La 16ème édition des Assises de la Sécurité, évènement de référence dans le domaine de la sécurité IT, s’est tenue du 5 au 8 octobre dernier à Monaco. Atout DSI revient sur les temps forts de ce salon marqué par la conférence inaugurale de l’ANSSI sur le thème « confiance ou défiance numérique : l’heure du choix ». Nous en avons profité pour demander son avis sur le sujet à Chris Butler, Consultant principal, Cyber Résilience et Sécurité chez Sungard Availability Services.

 

La sécurité, l’affaire de tous

Alors que les cyberattaques ne cessent de se développer, la sécurité est devenue « l’affaire de tous » comme l’a rappelé à juste titre Guillaume Poupard, Directeur général de l’Agence Nationale de la sécurité et des systèmes d’informations (ANSSI) lors de la conférence d’ouverture (Replay vidéo sur Périscope). Une phrase choc également à noter, une analogie dont les DSI pourront s’emparer pour sensibiliser un CODIR aux enjeux de la sécurité : « négliger la sécurisation du SI c’est comme conduire une moto à 200 km/h sans casque ».

La sécurité préoccupe pourtant de plus en plus d’entreprises et secteurs d’activité, favorisant par ailleurs le développement des innovations technologiques qui l’entourent, et dont nos confrères d’Industrie & Technologies ont fait l’inventaire. Véhicules connectés et autonomes, réseaux industriels, ou intelligence artificielle ont ainsi fait partie des sujets explorés lors des Assises, ainsi que le développement d’approche « collaboratives » de la sécurité comme le « bug bounty », la chasse aux bugs contre récompenses.

 

Face aux menaces, l’importance de la gouvernance

Au-delà des technologies et des outils, la gouvernance joue aussi un rôle clé dans la sécurité. Une gouvernance qui passe par des règles claires qui peuvent aussi favoriser l’agilité et les initiatives comme a tenu à le préciser M. Poupard.

Autre témoignage illustrant la mise en place d’une stratégie de cybersécurité, celui d’Olivier Ligneul, directeur technique et RSSI du groupe EDF. « Nous avions déjà un système de surveillance mais nous avions besoin d’industrialisation de la surveillance et de la gestion des incidents. La mise en place d’un outil, le SOC, ne suffit pas. Il faut en plus créer un écosystème et développer une véritable stratégie de cybersécurité. Aujourd’hui, cet écosystème nous permet de gérer de manière industrielle des incidents de sécurité et de les qualifier. Il nous permet de concentrer nos efforts sur des éléments de sécurité qui sortent du commun ».

 

Un élément de la confiance : la collaboration

Face au développement des cyber menaces, Guillaume Poupard a d’ailleurs insisté lors de son allocation d’ouverture sur le fait que « seule une réponse collective, à l’échelle nationale, européenne et internationale, pourra permettre de faire de l’espace numérique une zone de confiance et non de défiance ». Un mouvement qui doit se traduire par une collaboration renforcée au niveau européen, mais aussi par une ouverture vers les industriels non européens et les citoyens numériques, des « lanceurs d’alerte » hackers au sens noble du terme. Enfin n’oublions pas que chaque entreprise est un maillon de l’écosystème de la sécurité, l’ANSSI a donc à nouveau insisté sur l’importance des déclarations de pertes de données personnelles.

Retrouvez à ce sujet notre article sur « Les risques et responsabilités du DSI » qui revient notamment sur les obligations de traitement des données personnelles liées à la loi Informatique et liberté. A noter que les sanctions administratives et pénales s’appliquent, que la faille de sécurité provienne de l’entreprise ou de son sous-traitant !

 

Au-delà de la sécurité et de la confiance, l’enjeu de la résilience

Nous avons demandé à Chris Butler, Consultant principal, Cyber Résilience et Sécurité chez Sungard Availability Services, son analyse sur ce sujet de cybersécurité.

chris butler sungard as

« En matière de sécurité informatique, les entreprises et organisations ont tendance à se focaliser sur les barrières et la prévention, mais aucune entreprise ne peut se prémunir totalement des attaques.

Il est important de réaliser que vous serez hacké et que vous avez besoin non seulement de couches de défense, de confiance et de collaboration, mais plus largement de résilience, c’est-à-dire d’un plan de continuité qui garantisse que votre organisation continuera de fonctionner et de remplir ses objectifs business, même en cas d’attaque ou de crise

Préparer ce Plan de cyber résilience implique d’analyser l’environnement de l’entreprise pour pouvoir prioriser les informations les plus critiques à sécuriser. Vous pourrez ensuite élever des barrières autour de vos données critiques, par une approche de sécurité en profondeur.

La surveillance de ce périmètre prioritaire est essentiel pour détecter au plus tôt les hacks et appliquer rapidement les mesures correctives. Certaines failles ayant affecté le secteur bancaire n’ont ainsi été détectées que plusieurs mois après leur pénétration dans le SI, laissant le champ libre aux cybercriminels pour piller les actifs de l’entreprise et répliquer leur mode d’attaque également dans d’autres entreprises. Sans compter aussi le risque de pénalité financière que la nouvelle réglementation GDPR amènera à partir de mai 2018 en cas de défaut de déclaration de perte de données personnelles.

Enfin, dans une organisation mobile, agile et collaborative, vos employés, vos clients, vos partenaires, vos sous-traitants, peuvent tous avoir un impact sur votre cyber risque. Réaliser une analyse projective de vos risques à horizon de 5 ans, en prenant en compte tout votre écosystème, vous permettra alors d’anticiper un plan d’attaque et des procédures de résilience.  Des procédures qu’il vous faudra également tester, non seulement pour vérifier la robustesse technique des solutions mises en place, mais aussi pour sensibiliser tous les échelons de l’entreprise jusqu’au CODIR sur leur rôle pour garantir la résilience « business » de l’entreprise. »

 

Vous souhaitez apporter votre commentaire à cet article ? Inscrivez-vous sur Atout DSI

FavoriteLoadingAjouter à mes favoris

2 Responses

  1. Larkin

    Les enjeux de la sécurité informatique sont bien décrits dans cet article, mais nombreuses sont les entreprises qui les ignorent encore en ce moment. Les assises de la sécurité devraient surtout être portées à l’attention des PME et TPE.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.