’année écoulée

Il y a tout juste un an, l’été 2017 a montré très concrètement à quoi pouvait ressembler des cyber-attaques mondiales. Ce fut le cas notamment avec NotPetya. Un an plus tard, les conséquences du « ransomworm » ne sont toujours pas complètement terminées. Le groupe Merck a annoncé fin novembre 2017 que cette cybe-rattaque lui coûterait environ 600 millions de dollars sur l’exercice 2017 ! Mais, en additionnant les dernières annonces, le seuil des 2 milliards de perte est clairement plus réaliste. C’est la première fois qu’un tel impact est recensé pour un incident cyber. Ce changement de dimension mobilise aujourd’hui enfin les directions générales et les conseils d’administration. Et ce n’est pas trop tôt! Ils sont maintenant demandeurs de moyens pour limiter les impacts de telles attaques. Mais ils sont aussi en attente sur la posture à adopter lorsqu’un cas réel se présentera.

Les mesures préventives de cybersécurité ne suffisent clairement plus à empêcher les cyber-risques de se réaliser. Il est désormais évident que la technologie n’est pas le rempart infranchissable que tout le monde imaginait. La cyber-criminalité est devenue une véritable industrie qui progresse plus rapidement que les moyens de protection ne se développent.

Cyber-résilience : les actions clés

Une cyber-attaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication ou d’immeubles voire de collaborateurs.

Or les cyber-attaques majeures, destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers sont focalisés sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyber-attaques.

En effet, les dispositifs de continuité du SI sont plus souvent liés aux ressources qu’ils protègent. Ils sont donc également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud ». Le double objectif de cette approche est à la fois de répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Mais, de fait, le lien entre le SI nominal et son secours rend les dispositifs de continuité vulnérables aux cyber-attaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils donc avaient été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Enfin il reste les sauvegardes comme dernier rempart. Etablies sur une base souvent quotidienne ou hebdomadaire, elles constituent, pour la plupart des organisations, le dispositif de dernier recours pour reconstruire le SI.

Dorénavant, il n’est pas rare de faire face à une intrusion qui date de plusieurs mois. Bien que la  détection soit récente, dans ce cas, les sauvegardes embarquent de fait les éléments malveillants. Il peut s’agir de malwares par exemple, mais aussi de modifications déjà opérées par les attaquants.

De plus, la continuité en tant que telle des systèmes de sauvegarde est bien souvent négligée. Lors de plusieurs cas de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes avaient eux-mêmes été détruits. Les restaurer a souvent nécessité plusieurs jours vu leur complexité et leur imbrication dans le SI.

S’agissant des SI industriels, les constats sont tout aussi alarmants. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ils ne disposent souvent pas de mécanismes de sécurité avancés. La longueur de leur cycle de vie (souvent plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités anciennes. Enfin l’indépendance des chaînes de contrôle  vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours respectée.

Des leçons tirées de l’expérience

Il s’avère que lors du déroulement d’une crise, le cycle est souvent identique. Les écueils rencontrés sont quasiment toujours les mêmes. Il convient donc de tirer les leçons de cette expérience.

Gestion de crise en cas de cyber-attaques : les écueils rencontrés
Crédit © Wavestone 2017

Des scénarios d’attaques récurrents

Destruction massive ou indisponibilité d’une grande partie du SI

Ce type de cyber-attaques, concrétisé au travers des cas Wannacry et NotPetya, entraîne généralement une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par des attaques de ce type (parmi lesquelles Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h.

La situation au démarrage de la crise est alors très difficile. En effet, il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes atteignant plusieurs centaines de millions d’euros suite à ces attaques.

Compromission et perte de confiance dans le SI

Il s’agit d’attaques ciblées ne remettant pas en cause le bon fonctionnement du système. Elles visent par contre à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…). Elles leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi atteindre tout type de données ou réaliser des actions métiers nécessitant plusieurs validations successives.

Ces cyber-attaques ont touché de très nombreuses entreprises dans tous les secteurs. Les conséquences sont souvent des fraudes massives, comme celles ayant touché la banque du Bangladesh. Il peut aussi s’agir de vols de données financières et de paiements. Ce fut le cas de celles ayant touché plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot.

La situation au démarrage de ce type de cyber-crise est extrêmement complexe. La raison réside dans la conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il faut alors investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes de ces attaques ont également fait état d’impacts financiers atteignant plusieurs centaines de millions d’euros.

La résilience passe par une bonne gestion de crise

Les crises cyber sont des crises très particulières. Elles sont souvent longues (plusieurs semaines). Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc indispensable d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer cette dimension particulière.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense. Cela se ferait au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agit donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction du plan de défense.

Au-delà de l’aspect organisationnel, il faut s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs, isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La rédaction d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faudra faire face à la crise, la réalisation d’exercices de crise sera un bon révélateur de la situation réelle.

Les dispositifs de continuité doivent être repensés

Des solutions les plus simples…

Les dispositifs de continuité doivent également évoluer pour s’adapter aux cyber-menaces. Les solutions possibles sont nombreuses. Elles peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certaines organisations ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les installer rapidement en cas de destruction physique.

A des solutions très complexes et coûteuses…

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyber-attaques. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir. Elle est envisagée pour certaines applications critiques dans le monde de la finance notamment.

A des solutions intermédiaires mais suffisantes

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative. Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Cyber-résilience et cybersécurité doivent être imbriqués

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager  — ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) — sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle.

Il est très clair que la résilience est un pilier majeur de votre stratégie de cybersécurité. A ce titre il convient de l’y intégrer dès la conception. Mais il vous appartient également de convaincre votre conseil d’administration de la réalité des cyber-risques et de la nécessité de la mise en oeuvre de mesures de résilience.

Comment s’y prendre concrètement?

Nous ne le répétons, jamais assez, mais deux bonnes pratiques de base sont absolument nécessaires.

Inutile de réinventer la roue : appuyez-vous sur ce qui existe

Il serait vain de partir d’une feuille blanche. Inspirez-vous des bonnes pratiques du marché. A cet effet, AXELOS a publié une référentiel de bonnes pratiques en matière de résilience des SI : RESILIA. Complémentaires d’ITIL, ces bonnes pratiques vous aideront à compléter vos processus existants afin d’y incorporer la planification de la résilience de votre SI

Faite monter vos collaborateurs en compétence, formez-les

La réponse aux cyber-attaques nécessite une préparation minutieuse et du personnel formé et efficace. A cet effet, 2AB & Associates vous propose des formations sur RESILIA (RESILIA Foundation et RESILIA Practitioner) ainsi que des formations sur la continuité des activités (Business Continuity Foundation et ISO 22301 Lead Implementer). Nous vous proposons également une formation indispensable pour mieux évaluer et planifier la réponse aux cyber-risques : ISO 27005 Risk Manager.

Et bien sûr, nos experts sont à votre disposition pour répondre à vos commentaires.

Transformation numérique : les conseils d’administration sont-ils prêts?

Les conseils d’administration (CA) devraient être impliqués dans la direction et le leadership de la transformation numérique de leur organisation, en prenant en considération les scénarios de risque non négligeables associés à cette mutation.

Transformation numérique : les conseils d'administration sont-ils prêts
Crédit © image par rawpixel.com

Le rôle du Conseil d’Administration de toute organisation est de s’assurer pour le compte des parties prenantes de l’Entreprise, de la création de valeur sous forme de bénéfices, tout en optimisant les risques et les ressources. Selon COBIT, le référentiel de Gouvernance publié par l’ISACA, cela passe par trois phases. La première consiste à évaluer les besoins de chacune des parties prenantes. La seconde est de prendre une décision en terme de direction à suivre par le management. Enfin, la troisième étape consiste à surveiller la performance et le progrès réalisé par l’Organisation dans la direction donnée.


«Les conseils d’administration jouent un rôle essentiel dans le processus de transformation numérique en apportant expertise, jugement, scepticisme sain et souci de la valeur à long terme.» (Deloitte)


Malheureusement les conseils d’administration ne sont pas encore prêts à superviser les technologies de l’information.  Ils le sont donc d’autant moins en ce qui concerne la transformation numérique de leur Organisation. En effet, non seulement «plus de 80% des CA pourraient ne pas avoir les compétences et les connaissances nécessaires pour gérer efficacement la technologie des entreprises et réaliser des gains stratégiques et des rendements financiers au niveau de l’entreprise» mais, de plus, les cadres mondiaux de gouvernance d’entreprise (COSO par exemple) ne font encore aucune référence significative au leadership numérique du CA.

La transformation numérique a cependant des impacts extrêmement importants sur le fonctionnement des Organisations. Le degré de focalisation requis pour garantir que la transformation numérique se concrétise comme prévu est donc très  élevé. Quels sont les problèmes à surmonter dans la structure des conseils d’administration si les organisations qu’ils supervisent doivent être durables dans le cadre de la transformation digitale actuelle? Les comités stratégiques IT du CA constituent un moyen clé de mieux superviser et contrôler la transformation numérique.

La gouvernance du SI a encore trop de mal à trouver sa place

Selon une étude du Gartner, jusqu’à 85% des projets en technologies de l’information échouent. Les défaillances informatiques détruisent la valeur pour les actionnaires en gaspillant des ressources. Ces défaillances font échouer des opportunités business et détruisent ainsi la valeur que les services informatiques auraient pu créer. Il ne fait aucun doute que ce taux d’échec continuera, voire augmentera, pour les initiatives de transformation numérique.

Une évolution dans le bon sens depuis dix ans

Le besoin de conseils d’administration ayant des compétences en technologies de l’information s’impose de plus en plus au niveau mondial. Cela leur permet d’atténuer les risques d’échec technologiques. C’est tout particulièrement important lorsque le succès stratégique et la pérennité de l’entreprise dépendent de la réussite de son informatique. La figure suivante illustre l’évolution de la gouvernance du SI ces dernières années.

L'évolution de la gouvernance du SI depuis 10 ans
Crédit © 2018 ISACA

L’exception chez les « gaulois réfractaires »

Cette gouvernance formelle du SI se matérialise de plus en plus par un comité stratégique informatique. C’est une préconisation phare de COBIT, le cadre de Gouvernance du SI publié par l’ISACA en 2012. C’est également une tendance forte dans les très grandes organisations qui ont souvent des comités stratégiques. Du moins dans les pays anglo-saxons…

conseil d'administration : l'exception chez les gaulois réfractaires

Lors d’une récente conférence destinée aux administrateurs au Canada, le consensus a été que les comités stratégiques informatique sont encore largement méconnus dans ce pays. Ils sont également ignorés dans la quasi totalité des pays francophones Européens (France, Belgique, Luxembourg) et encore plus en Afrique. A l’inverse on trouve de plus en plus souvent un comité stratégique IT dans les entreprises des pays anglophones. Est-ce à dire que l’absence de gouvernance du SI est une caractéristique liée à la langue Française? Serait-ce le syndrome du « Gaulois réfractaire » évoqué par le Président Macron récemment? Je ne saurais répondre mais le constat est hélas factuel. C’est d’autant plus inquiétant pour l’avenir économique des ces pays à l’heure de la transformation numérique mondiale.

Les conseils d’administration de l’ère digitale doivent s’adapter

Lors d’un récent congrès d’administrateurs de sociétés, une question des organisateurs portait sur le comité stratégique informatique. De façon très décevante, la réponse quasi-unanime des participants était que ni l’ampleur de leurs dépenses informatiques ni la contribution de l’informatique au risque opérationnel n’avaient été jugées suffisamment importantes pour justifier la création d’un comité stratégique distinct. C’est là une preuve supplémentaire de la totale déconnexion des membres des conseils d’administration de la réalité du changement en cours au niveau mondial. Peut-être est-ce dû au fait que, à ce jour, les conseils d’administration peuvent apparaître comme ayant fait du bon travail de gouvernance dans des entreprises de premier plan sans aucune expertise en TI dans leurs rangs? En tout cas, il y a beaucoup de choses derrière cette réponse totalement inadéquate.

D’autant que ce sont ces mêmes membres du conseil d’administration qui parlent publiquement de la transformation numérique et de l’innovation numérique! Ils sont donc apparemment inconscients de l’impact organisationnel énorme et des risques que comporte une telle mutation, qui, par définition, inclut les TI. Ce risque augmente significativement lorsque les membres du CA ne reconnaissent pas leurs responsabilités dans la gouvernance du SI.

L’évolution nécessaire de la composition du CA

Aux Etats Unis, la plupart des membres des conseils d’administration sont indépendants. C’est là une conséquence directe de la loi Sarbanes-Oxley (SOX) depuis 2002. D’ailleurs, dans le S & P 500, Spencer Stuart constate que 85% des administrateurs sont indépendants depuis 2007. Une autre conclusion intéressante de cette étude porte sur l’âge moyen de ces administrateurs qui était de 63,1 ans en 2017. En France, selon l’AGEFI, l’âge moyen des administrateurs des sociétés du CAC40 est de 58,9 ans en 2017. Il apparaît en légère hausse par rapport à 2016. Seulement 68% des membres des CA du CAC40 sont indépendants selon le même rapport de l’AGEFI en 2017.

Un problème de compétence, mais pas seulement

Une question que le Forum Economique Mondial pose aux administrateurs est de savoir si leur conseil d’administration possède des compétences numériques, multigénérationnelles et une expertise suffisante pour donner des conseils sur des sujets commerciaux et technologiques en évolution rapide. En ce qui concerne la sensibilisation au digital, Mckinsey constate que peu de CA ont une expertise numérique suffisante. Difficile donc d’avoir des échanges significatifs sur ce sujet important avec la direction à l’ère de la transformation digitale. Par ailleurs, avec une moyenne d’âge de 63,1 ans (59,9 ans en France), il est difficile de qualifier le conseil d’administration moyen de multigénérationnel.

 L’âge moyen des membres du conseil d’administration en question

Cela complète les conclusions d’une enquête menée par le Harvard Law School Forum impliquant 860 administrateurs de sociétés publiques. De nombreux membres du conseil d’administration ne sont pas à l’aise avec la supervision informatique car, avec un âge moyen de 63,1 ans:

  • L’expérience professionnelle de la plupart des membres du conseil d’administration est antérieure à l’ère de la transformation digitale des organisations;
  • Très peu d’administrateurs ont simplement des connaissances de base en technologies de l’information.

Ce n’est donc pas que les conseils d’administration en général ne souhaitent pas une gouvernance informatique accrue. C’est plutôt que les administrateurs en place n’ont tout simplement pas les compétences ou l’expérience nécessaires pour comprendre pourquoi ou quand ils ont besoin de gouvernance informatique ou même d’un comité stratégique informatique. Les conseils d’administration peuvent-ils être négligents en n’ayant pas de compétences en informatique à bord et, par conséquent, ne pas être en mesure de poser des questions approfondies de supervision des TI au-delà des questions d’audit générales du comité d’audit? La réponse est «non», les conseils ont le devoir fiduciaire d’avoir un minimum de compétence en informatique.

Le vice-président du Comité d’Hygiène et de Sécurité du CA de Delta Air Lines a bien résumé la situation :


Les conseils d’administration doivent être préparés avec les compétences, la technologie et les processus appropriés. Hélas, la plupart des CA échouent sur la majorité ou la totalité de ces exigences.


Dans le cadre de la transformation digitale de l’économie, il est temps que les actionnaires repensent la façon dont ils votent pour les membres du CA lors de leurs assemblées générales annuelles (AGO).

Le périmètre de la transformation digitale mal compris

L’une des clés pour mieux comprendre l’approche des administrateurs est l’écoute de leurs remarques face aux technologies de l’information. Le mot spécifique qu’ils utilisent le plus souvent, c’est «dépenser» (coût). Or le coût est plus en adéquation avec l’informatique opérationnelle qu’avec la transformation numérique. Cela signifie que les membres des conseils d’administration  semblent voir l’informatique uniquement sous l’angle des coûts opérationnels. Ils n’ont pas une approche incluant aussi les  opportunités. C’est pourquoi ils trouvent acceptable de «gouverner» l’informatique par le biais du comité d’audit. S’appuyant sur les constatations citées à la figure 1, la gestion des TI au sein du comité d’audit n’est pas satisfaisante. C’est d’autant plus vrai lorsque la transformation numérique est un objectif stratégique de l’Entreprise.

Lors d’une discussion récente que j’avais avec un administrateur d’une grande société Française cotée au CAC40 et figurant parmi les leaders mondiaux de son domaine, il me disait « La transformation numérique? C’est juste de la technologie. Et la technologie suivra toujours ». Cela révèle pour le moins une incompréhension du périmètre de la transformation numérique par ceux-là même qui doivent la superviser. Ce n’est clairement pas de bon augure pour les organisations concernées.

Cette approche uniquement basée sur les coûts est aujourd’hui largement dépassée. Elle suggère qu’il n’y a peut-être pas de véritable transformation digitale dans ces organisations. Cela va à l’opposé des commentaires publics apparemment tournés vers l’avenir des membres du conseil d’administration.

Cybersécurité, compétitivité, intégration stratégique et transformation numérique

L’informatique a longtemps été beaucoup plus axée sur la durabilité organisationnelle et le positionnement stratégique que sur le coût de l’automatisation des processus. Bien sûr, le conseil d’administration continue de devoir s’intéresser à la gouvernance. Il est cependant peu probable que de nombreux administrateurs soient en mesure de discerner le rôle de l’informatique dans la réalisation des préoccupations de Deloitte concernant la création de valeur à long terme.

Recommandations aux actionnaires et aux membres du CA

La gouvernance du système d’information, pilotée par KING III, ISO / IEC 38500 et COBIT, a été formalisée depuis 2008 au moyen de la norme ISO / IEC 38500. Si l’informatique est simplement opérationnelle dans une organisation, la gouvernance informatique ne doit pas dépasser la charte des coûts du comité d’audit et risque. Mais si l’activité de l’Entreprise dépend de façon stratégique de son informatique, y compris dans un contexte de transformation digitale, alors, conformément à la norme ISO / IEC 38500, le conseil d’administration a trois responsabilités principales:

  • Evaluer continuellement les performances informatiques dans le cadre de la stratégie organisationnelle;
  • Réorienter continuellement l’informatique si ses performances compromettent la stratégie de l’organisation;
  • Surveiller en permanence les performances informatiques pour s’assurer que la stratégie de l’entreprise sera livrée aux actionnaires.

Un outil efficace : le comité stratégique TI

Les problèmes business critiques tels que celui évoqué dans cet article prennent beaucoup de temps pour être résolus. Il est donc nécessaire de réagir efficacement. La création d’un comité stratégique TI est indubitablement un outil efficace pour y remédier. Incontestablement, le sujet des systèmes d’information a depuis longtemps dépassé les domaines d’audit et de risque de base. Des organisations importantes telles que Wallmart en ont tiré les conséquences. Ainsi Wallmart s’est doté d’un comité stratégique TI dédié au niveau du conseil d’administration. Il ne faut surtout pas croire hâtivement qu’un comité stratégique TI est technique. Ce n’est pas du tout le cas. Les responsabilités énumérées dans le paragraphe précédent, ainsi que des sujets tels que la compétitivité, la transformation et la durabilité fondées sur l’informatique, sont clairement stratégiques.

Bien que la gouvernance informatique ait continué à se développer au cours de la dernière décennie et soit devenue la gouvernance du SI, le chemin à parcourir est encore long. Non seulement il n’ya pas de discussion majeure sur le leadership numérique au sein des cadres de gouvernance d’entreprise au niveau mondial, mais les administrateurs ne semblent pas encore avoir les aptitudes et les compétences nécessaires pour gérer correctement les initiatives de transformation numérique.

Une nécessité : le renouvellement des conseils d’administration

Que peut-on faire dans cette situation? En règle générale, les administrateurs sont élus lors de l’assemblée générale annuelle (AGO) par les actionnaires. Dans les organisations où la durée du mandat est limitée, les administrateurs devraient être renouvelés et bénéficier de nouvelles perspectives sur le rôle et les risques. en transformation numérique. Les actionnaires détiennent généralement une partie du pouvoir nécessaire pour remplacer les administrateurs actuels au sein des conseils d’administration. Ils ont par conséquent des moyens d’action sur les membres du CA. Ils peuvent donc s’assurer que les administrateurs possèdent des connaissances de base en informatique.

La question est de savoir si ils le veulent vraiment ou si les facteurs générant des gains à court terme (croissance du prix des actions) sont plus importants que la viabilité à long terme. Ces deux objectifs sont totalement incompatibles. Et c’est là que se situe une partie du problème.

Restons positifs malgré tout

On commence, dans certaines entreprises, à apercevoir une lueur au bout du tunnel. Quelques Organisations, auprès desquelles j’interviens comme conseil, ont unanimement considéré que la durabilité par le biais de la transformation numérique exige plus qu’un simple créneau dans les ordres du jour plus larges des comités d’audit ou des risques.

Au lieu de cela, dans le contexte de la transformation digitale, le service informatique mérite un degré de gouvernance spécialisé qui ne peut lui être accordé que par le biais d’un comité stratégique informatique dédié. C’est une première étape encourageante. Il faut maintenant oeuvrer pour que cela se développe et se généralise. C’est en s’appuyant sur des cadres de gouvernance tels que COBIT ou ISO 38500 qu’on a quelques chances d’y parvenir. Malheureusement cette mutation est très lente. Et pas sûr que les conseils d’administration aient le temps d’évoluer avant que la situation ne devienne critique.

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :