RSA, The Security Division of EMC | Security for BuSineSS innovation council report | 1

antiCipation DeS MenaCeS avanCeeS :

ABN AMRO Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer

ADP INC. rolanD Cloutier,Vice President, Chief Security Officer

AIRTEL Felix Mohan, Senior Vice President et Chief Information Security Officer

THE COCA-COLA COMPANY renee guttMann, Chief Information Security Officer

CSO CONFIDENTIAL ProFesseur Paul Dorey, Founder and Director; Former Chief Information Security Officer, BP

EBAY Dave Cullinane, Chief Information Security Officer et Vice President, Global Fraud, Risk et Security

EMC Dave Martin, Chief Security Officer

GENZYME DaviD kent, Vice President, Global Risk and Business Resources

HDFC BANK vishal salvi, Chief Information Security Officer et Senior Vice President

HSBC HOLDINGS plc ROBERT RODGER, Group Head of Infrastructure Security

JOHNSON & JOHNSON Marene n. allison, Worldwide Vice President of Information Security

JPMORGAN CHASE anish BhiMani, Chief Information Risk Officer

NOKIA Petri kuivala, Chief Information Security Officer

NORTHROP GRUMMAN tiM Mcknight, Vice President et Chief Information Security Officer

SAP AG ralPh saloMon, Vice President, IT Security et Risk Office, Global IT

T-MOBILE USA williaM Boni, Corporate Information Security Officer (CISO), VP Enterprise Information Security

AVEC LA PARTICIPATION DE : williaM Pelgrin, President et CEO,

Center for Internet Security; Chair, Multi-State Information Sharing and Analysis Center (MS-ISAC); and Immediate Past Chair, National Council of ISACs (NCI)

Security for Business Innovation Council Une initiative sectorielle en

partenariat avec RSA

Synopsis du rapport élaboré sur la base des discussions avec le

t

Ce synopsis présente les conclusions d’un rapport exhaustif sur le sujet. Pour consulter le rapport complet, ainsi que d’autres travaux réalisés sur ce thème, rendez-vous sur www.rsa.com/securityforinnovation.

la cyberveille au service de la sécurité informatique

RECOMMANDATIONS DE DÉCIDEURS DU GLOBAL 1000

2 | Security for BuSineSS innovation council report | RSA, The Security Division of EMC

De la nécessité d’une cyberveille« Les menaces se composent de trois éléments : l’intention, les opportunités et les ressources. Les entreprises doivent donc être en mesure de répondre aux trois questions suivantes : Quelle est l’intention des attaquants ? Quelles opportunités s’offrent à eux ? De quelles ressources disposent-ils pour exploiter ces opportunités ? »

PFelix Mohan, Senior Vice President et Chief Information Security Officer, Airtel

2 | rapport Du Security for BuSineSS innovation council | RSA, la Division Sécurité d’EMC

Une information immédiatement exploitable

Dans le cadre de ce rapport, la « cyberveille » se définit comme d’une part la connaissance des cybercriminels et de leurs modes opératoires, et d’autre part les dispositifs de sécurité en place pour les contrer. Ses missions : générer une « information exploitable », destinée à guider les décisions des entreprises quant aux risques à maîtriser et aux actions à mener. Pour ce faire, les entreprises doivent collecter des données en entrée, puis les traiter efficacement.

Ces données peuvent provenir d’origines les plus variées, de l’open source publique aux sources les plus confidentielles. Leurs canaux de diffusion sont tout aussi multiples : des échanges informels aux recherches personnalisées, en passant par les e-mails, les feeds, les flux de données automatisés et les informations de nombreuses plates-formes de veille internes et externes. Certaines — telles que les adresses IP d’une watch list — ont une portée générique ; tandis que d’autres sont propres à chaque entreprise, comme par exemple les notifications adressées à des groupes particuliers.

Toutefois, la collecte d’un volume croissant de données ne constitue pas une fin en soi. Si elles ne sont ni analysées, ni utilisées, leur accumulation ne génère en effet aucune valeur. De fait, les entreprises doivent au contraire analyser les données et les croiser avec d’autres faits pertinents pour générer une information exploitable. Ainsi, les données acquièrent toute leur valeur lorsqu’elles alimentent une action défensive, destinée à enrayer une cyberattaque en cours ou en gestation et/ou définir une stratégie de défense adaptée. Le rapport présente les différentes catégories de données sur les cyber-risques, illustrées par des exemples de sources, de formats et d’éventuelles ripostes.

Partout à travers le monde, les entreprises font l’objet de cyberattaques sophistiquées dont le nombre augmente chaque jour. Ainsi, les secteurs privé et public deviennent la cible de

« menaces avancées », dont les objectifs sont multiples : espionnage industriel, torpillage des activités opérationnelles et financières, ou encore sabotage des infrastructures. Face à ce fléau, la plupart des entreprises doivent se rendre à l’évidence : elles ne connaissent pas suffisamment les menaces, ni même leur propre niveau de sécurité, pour pouvoir se protéger efficacement.

Les cybercriminels, de leur côté, sont aujourd’hui suffisamment équipés pour déjouer les mesures de protection courantes, telles que les solutions basées sur les signatures. Par conséquent, la détection et la réduction des risques d’attaques passent désormais par une lecture situationnelle plus précise. Pour ce faire, les entreprises doivent avoir accès aux données les plus récentes sur les menaces en présence, les corréler à des analyses en temps réel de leurs environnements dynamiques — tant informatiques qu’opérationnels —, en déterminer la pertinence, prendre les décisions appropriées et mener les actions défensives qui s’imposent. Or, la plupart des programmes de sécurité informatique n’y sont pas préparés.

Le neuvième rapport du SBIC (Security for Business Innovation Council) plaide pour une approche novatrice et exhaustive de la sécurité informatique. Ce document propose diverses pistes de développement de compétences organisationnelles en cyberveille, axées notamment sur l’exploitation maximale des données internes et externes. Objectifs : détecter, anticiper, prévenir et enrayer les attaques.

La proposition de valeur est claire : en exploitant toute la puissance de l’information, les entreprises sont en mesure de définir et de mettre en œuvre des stratégies de défense plus précises face à des menaces en constante évolution. Il en découle une sécurité non seulement plus efficace, mais aussi plus économique, puisque focalisée sur la lutte contre les menaces critiques et la protection des ressources stratégiques.

RSA, The Security Division of EMC | Security for BuSineSS innovation council report | 1

À l’évidence, les entreprises sont confrontées à des cyberattaques de plus en plus sophistiquées. Pour preuve : une enquête sur les menaces avancées (APT), menée par Enterprise Strategy Group aux États-Unis et en Europe, révèle que 59 % des experts sécurité des entreprises américaines et 63 % de leurs homologues européens estiment qu’il est « probable », voire « fort probable » que leur entreprise ait été la cible d’attaques APT.

À l’heure actuelle, les entreprises font l’objet d’offensives ciblées, complexes et multimodales, parfois exécutées sur des périodes prolongées. Dès lors, la clé d’une protection efficace passe par l’abandon des approches traditionnelles en matière de sécurité informatique.

L’heure est à l’adoption d’une nouvelle approche, basée sur la cyberveille et porteuse de nouvelles méthodes :

D Collecte systématique de données fiables sur les cyber-risques, à partir de diverses sources (publiques, sectorielles, commerciales et internes). Objectif : disposer d’une vision plus complète des risques et des vulnérabilités.

D Recherches continues et prospectives sur les attaquants potentiels afin de mieux comprendre leurs motivations, leurs techniques de prédilection et leurs activités connues.

D Développement de compétences de veille au sein de l’équipe informatique.

D Visibilité complète des conditions réelles de fonctionnement des environnements informatiques, en vue notamment d’opérer la distinction entre comportements normaux et anormaux du système et des utilisateurs finaux.

D Processus permettant l’analyse, la fusion et la gestion efficaces des données sur les cyber-risques à partir de diverses sources, ce afin de générer une information immédiatement exploitable.

« Il est parfois difficile d’accepter l’idée de devoir développer un programme pluriannuel destiné à identifier vos ennemis et les méthodes qu’ils vont utiliser pour vous voler. D’un trimestre à l’autre, il se peut que les pertes passent inaperçues. Des années peuvent même s’écouler avant que soudain, une entreprise du bout du monde jaillisse de nulle part pour vous ravir le leadership sur votre marché, grâce au fruit de vos investissements en R&D. »

Une approche novatrice

D Mise en place de pratiques favorisant le partage d’informations utiles avec d’autres entreprises, notamment les indicateurs d’attaques.

D Prises de décisions avisées face aux risques, et définition de stratégies défensives s’appuyant sur une connaissance approfondie des menaces en présence et des dispositifs de sécurité de l’entreprise.

Favoriser le partage d’informations

Dans le contexte actuel, le partage d’informations sur les cyber-risques et les stratégies défensives est devenu incontournable. En ce sens, les indicateurs de cyberattaques se prêtent particulièrement à ce type de pratique. Si d’importantes communautés d’entreprises pouvaient d’ores et déjà se former pour échanger en continu sur les modes opératoires actuels, les attaques des cybercriminels s’en trouveraient largement entravées.

La plupart des professionnels de la sécurité informatique ont établi des réseaux informels avec des homologues de confiance dans d’autres entreprises. De tels réseaux peuvent représenter une valeur inestimable, à tel point qu’ils sont devenus le principal canal d’échanges interentreprises. Seul bémol : ils ne permettent pas le partage d’informations à grande échelle.

Pour y remédier, de nombreuses initiatives sectorielles ou publiques, ainsi que des partenariats public/privé ont vu le jour.

L’expérience aidant, les groupes de partage d’informations ont peu à peu développé un ensemble de facteurs de succès, à commencer par des structures formalisées, des financements adéquats, des protocoles d’échange de données, un cadre juridique, des procédures standardisées et une participation active des acteurs concernés. Les piliers du partage d’informations : confiance et réactivité.

1U.S. Advanced Persistent Threat Analysis: Awareness, Response, and Readiness among Enterprise Organizations, Enterprise Strategy Group, octobre 20112Western Europe Advanced Persistent Threat (APT) Survey, Enterprise Strategy Group, octobre 2011

DÉFINITION: Sécurité informatique basée sur la cyberveille

Connaissance en temps réel des menaces et du niveau de sécurité de l’entreprise, dans le but de prévenir, détecter et/ou anticiper les attaques, de prendre les bonnes décisions face aux risques, d’optimiser les stratégies défensives et de mener les actions nécessaires.

tiM MCknight, Vice President et Chief Information Security Officer, Northrop Grumman

RSA, la Division Sécurité d’EMC | rapport Du Security for BuSineSS innovation council | 3

2 | Security for BuSineSS innovation council report | RSA, The Security Division of EMC

ConclusionFace aux menaces avancées, l’approche

traditionnelle de la sécurité informatique s’avère insuffisante. Pour y remédier, une approche basée sur la cyberveille offre une lecture situationnelle complète, permettant aux entreprises de mieux détecter et neutraliser les cyberattaques.

La mise en place d’une cyberveille requiert des investissements en personnel, processus et technologies. Elle incite par ailleurs à une extension du champ de compétences et à une évolution des mentalités au sein des équipes sécurité. Sans compter qu’elle doit également remporter l’adhésion générale des équipes dirigeantes.

Si de nombreuses entreprises pratiquent une veille concurrentielle et commerciale afin de mieux connaître leurs concurrents et leurs marchés, rares sont celles qui se sont dotées d’un programme de cyberveille. Or, la plupart des processus métier et des transactions s’exécutant désormais en ligne, la fraude, l’espionnage et le sabotage ont également investi la Toile. C’est pourquoi la cyberveille est devenue essentielle.

Les menaces avancées représentent un risque croissant pour l’innovation. Ce rapport établit la feuille de route d’une sécurité informatique basée sur la cyberveille, le but étant d’anticiper les menaces et de protéger les ressources critiques de l’entreprise.

Commencer par le commencementRéalisez l’inventaire de vos ressources stratégiques, renforcez vos processus de résolution d’incidents et procédez à des évaluations complètes des risques.

Préparer un argumentaireRelayez les bienfaits d’un programme de sécurité basé sur la cyberveille aux équipes dirigeantes et aux principales parties prenantes. Insistez sur les avantages immédiats afin de remporter l’adhésion générale, en particulier pour le financement.

Identifier les ressources compétentesEntourez-vous de professionnels alliant des compétences en sécurité informatique à des qualités analytiques et relationnelles.

Développer un pool de sources.Déterminez les types de données, issues de sources internes ou externes, qui vous aideront à prévenir, détecter et anticiper les attaques. Réévaluez ces sources en permanence.

Mettre en place un processus soigneusement définiCodifiez une méthodologie standard pour favoriser la production d’informations exploitables, assurer une résolution rapide et adaptée, et développer des contre-mesures.

AutomatiserPrivilégiez l’automatisation de l’analyse et de la gestion de grosses volumétries de données multi-sources.

Recommandations« Vous êtes inondés d’informations issues de milliers de sources différentes et devez les stocker quelque part – dans l’idéal, sur une plate-forme permettant des recherches rapides dans un format non normalisé, des analyses rapides et une détection automatique des anomalies. »

2

3

4

5

6

Pour mettre en place une sécurité informatique efficace, axée sur la cyberveille, le rapport établit une feuille de route en six étapes :

roBert roDger, Group Head of Infrastructure Security, HSBC Holdings plc

1

4 | rapport Du Security for BuSineSS innovation council | RSA, la Division Sécurité d’EMC

© 2012 EMC Corporation. Tous droits réservés. EMC2, EMC, RSA et le logo RSA sont des marques ou des marques déposées d’EMC Corporation aux États-Unis et/ou dans d’autres pays. Toutes les autres marques citées dans le présent document appartiennent à leurs détenteurs respectifs. h9070-sbic-syn-0112

L’A propos du Security for Business Innovation Council innovation est au cœur des priorités de la plupart des entreprises.

Dans cette optique, les dirigeants cherchent à exploiter tout le potentiel de la mondialisation et des avancées technologiques pour optimiser leur efficacité et créer de nouveaux gisements de valeur.

Pourtant, un paradoxe demeure. Si l’information constitue le moteur de l’innovation, sa protection n’est toujours pas considérée comme stratégique, et ce malgré les pressions réglementaires et l’escalade des menaces. De fait, la sécurité de l’information est trop souvent reléguée en bout de chaîne − au mieux évaluée en toute fin de projet, au pire totalement ignorée. Or, l’absence d’une stratégie de sécurité adaptée peut brider l’innovation et exposer l’entreprise à des risques inconsidérés.

Chez RSA, nous sommes convaincus que les entreprises ont tout à gagner d’une véritable implication des équipes sécurité dans le processus d’innovation. L’heure est au changement d’approche et à l’élévation de la sécurité au rang de stratégie d’entreprise, plutôt que de la cantonner à une spécialité technique. Si les équipes sécurité prennent peu à peu conscience de la nécessité d’aligner leur stratégie sur celle de l’entreprise, elles peinent encore souvent à la décliner en plans d’action concrets. L’objectif final ne fait aucun doute, mais le chemin pour y parvenir reste incertain. C’est pourquoi RSA collabore avec des experts de la sécurité du monde entier pour faire avancer les débats et tracer le cap à suivre.