sogeti cybersecurity fr
TRANSCRIPT
-
5/24/2018 Sogeti Cybersecurity Fr
1/83
Cyberscurit : conserverlavantage dans la partie
Erik van Ommeren
Martin Borrett
Marinus Kuivenhoven
Les fondamentaux
Cocrit avecIBM
-
5/24/2018 Sogeti Cybersecurity Fr
2/83
-
5/24/2018 Sogeti Cybersecurity Fr
3/83
Cyberscurit :conserver lavantagedans la partieLes fondamentaux
Erik van Ommeren SogetiMartin Borrett IBMMarinus Kuivenhoven Sogeti
2014Sogeti et IBM
-
5/24/2018 Sogeti Cybersecurity Fr
4/83
Cet ouvrage est protg sous licence Creative Commons Attribution-Pas de Modification. France. Pour consulter une copie de la prsentelicense, rendez-vous sur : http://creativecommons.org/licenses/by-nd/./fr/legalcodeou faites une demande parcourrier Creative Commons, Howard Street, thFloor, San Francisco, California, ,tats-Unis.
Vous tes autoris :
Partager copier, distribuer et communiquer le matriel par tous moyens etsous tous formats pour toute utilisation, y compris commerciale.LOffrant nepeut retirer les autorisations concdes par la licence tant que vous appliquez lestermes de cette licence.
Selon les conditions suivantes :
Attribution Vous devez crditer lOeuvre, intgrer un lien vers la licence etindiquer si des modifications ont t effectues lOeuvre. Vous devez indiquerces informations par tous les moyens possibles mais vous ne pouvez passuggrer que lOffrant vous soutient ou soutient la faon dont vous avez utilisson Oeuvre.
Pas de modificationsDans le cas o vous effectuez un remix, que voustransformez, ou crez partir du matriel composant lOeuvre originale, vousntes pas autoris distribuer ou mettre disposition lOeuvre modifie.
Les auteurs, les rdacteurs et la maison ddition ont prpar le prsent ouvrage avec
soin, mais ne formulent aucune garantie explicite ou implicite de toute sorte et neprennent aucune responsabilit concernant toute erreur ou omission. Ils nassumentaucune responsabilit concernant les dommages indirects ou accessoires en lien aveclutilisation des informations ou programmes contenus dans le prsent ouvrage ou endcoulant.
Les opinions exprimes dans le prsent ouvrage sont celles de ses auteurs et nerefltent pas la position officielle des socits partenaires.
re dition, mai
Sogeti et IBM
Production LINE UP boek en media bv, Groningue, Pays-Bas (www.lineup.nl)
Image de couverture Nick Lowndes
(livre), (livre lectronique)
Attribution-Pas de Modification . France (CC BY-ND . FR)
-
5/24/2018 Sogeti Cybersecurity Fr
5/83
Table des matires
Avant-propos dIBM Un paysage en pleine volution
Avant-propos de Sogeti La partie est lance
Rsum
Cyberscurit : conserver lavantage dans la partie Les
fondamentaux . Peut-on faire confiance au systme ?
. Peut-on scuriser davantage les organisations ?
. Peut-on gagner la partie ?
. Quelles seront les prochaines avances technologiques ?
propos du prsent document
Remerciements
Au premier plan de la scurit Comment le combat continu entre les gentils et les mchants rend notre monde plus sr Vie prive et scurit sont les deux faces dune mme mdaille
Limpact de la cyberscurit quelle importance ?
Vux pieux du responsable de la scurit
Les avantages en tirer
Traiter les effets secondaires dus la pratique Bring-Your-Own-
Device Des appareils et services largement disponibles vontenvahir les organisations Quelles sont les dernires volutions ?
Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
-
5/24/2018 Sogeti Cybersecurity Fr
6/83
:
Lorsque lentreprise est en danger, ne confiez pas la scurit auservice informatique Des mesures dattnuation des risquesdevraient prvoir cette attnuation au niveau de lentreprise, etnon pas uniquement une approche informatique Quelles sont les dernires volutions ?
Quel intrt pour nous ? Quelles nouvelles mesures prendre ?
La scurit dbute ds la conception Confidentialit, qualit etscurit doivent tre prises en compte ds le dpart Quelles sont les dernires volutions ?
Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
Comment procder ? Quels sont les dfis relever ?
La voie suivre
La cl de la scurit : mettre en place des technologies persuasivesLinteraction par dfaut entre lutilisateur et la technologie devraitamliorer la scurit Quelles sont les dernires volutions ?
Quel intrt pour nous ? Quelles nouvelles mesures prendre ?
La peur : une mthode qui smousse trs rapidement Lesorganisations doivent trouver comment recadrer les discussions surla scurit De la peur la valeur
Une seule pense pour de nombreuses actions
Soyez votre pire ennemi Pour dceler vos points faibles, la seulesolution est de faire preuve dune grande dtermination Quelles sont les dernires volutions ?
Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
-
5/24/2018 Sogeti Cybersecurity Fr
7/83
Table des matires
Vous serez pirats, mais ce nest pas grave Tant que vous en tesconscients et que vous savez rebondir Quelles sont les dernires volutions ?
Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
Le data scientist sera le prochain superhros de la scurit Lareconnaissance des formes nest pas une comptence de scuritinformatique commune Quelles sont les dernires volutions ?
Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
Les hackers apprennent plus vite que les organisations quils attaquent Il est temps darrter de rpter sans cesse la mme erreur Quelles sont les dernires volutions ?
Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
Le cryptage nest quune nime course aux armements Ce qui suffitaujourdhui ne fera pas le poids demain
Quelles sont les dernires volutions ? Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
La rvolution du mobile a ouvert la bote de Pandore Votre vie serapirate et seule une modification de vos habitudes peut garantir lascurit Quel intrt pour nous ?
Quelles nouvelles mesures prendre ?
Tous les regards se portent sur la scurit Utiliser la convergencedes volutions technologiques pour faire progresser la scurit
-
5/24/2018 Sogeti Cybersecurity Fr
8/83
:
propos des auteurs
Index
-
5/24/2018 Sogeti Cybersecurity Fr
9/83
Avant-propos dIBMUn paysage en pleine
volutionPar Steve Mills
Au cours des trente dernires annes, jai eu lopportunit de jouer un
rle dans la dtermination de linfluence exerce par la technologie sur
le commerce et lindustrie. Aujourdhui, les systmes informatiques
modifient la faon dont les entreprises fournissent des produits et ser-vices, dont les personnes communiquent entre elles, dont les organisa-
tions prennent des dcisions et mme la faon dont chacun apprhende
et interagit avec le monde qui lentoure.
Bon nombre de ces volutions sont dues la conjonction de tendances
significatives et troitement lies autour du cloud, des mobiles, du big
data et des rseaux sociaux. Chacune de ces volutions, considres
indpendamment, a son importance. Mais lorsquelles sont apprhen-des ensemble, la vitesse laquelle notre rapport linformatique vo-
lue est extrmement rapide et son impact est galement profond.
Or, de mme que ces volutions exercent un impact puissant sur une
organisation, les attaques menes par le crime organis, celles caution-
nes par les tats, et lmergence dun activisme social dans le monde
numrique mettent en lumire une ralit nouvelle dans laquelle les
risques pour la scurit ne peuvent tre dment considrs comme desimples dfis informatiques. En effet, ces phnomnes peuvent bien
souvent faire peser une menace sur la marque dune organisation, sa
proprit intellectuelle, ses donnes commerciales sensibles et ses res-
sources financires.
-
5/24/2018 Sogeti Cybersecurity Fr
10/83
:
Tous ces risques modifient lapproche de la scurit adopte par de
nombreuses organisations. Les responsables de la scurit des sys-
tmes dinformation () doivent dsormais rendre compte leur
et au conseil dadministration. Ils assument un rle dintermdiaire
entre les responsables Mtier et les experts de la scurit et aident
chaque groupe comprendre le point de vue, les dfis, les exigences etles objectifs de lautre. Il sagit dun partenariat dont limportance est
critique pour les organisations car il permet aux quipes de scurit de
dvelopper une comprhension plus nuance de la stratgie mtier par
rapport au risque numrique. Il permet galement aux responsables
mtiers de prendre des dcisions plus claires en termes de budget
et de personnel, mais galement dapporter leur soutien en pilotant la
transformation de lentreprise en termes de scurit.
Des considrations de scurit importantes sont associes la faon
dont la technologie et, par extension, le monde changent. Des dbats
nourris sont en cours sur la confidentialit, le rle des gouvernements et
limpact des nouveaux modles informatiques sur les considrations de
scurit. Le prsent ouvrage examinera bon nombre de ces problma-
tiques plus en dtail. Mais il y a lieu de souligner galement lopportu-
nit unique qui soffre actuellement.
Le cloud, les mobiles et le big data sont souvent cits comme autant
de dfis pour la scurit dans le contexte du stockage des donnes, de
la gestion des terminaux et de la confidentialit. Pour autant, chacune
de ces volutions prsente galement des opportunits. La technolo-
gie du cloud peut ainsi tre utilise pour transmettre rapidement des
informations sur la scurit et les menaces des interlocuteurs finaux
situs dans le monde entier. Les appareils mobiles et les applications
quils transportent peuvent potentiellement devenir plus srs que lesordinateurs portables traditionnels. Enfin, de nombreuses organisations
font face actuellement des milliards dvnements de scurit chaque
jour et la capacit de traiter ces donnes grce des dispositifs analy-
tiques avancs permet aux organisations de dtecter et de rpondre aux
menaces comme jamais auparavant.
-
5/24/2018 Sogeti Cybersecurity Fr
11/83
Avant-propos d
Contrairement aux prcdentes volutions qua connues le secteur
informatique, ces mutations surviennent dans un contexte dans lequel
les organisations sont plus que jamais conscientes des risques quelles
encourent. Les quipes de scurit ont prsent lopportunit et la mis-
sion dintgrer la scurit dans le processus technologique et commer-
cial de lorganisation comme jamais auparavant. Il leur faut galementfournir de meilleurs rsultats face la pnurie de comptences et une
complexit technique gnralise.
Les quipes de scurit joueront un rle majeur dans la transformation
de lentreprise, mais leur russite dpendra de leur capacit intgrer
des contrles et des processus et dvelopper en parallle de nouvelles
pratiques dans les domaines toujours plus importants de lanalytique, de
la veille et de la rponse aux incidents et attaques.
Steve Mills
Senior Vice President et Group Executive,
Software & Systems
-
5/24/2018 Sogeti Cybersecurity Fr
12/83
Avant-propos de Sogeti La partie est lance
Par Hans van Waayenburg
Il na jamais t aussi facile et rapide denvoyer un courriel, deffectuer
un virement bancaire, de raliser une commande en ligne ou de rser-
ver un vol directement depuis un mobile. lhorizon , milliards
dappareils seront ainsi connects Internet. La plupart dentre eux
seront peine protgs, ce qui sous-entend autant dentres potentielles
susceptibles dtre utilises par les hackers pour sintroduire dans nosappareils, nos entreprises, nos maisons et nos vies personnelles.
De nos jours, le rseautage et la connectivit grandissants permettent
nos organisations dtre plus efficaces, plus productives et mieux
informes. Laccs aux donnes et aux informations constituent des
atouts cls pour lensemble des individus, des entreprises et des tats.
Linformatique est donc devenue vitale en matire de prise de dcision.
Elle permet loptimisation des processus et lindustrialisation dans tousles domaines, de la commutation de voies de chemin de fer au contrle
du trafic arien en passant par la distribution de gaz et dlectricit ou
la chloration de nos rserves deau. Cependant, ladoption grandissante
de la technologie numrique est accompagne dun manque de compr-
hension des enjeux qui laccompagnent, notamment auprs des jeunes
gnrations. Peu importe comment a marche tant que a marche.
Nous sommes donc devenus vulnrables.
lorigine, le piratage informatique tait un jeu, un passe-temps amu-
sant pour des personnes curieuses et comptentes. Avec lvolution
dInternet, ces comptences sont devenues un outil politique ou ido-
logique dans les mains de groupes dhacktivistes qui ont peru leurs
activits comme une forme lgitime de contestation sociale. Lutilisation
-
5/24/2018 Sogeti Cybersecurity Fr
13/83
Avant-propos de Sogeti
criminelle des rseaux et des technologies est galement trs trou-
blante. Bon nombre dorganisations font littralement face des mil-
liards dvnements chaque jour, dont une grande partie implique des
menaces significatives en termes de scurit visant les donnes clients,
la proprit intellectuelle et les donnes confidentielles. Ciblant la fois
les gouvernements et lindustrie, le cyber-espionnage est devenu unepratique commune.
Les frontires entre toutes ces menaces sont floues, en particulier en
raison de la conception et de la topologie du cyberespace : les limites
entre voleurs, espions et activistes sont beaucoup moins nettes que dans
la vie relle. Et bien que certaines rglementations disciplinent la Toile,
il existe une large zone grise o des hackers bien organiss semblent
pouvoir uvrer en toute impunit. Le cyberespace offre une couvertureparfaite qui rend ces acteurs trs difficiles dtecter et identifier. De
plus, la complexit des cyberattaques les rend encore plus droutantes.
Ici, il nexiste pas de drapeau, pas duniforme et pas de rgle dengage-
ment tablie et convenue.
Un logiciel malveillant, un cheval de Troie ou un ver peut rester en
sommeil dans un systme informatique et accder vos informations
pendant des mois avant dtre dtect. Chaque nuit, des milliers degiga-octets de donnes technologiques et stratgiques sont drobs sur
les milliers dordinateurs de nos entreprises occidentales. Une cyberat-
taque peut gnrer des dommages importants trs grande chelle, sur
une longue priode et pour des cots infimes.
Enfin, une cyberattaque nest gnralement pas revendique car la dis-
crtion et lanonymat constituent des avantages vidents lorsquon choi-
sit duvrer sur Internet. Il est trs complexe didentifier les coupableset cette identification dpend de quelques caractristiques telles que des
preuves concordantes, le langage utilis, les noms des commandes, etc.
La perte de confiance dans nos systmes informatiques reprsente lun
des principaux enjeux lis aux cyber-attaques. Des tentatives de mise
-
5/24/2018 Sogeti Cybersecurity Fr
14/83
:
en pril ont mme eu lieu sur les systmes industriels (). Lim-
pact de ces menaces implique des consquences potentielles graves. Le
simple piratage dune banque, dun systme de scurit sociale ou
dune autre infrastructure ou service stratgique pourrait entraner une
grave perte de confiance de la part des consommateurs, utilisateurs et
citoyens. Si lon songe lutilisation grandissante de la technologie, et la dpendance quelle suscite dans tous domaines de notre environne-
ment conomique et social, notre monde est beaucoup plus vulnrable
que nous ne pourrions le penser. La menace dune perte mondiale de
confiance impose une diligence et une vigilance constantes pour limiter
une telle menace et, dans lidal, pour lviter.
Cest la raison pour laquelle il est essentiel de garder lavantage dans
la partie cyberscurit . Pour lheure, ces menaces ne peuvent treannihiles, mais elles peuvent tre contenues. Nous devons continuer
avancer sur cet chiquier et chercher prendre lavantage. Jespre que
cet ouvrage, que je suis ravi davoir produit en collaboration avec ,
notre partenaire de confiance, vous donnera loccasion de mieux appr-
hender ces diffrentes problmatiques et vous proposera des ides qui
vous permettront de conserver une longueur davance sur les menaces
qui psent sur votre organisation. Face ce dfi, il est essentiel dunir
nos forces, et ce pas uniquement entre prestataires de service, maisgalement avec les pouvoirs publics, afin de tenir le rythme et de garder
toujours une longueur davance !
Hans van Waayenburg
Prsident Directeur Gnral, Sogeti
-
5/24/2018 Sogeti Cybersecurity Fr
15/83
Rsum
La cyberscurit est aujourdhui un enjeu de premier plan qui sexplique
par les rvlations presque incessantes sur des attaques informatiques et
des violations de donnes. Dans ce contexte dimprvisibilit et din-
scurit, les organisations redfinissent leur approche de la scurit et
recherchent un quilibre entre risque, innovation et cot. En parallle,
le domaine de la cyberscurit enregistre des volutions spectaculaires,
qui imposent aux organisations dappliquer de nouvelles pratiques etdacqurir de nouvelles comptences.
Le risque en matire de cyberscurit est dsormais clairement com-
mercial. Sous-estimer limportance de la scurit peut ainsi constituer
une menace pour lavenir dune organisation. Pourtant, de nombreuses
organisations continuent grer et envisager la cyberscurit dans le
champ du service informatique. Cela doit changer.
La technologie est en mutation constante et aucune volution rcente
na t aussi considrable que lexplosion de lutilisation des appareils
mobiles. Peu importe les politiques mises en place, les organisations
font face une vague irrpressible de collaborateurs apportant leurs
propres appareils au travail. La demande de (Bring-Your-Own-
Device : apportez vos propres appareils) augmente, mais elle pose des
dfis srieux pour la gestion de la scurit, la fois en termes de techno-
logie et en matire de procdures et de politiques. Ces appareils mobilessemblent tre lantithse de ce que font les professionnels de la scurit
pour garantir cette dernire : ils sont mobiles, riches en donnes, faciles
perdre, et connects tous types de systmes dont les dispositifs de
scurit sont insuffisants.
-
5/24/2018 Sogeti Cybersecurity Fr
16/83
:
La technologie offre galement des opportunits. En effet, le Big Data
offre notamment la perspective dune approche de la scurit plus
proactive, sous rserve que les organisations puissent embaucher des
personnes qui comprennent rellement ces nouvelles technologies.
La recherche dune scurit de pointe tient pour lessentiel aux per-sonnes et leur comportement. Il est communment admis quavec
suffisamment de dtermination et de comptence, un attaquant per-
sistant parviendra passer nimporte quelle dfense. Toutefois, en
complexifiant ce processus chaque tape, on diminue les risques et on
augmente non seulement le dlai dont disposent les organisations pour
ragir aux incidents, mais galement la capacit de les intercepter avant
que leur incidence ne soit trop grande.
Pour bnficier dune bonne scurit, il faut instiller cette notion jusque
dans les fibres les plus lmentaires de lorganisation, la fois en termes
de technologie (en intgrant la scurit ds la conception) et en termes
de comportement (en offrant des options scurises prfrables aux
options moins scurises).
La peur risque de devenir trs rapidement un outil inefficace de motiva-
tion des utilisateurs.
-
5/24/2018 Sogeti Cybersecurity Fr
17/83
1Cyberscurit : conserver
lavantage dans la partieLes fondamentaux
La cyberscurit recouvre un ensemble de pratiques, de processus
et dacteurs sappuyant sur la technologie et visant protger des
infrastructures critiques, des entreprises numriques et des informa-
tions sensibles de menaces ou de ngligences internes et externes. Cedomaine est en volution constante, peut-tre davantage que linfor-
matique elle-mme. Quoiquil en soit, lessentiel reste de prserver les
qualits qui font de linformatique la ressource fiable dont dpendent
lentreprise et la socit : confidentialit, intgrit, disponibilit.
Mais quelles sont les volutions que le secteur connat actuellement ?
Quel est lessentiel aujourdhui ? Les thmes que nous aborderons sor-
ganisent autour des questions fondamentales suivantes :
1. Peut-on faire confiance au systme ?
Le principal thme abord aujourdhui est la question fondamentale
de la fiabilit et la scurit dInternet et peut-tre des technologies
numriques dans leur ensemble. Internet na jamais t conu en ayant
comme fondement la scurit et il apparat aujourdhui trs clairementquil est possible de compromettre presque tout et nimporte quoi, pour
autant quun hacker trs motiv sy emploie. La scurit et la confiance
numriques sintgrent dsormais au cur des dbats publics. Cela
dclenche de nouvelles recherches et innovations pour faire dInternet
une infrastructure plus sre.
-
5/24/2018 Sogeti Cybersecurity Fr
18/83
:
2. Peut-on scuriser davantage lesorganisations ?
Ltape suivante consiste crer une organisation sre capable de
survivre et de se dvelopper en sappuyant sur des technologies natu-
rellement imparfaites. Afin dimplanter une culture de la scurit danslentreprise, il y a lieu de passer de la peur la valeur. Les menaces
gagnent en sophistication et en prcision, et limpact qui leur est associ
sur les organisations grandit. La scurit doit donc voluer et ne plus
se concentrer sur la peur et le risque pour parvenir intgrer le fait que
le dveloppement et le maintien de la confiance peuvent constituer et
constitueront un facteur de diffrenciation par rapport la concurrence
la fois au niveau de lindustrie et des pouvoirs publics. La scurit ne
constitue plus un risque informatique, mais un risque li au business qui doit donc tre gr comme tel. De plus, il est compris et largement
accept de nos jours que les attaques et les incidents sont possibles
mais pas invitables et que des pratiques associes la dtection et la
raction doivent constituer une part essentielle et multidisciplinaire de
la stratgie de scurit de chaque organisation.
3. Peut-on gagner la partie ? ce jour, le fait que des attaques labores franchissent quotidienne-
ment les protections conventionnelles constitue une ralit. Les atta-
quants bnficient dun certain nombre davantages stratgiques sur les
acteurs chargs de la dfense des rseaux : en particulier leffet de sur-
prise, la possibilit de rechercher et de cibler des individus spcifiques
et peu mfiants, la complexit des infrastructures et une main-duvre
insuffisante dans le domaine de la cyberscurit lchelle mondiale. Legrand public nest pas compos dexperts de la scurit et le dsquilibre
en termes dexpertise chaque extrmit dun courriel dhameon-
nage constitue un avantage stratgique et tactique significatif pour les
attaquants. Pour que les professionnels de la scurit puissent traiter
ces difficults, il convient de disposer de comptences plus solides, de
-
5/24/2018 Sogeti Cybersecurity Fr
19/83
Cyberscurit : conserver lavantage dans la partie
programmes informatiques mieux dvelopps, dune simplification des
infrastructures, danalyses et de capacits de raction plus pousses
ainsi que dune ducation et dune responsabilisation des utilisateurs.
4. Quelles seront les prochaines avancestechnologiques ?
Dans le cadre dune tude, des responsables de la scurit ont
exprim des inquitudes sur la scurit du cloud et des appareils
mobiles. Ces volutions informatiques remettent en cause les modles
de scurit conventionnels et ncessitent non seulement de nouvelles
technologies, de nouveaux processus et de nouvelles politiques, mais
galement une volution significative de la culture associe la naturedu contrle. Cependant, ces modifications peuvent galement four-
nir de nouvelles opportunits. Le principe secure-by-design (qui
implique dintgrer la scurit ds le lancement de la conception)
est dvelopp partir dannes dexprience et peut tre appliqu au
lancement de nouveaux projets et de dploiements. Le cloud propose
de nouveaux modles de prestation en termes de scurit et de ren-
seignements sur les menaces. Le big data et lanalytique promettent
un changement du secteur de la scurit numrique de mme que lesentreprises et lindustrie se fondent prsent sur les donnes et sur leur
analyse pour comprendre les tendances et prendre des dcisions.
En fin de compte, la partie de la cyberscurit naura pas de fin et il
nexistera pas de gagnants ou de perdants. Mais cette conclusion peut
tre remplace par une recherche permanente dun avantage strat-
gique, un rquilibrage de lquation entre attaquant et dfenseur. En
unissant nos forces, en prenant le temps de rflchir et danalyser cequil se passe et en appliquant intelligemment ce dont nous disposons
et ce que savons, les organisations peuvent prendre lavantage, ce qui
constitue en soi une victoire dans ce secteur.
-
5/24/2018 Sogeti Cybersecurity Fr
20/83
:
propos du prsent document
Cet ouvrage cherche inspirer et encourager de nouvelles rflexions
et ides, mme si le sujet vous est dj familier. Pour les nouveaux
venus dans le domaine de la scurit, il constitue un avant-got offrant
un aperu de ce qui est essentiel ce jour. Nous avons choisi de resterbrefs et de nous concentrer sur les sujets les plus rcents et les plus
pertinents. Vous ne trouverez donc pas de descriptions exhaustives des
pratiques bien connues telles que la gestion des risques de scurit ou
llaboration dun modle dauthentification, mme si elles sont encore
essentielles aujourdhui. De plus, nous avons choisi de nous concentrer
sur les dimensions organisationnelles, de gestion et de gouvernance de
la scurit, sans aborder la dimension technique.
Louvrage peut naturellement tre lu dans son ensemble, mais il est ga-
lement structur afin de pouvoir consulter uniquement les chapitres qui
vous intressent. Aprs lintroduction, chaque chapitre souligne lune
des volutions les plus rcentes, ses implications et les mesures quil
conviendrait en consquence dadopter.
RemerciementsDe nombreuses personnes ont offert leurs rflexions et leurs ides
cet ouvrage. Par le biais dateliers, dentretiens, danecdotes, de contri-
butions crites et danalyses, elles ont permis de faire le point sur les
volutions les plus intressantes et les plus pertinentes dans le cadre de
la cyberscurit ce jour. Nous souhaitons remercier tout particulire-
ment des clients et spcialistes qui ont pris le temps de nous faire part
de leur vision, de leurs dfis et de leurs solutions. Vous trouverez leurscitations (anonymes) tout au long du prsent ouvrage.
Nous souhaitons galement remercier les personnes suivantes pour
leurs contributions, par ordre alphabtique : Rogier van Agt, Didier
Appell, Jean-Michel Bertheaud, Jean-Marc Bianchini, Jaap Bloem,
-
5/24/2018 Sogeti Cybersecurity Fr
21/83
Cyberscurit : conserver lavantage dans la partie
Michiel Boreel, Bryan Casey, Jeff Crume, Doug Davidson, Vijay Dheap,
Menno van Doorn, Jean-Marc Gaultier, Stphane Janichewski, Edouard
Jeanson, Yves Le Floch, Arnauld Mascret, Vronique Mireau, Patrick
Morley, Charles Palmer, Orion Ragozin, Patrick Recchia, Pierre-Luc
Rfalo, Djaafar Senoussi, Rene Speelman, Mike Turner, Martin Visser,
Charlie Weibel-Charvet, Jim Whitmore.
-
5/24/2018 Sogeti Cybersecurity Fr
22/83
2Au premier plan de la
scuritComment le combat continu entreles gentils et les mchants rend notre monde plus sr
O serions-nous sans Internet ? Le rseau des rseaux, cr comme unoutil de communication simple et capable de survivre en cas de per-
turbations grande chelle, a dfini notre poque. lorigine, Inter-
net ntait quun rseau textuel, mais au fil du temps, des dimensions
graphiques puis commerciales, du streaming vido et de nombreuses
autres extensions ont t intgres. prsent, lheure est (enfin) venue
de rflchir srieusement la scurit et la confidentialit.
De nos jours, nous ne savons pas comment poursuivreen justice la cybercriminalit dans le cadre juridique
national ou mondial. Quel cadre sera applicable ?
Qui servira de cyber-police ? Interpol est-elle la bonne
agence ? Lactivisme est-il une forme de cybercrimi-
nalit ? Pour certains, je suis un terroriste. Jestime
tre davantage une force contraire. Jessaie juste dtre
utile !
Cyber-activiste
On ne peut pas dire que la scurit ait t compltement absente depuis
tout ce temps, mais notre dpendance croissante aux communications
numriques et laugmentation du niveau et du nombre dattaques ont
pris le pas. Depuis les dbuts du commerce lectronique, les commer-
-
5/24/2018 Sogeti Cybersecurity Fr
23/83
Au premier plan de la scurit
ants et les socits de carte de crdit luttent pour prserver lintgrit
des paiements en ligne. Mais les choses ont chang : les attaquants ne
recherchent plus simplement largent ou les informations des cartes
de crdit, mais bien davantage. La rputation et la survie dentreprises
toutes entires sont en jeu. Pour une entreprise de taille moyenne, une
attaque grave des fins malveillantes pourrait impliquer une grave per-turbation de son activit.
De nos jours, les attaquants sont divers et dynamiques : il sagit de
groupes criminels internationaux, dintervenants parrains par un tat,
de cyber-activistes idalistes (hacktivists), et dinitis cherchant faire
fuiter des informations. Ces attaquants constituent le pire cauchemar
des responsables de la scurit. Des menaces persistantes et avances
( : Advanced Persistent reats) ont vu le jour : des individus trscomptents cherchent tout prix percer les dfenses et feront tout
leur possible pour parvenir leur but. Il est virtuellement impossible
dlaborer une dfense efficace contre ces menaces, et elles
impliquent une approche diffrente des mesures de scurit classiques,
gnrales et gnriques. Une telle dfense impliquera une bonne
gouvernance, une dtection en temps rel des attaques en cours, des
systmes de scurit intelligents, des intervenants forms, une rvision
de larchitecture de donnes, une mise en place de mcanismes de rac-tion, une rvision des interactions avec les partenaires et une refonte
des processus existants dans linformatique et le commerce. Pour
rsister, avec chaque nouveau projet technologique, la scurit doit tre
prise en compte ds le dpart. Malgr tout, une certaine rsignation
sest installe parmi les experts de la scurit, gnrant une forme de
sagesse peu conventionnelle :
Il existe deux types dentreprises : celles qui ont t hackes etqui le savent et celles qui lont t et qui ne le savent pas.
http://www.usatoday.com/story/cybertruth////lexisnexis-dunn--bradstreet-altegrity-hacked//
http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity-hacked/2878769/http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity-hacked/2878769/http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity-hacked/2878769/ -
5/24/2018 Sogeti Cybersecurity Fr
24/83
:
Un flux dinformations libre constitue un impratif
conomique
Le Manifeste de la Cyberscurit
Vie prive et scurit sont les deux facesdune mme mdaille
Avec lvnement du big data, des rseaux sociaux et la prolifration
des donnes de localisation, les dfenseurs de la confidentialit se sont
interrogs sur les propritaires des donnes (ou mtadonnes ) et sur
le niveau de contrle dont disposent les particuliers et les organisations.
Bon nombre de ces questions nont pas encore trouv de rponses dunpoint de vue technique (quels outils utiliser ?) ainsi que dun point de
vue financier et socital. Enfin, la confidentialit est un problme la
fois culturel et personnel, et un espace o la perspective et limpact des
natifs numriques (Net-generation) prend une plus grande importance.
Cette gnration, qui a t leve avec Internet, amne un nouveau
point de vue sur la confidentialit et la proprit des donnes.
Certains concepts mergents relatifs la proprit des donnes revi-sitent des pratiques existantes. Par exemple, lide quune personne
restera ternellement propritaire de lensemble des donnes la concer-
nant. Toute entreprise souhaitant utiliser ces donnes devrait ngo-
cier avec leur propritaire pour en obtenir laccs et lutilisation. Cela
ne fonctionnerait que dans le cadre dun systme dautorisation et de
modles daccs complexe. En ralit, bon nombre de ces concepts
ne fonctionneraient que sils taient adopts universellement. Il sagit
galement l dune similitude entre confidentialit et scurit : ellesdpassent les frontires organisationnelles. Lorsquune entreprise a
tabli sa propre culture de confidentialit et de scurit, elle doit la
partager avec ses clients, partenaires, pouvoirs publics et organismes
officiels.
-
5/24/2018 Sogeti Cybersecurity Fr
25/83
Au premier plan de la scurit
On dcouvre alors des similarits dans la faon dont les entreprises
devraient traiter la scurit et la confidentialit. Par exemple, si des
donnes sont inutiles, elles devraient tre supprimes afin de rduire
efficacement les risques de scurit et de confidentialit.
Limpact de la cyberscurit quelle importance ?
Finalement, comment tout ceci affecte-t-il les organisations ? Le
contexte idologique de lattaquant importe-t-il ? Est-il important que
certains des attaquants soient parrains par un tat ? Il existe l des
thmatiques importantes prendre en compte, telles que les ressources
dont disposent lattaquant et comment les organisations pourraientdemander le soutien des pouvoirs publics si lon dtecte une parti-
cipation trangre. Cependant, bien que les risques varient, la fois
en termes de nature et de svrit en fonction du secteur, en ralit,
lorsquune attaque est lance, elle reste une attaque. Les organisations
ne se soucient des intentions de lattaquant que dans la mesure o
elles permettent de dfinir les dgts que lattaquant envisage de crer.
Lobjectif est-il de dgrader un site Internet, de voler des secrets ou de
perturber lactivit ? Les motivations idologiques ou le sponsoring sont ce niveau dun intrt moindre.
Dans lventail des acteurs uvrant du ct des attaquants, ceux par-
rains par des tats peuvent constituer le haut de gamme. Pourtant les
criminels, qui peuvent tre localiss partout dans le monde, ne sont
pas loin derrire, car ils utilisent les mmes vulnrabilits et les mmes
failles de scurit.
Les participants les moins dous dans cette dynamique sont les utilisa-
teurs de base , qui diffusent par inadvertance des donnes sensibles
en ligne, qui fournissent leur mot de passe en rponse un courriel
malicieux, qui partagent leur mot de passe avec un ami au travail ou
qui oublient une cl dans leur voiture de location. Ces utilisateurs
-
5/24/2018 Sogeti Cybersecurity Fr
26/83
:
reprsentent aujourdhui lun des dfis les plus importants pour les
responsables de la scurit. Ils doivent mettre en place une stratgie et
une approche pour tablir des contrles adapts tout en vitant dans le
mme temps de perturber la crativit et les rsultats conomiques.
Liste des attentes en matire de cyberscuritLors dun vnement rcent, un groupe international de responsables de la
scurit a tabli une liste dattentes court terme, en rpondant la question
Quelle devraient tre les avances les plus importantes en matire de scurit
dans les prochaines annes ? Voici leurs rponses les plus frquentes, classes
en trois catgories :
De meilleures solutions pour scuriser les communications de bout-en-bout Disposer de meilleurs mcanismes dauthentification pour pouvoir tre srs
% de qui se connecte un systme.
Pouvoir utiliser des applications scurises sur une infrastructure non scuri-
se. Il faut reconnatre que les PC, tablettes, tlphones et lInternet lui-mme
ne seront jamais srs. Il est donc impratif dlaborer des applications scuri-
ses sur une base non scurise.
Un plus grand rle jouer pour la biomtrie, qui pourrait servir de soutien
lauthentification en ligne, en permettant de nouveaux niveaux de scurit. Onparle dempreintes digitales, danalyses sanguines, dchantillons dADN, de
rythme cardiaque et dautres biomarqueurs.
Des systmes intelligents
Disposer dun systme de scurit capable dauto-apprentissage : un systme
qui pourrait apprendre des oprations de tous les jours et qui bloquerait auto-
matiquement tous les mouvements inhabituels dans les systmes.
Une classification automatise des donnes, par une dtection automatique decelles devant tre scurises.
-
5/24/2018 Sogeti Cybersecurity Fr
27/83
Au premier plan de la scurit
Un mode de communication amlior avec les utilisateurs sur la scurit
Disposer dun cadre davertissements et dalertes de scurit permettant
lutilisateur de mieux comprendre le risque rel et les implications de certaines
actions. Cela pourrait sappliquer partout, depuis les app store jusqu cer-
taines actions dans un systme dentreprise.
Un label attribuer aux applications et une certification pour les appareils
informant les consommateurs du niveau de scurit fourni.
Vux pieux du responsable de la scurit
Sans surprise, les responsables de la scurit sont stresss. Dans leur
secteur, on ne peut pas proposer de garantie . Les risques
augmentent chaque jour et les budgets restent limits. En matirede scurit, certains disent : on ritre sans cesse les mmes choses
jusqu ne plus avoir de temps ou de financement , ce qui constitue
une approche trs peu satisfaisante. Oui, les organisations auront
besoin dune stratgie et oui, il existe un nombre considrable dou-
tils et de normes industrielles disponibles, mais rien ne garantit que
les attaques les plus rcentes et les plus puissantes ont t dcou-
vertes et documentes.
Ce ne sont plus les grandes entreprises qui sont
attaques. De nos jours, lattaque des est un don
de Dieu pour les hackers.
dune socit de services financiers
Alors comment changer la donne ? Comment le monde de la scurit
peut-il avancer ? Il existe des donnes fondamentales qui ne changeront
probablement jamais, par exemple le fait quInternet ne sera jamaisune infrastructure sre ou que les organisations ne disposeront jamais
dassez de budget, de main-duvre ou de temps pour faire face toutes
les vulnrabilits ou encore que lon ne pourra jamais vraiment prou-
ver que les bonnes dcisions ont t prises. Mais il y a de lespoir : une
meilleure sensibilisation des cadres et des progrs technologiques ou
-
5/24/2018 Sogeti Cybersecurity Fr
28/83
:
encore lapplication du droit international pourraient changer la donne
pour de bon.
Les premires choses faire sont de se baser sur des
bonnes pratiques, dobserver le march pour obtenir
des rfrences et des normes. Je suis surpris quil ny aitpas davantage de forums (...) pour partager les bonnes
pratiques.
dune socit industrielle
Une opportunit croissante et importante est centre sur des systmes
plus intelligents qui sadaptent et apprennent par eux mmes. On note
de nombreuses volutions dans ce secteur, mais il reste difficile de
prsager de lavenir car cela reviendrait tenter de prvoir le compor-tement humain. La premire fois quun nouvel vnement survient, ce
dernier est par dfinition inconnu du systme de scurit. Les organi-
sations et les personnes qui les composent changent constamment, la
capacit distinguer entre volution naturelle du processus commercial
et incident de scurit potentiel reste un dfi malgr les progrs signifi-
catifs qui ont t raliss dans le domaine de lanalytique en termes de
scurit.
Daucuns ont avanc lide que la prochaine re de linformatique serait
centre sur linformatique cognitive , celle des systmes qui appren-
dront naturellement de leur environnement. Cette tape dpasse les
simples rgles ou mme les capacits analytiques bases sur les prin-
cipes de base.
Il faudra sans doute des annes pour que ces capacits deviennent mon-
naie courante sur le march ou dans les divers contextes de la scurit.Mais les organisations peuvent prendre ds prsent des mesures pour
sy prparer, et tirer parti de cette volution, notamment dans leur
mthode pour valuer et cultiver les comptences au sein de leur orga-
nisation. Les donnes et lanalytique prennent un rle de plus en plus
central dans lidentification et la rponse des organisations aux menaces
-
5/24/2018 Sogeti Cybersecurity Fr
29/83
Au premier plan de la scurit
pour la scurit ; les organisations devront donc faire appel un type
diffrent de professionnel de la scurit, des personnes disposant dune
expertise la fois dans le domaine de la scurit et de lanalyse des
donnes.
Faire reposer les pratiques et les comptences sur une approche ana-lytique qualitative et quantitative de la scurit constitue la fois une
valeur ajoute immdiate et un lment cl pour la construction dune
stratgie de scurit long terme.
Les avantages en tirer
Bien quil soit parfois difficile de juger positivement le dluge constantde divulgations, de menaces et de violations de donnes, il existe deux
rsultats trs tangibles qui sont largement positifs. Tout dabord, la plu-
part des attaques actuelles cible des individus, cest pourquoi une meil-
leure sensibilisation du public aux menaces pour la scurit permettra
terme aux particuliers de mieux rsister aux attaques. Le fait daborder
plus largement la thmatique de la scurit dans le domaine public per-
mettra non seulement aux gens de comprendre quil existe une menace
importante, mais galement de discuter davantage de la nature de lamenace, des mthodes utilises lors des attaques et des mesures que
les utilisateurs doivent prendre pour assurer leur protection et celle de
leurs organisations.
Ce qui est intressant pour moi aujourdhui, cest
quau niveau de ltat, la cyberscurit et le cyber-
crime sont vraiment pris en compte. (...) Les bases
ont t poses, il faut prsent progresser dans cedomaine
Responsable militaire de scurit des informations et de
lutte contre la cybercriminalit
-
5/24/2018 Sogeti Cybersecurity Fr
30/83
:
De plus, lattention supplmentaire accorde aux problmes de scurit
ainsi que le dbat public sur le sujet poussent la cration dune infra-
structure informatique plus rsistante. En labsence de pression et de
responsabilit publiques, de nombreux problmes de scurit reste-
raient non rsolus sans un vritable mcanisme dentranement. Bon
nombre dorganisations ont par le pass abord la scurit aprs coup,et mme pire, nont trait ces problmes quaprs la survenance dun
incident. Cependant, de nos jours, la pression du public, la sensibili-
sation et limpact bien compris des menaces pour la scurit poussent
les organisations aborder la scurit comme un lment essentiel de
conception et de fourniture des produits et services, de structuration
des processus commerciaux au sein dune organisation, ainsi que de
stockage et de protection des donnes et des informations confiden-
tielles et des clients.
Plus les enjeux de la scurit seront importants et mieux compris, plus
il sera difficile dexploiter les vulnrabilits humaines et techniques des
fins illgales.
Laccs un Internet libre est un droit humain fondamental
Le Manifeste de la Cyberscurit
-
5/24/2018 Sogeti Cybersecurity Fr
31/83
3Traiter les effets
secondaires dus lapratique Bring-Your-Own-Device
Des appareils et services
largement disponibles vontenvahir les organisations
Le principe nous expose des problmes de
scurit majeurs, car il cre des failles dans linforma-
tique de lentreprise. Cela ntait pas le cas il y a dix
ans, et il sagit selon moi du vrai dfi des prochaines
annes. Responsable militaire de scurit des informations et de
lutte contre la cybercriminalit
Le rapport que les personnes entretiennent avec leurs diffrents gadgets
est plus intime que jamais. Les prfrences personnelles, les mthodes
de travail et le ressenti dterminent quel appareil est le mieux adapt
une personne. Les utilisateurs apportent et se servent de leurs appa-
reils personnels au travail. Lentreprise ne peut plus vraiment dciderquels ordinateurs portables, tlphones, tablettes ou phablettes sont uti-
liss pour travailler. Pour lheure, de nombreuses organisations essaient
de limiter lafflux dappareils personnels par le biais de politiques
strictes interdisant lensemble de ces appareils, mais long terme, cette
mthode risque de savrer intenable. Dautres entreprises sattachent
-
5/24/2018 Sogeti Cybersecurity Fr
32/83
:
mettre en place des politiques Bring-Your-Own-Device ( apportez vos
propres appareils ), ou plus souvent Choose-Your-Own-Device ( choi-
sissez vos propres appareils ) qui rpondent au dsir du collaborateur
dutiliser lappareil de son choix tout en sauvegardant la scurit de
lentreprise. Or, cela savre plus difficile quil ny parat. Les politiques
pourraient-elles prsager de la fin dun contrle digne de ce nomsur les appareils et la technologie ?
Les entreprises ne contrlent plus leurs environnements logi-
ciels et matriels.
Le Manifeste de la Cyberscurit
Quelles sont les dernires volutions ? On ne peut pas freiner larrive de nouvelles technolo-
gies. Nous sommes contraints de nous adapter.
dune socit industrielle
Le principe est au cur des proccupations de nombreux et
atteint mme le - (apporter votre propre informatique) : il ne sagit
plus simplement des appareils, mais galement des services utiliss surles appareils qui sont largement disponibles sur le cloud . Les salaris
apportent une multitude de choses au sein de lentreprise, depuis leurs
tlphones jusquaux tablettes, en passant par des solutions collabora-
tives, de partage de fichiers et de gestion complte de la relation client.
Lassociation des appareils des consommateurs et des services sur le
cloud a donn naissance des fonctions de niveau entreprise parfaite-
ment exploitables en environnement professionnel.
Quel intrt pour nous ?
Traditionnellement, la dfense du primtre constituait la principale,
voire la seule ligne de dfense. Le fait de laisser entrer dautres appareils
-
5/24/2018 Sogeti Cybersecurity Fr
33/83
Traiter les effets secondaires dus la pratique Bring-Your-Own-Device
ou mme dautres services a renvers ce paradigme, en nous poussant
repenser la scurit de lensemble du portefeuille technologique.
Quelles nouvelles mesures prendre ?
Le problme principal du systme tient ce que la plupart des
systmes back-end nont pas t conus en prenant en compte ce type
de flexibilit. De plus, le passage dun modle de scurit de type pri-
mtre un nouveau modle inter-couches est assez abrupt. Ce modle
lui-mme peut tre connu depuis un certain temps, sa mise en uvre
lchelle de toute une organisation constitue nanmoins une tape
majeure. Elle implique de prendre les mesures suivantes :
Cependant, lattitude de certains responsables peut
tre irritante. Certains ne montrent pas lexemple. Cela
dpend souvent de la personne. Certains dirigeants
sont conscients des risques et en font une priorit pour
la socit. Mais cela ne suffit toujours pas.
Responsable militaire de scurit des informations et de
lutte contre la cybercriminalit
Mise en uvre de la scurit sur lensemble des composants tech-nologiques. Nous ne pouvons plus faire confiance un appareil, un
canal ou une application unique : nous devons vrifier chaque tape
quun utilisateur autoris a lanc linteraction demande dans un but
reconnu. Cela implique dintgrer tous les composants techniques,
du bus applicatif dentreprise au serveur Web en passant par la base
de donnes de lentreprise, un certain modle dautorisation fond sur
des actions autorises : dfinir ce qui est autoris et interdire toutle reste. Il faudra ici sacrifier la flexibilit informatique (interfaces
gnriques, ouvertes) la scurit (interfaces spcifiques fermes).
La scurit concerne dabord les donnes, ou plus prcisment lesdonnes et leur contexte dutilisation. Les modles dautorisation ne
doivent pas tre fonds sur un accs (connexion au systme) mais
-
5/24/2018 Sogeti Cybersecurity Fr
34/83
:
sur laccs aux donnes en fonction dun contexte ou de scnarios
dtermins : cet utilisateur peut-il cette heure prcise, cet endroit,
par le biais de cet appareil et dans ce but accder telle fonctionna-
lit utilisant telles donnes spcifiques ?
Ncessit dun contrle didentit fort : un modle utilisateur intgrconstitue la base de toute approche de scurit ; mais dans la ralitdaujourdhui, le modle didentit doit intgrer un modle de scu-
rit personnalis, dfinissant quel type de comportement est nor-
mal pour un utilisateur donn, linstar des procdures appliques
par les socits de carte de crdit pour dtecter un comportement
frauduleux.
Transformation du modle de primtre en modle couche oumodle en oignon : il ne sagit plus simplement de lintrieur et
lextrieur , car il existe probablement plusieurs couches au milieu.Lobjectif serait de dfinir une zone aussi limite que possible qui
serait vraiment secrte , et des zones en expansion constante dans
lesquelles les donnes sont de moins en moins restreintes. Plus la
couche laquelle vous cherchez accder est secrte , plus les
requtes relatives aux autorisations, aux appareils, au rseau utilis,
au cryptage, etc. seront nombreuses. Dans ce contexte, le secret
correspond aux dommages qui pourraient rsulter dune exposition
ou dune perturbation des donnes concernes : que se passe-t-illorsque votre adresse est drobe, lorsque vos donnes clients
sont exposes ou que vos plans stratgiques sont divulgus la
concurrence ?
Ne pas oublier lancien modle : lorsque lon traite tous les thmesmentionns ci-dessus, il ne faut pas oublier que le primtre reste
une couche de dfense importante. Cest la raison pour laquelle il
convient de prter attention la gestion des appareils, aux machines
virtuelles, aux appareils mmoire partage, etc. Lun des dfis delinfrastructure informatique moderne concerne la multitude de
combinaisons possibles entre appareils, rseaux, applications et
structures de messagerie. Chacun de ces lments est susceptible
dtre le maillon faible ; une solution de scurit prcise et cible sim-
pose donc pour chaque lment connu de votre infrastructure. Il faut
-
5/24/2018 Sogeti Cybersecurity Fr
35/83
Traiter les effets secondaires dus la pratique Bring-Your-Own-Device
dterminer clairement quels sont les appareils qui ne sont pas placs
sous le contrle de lentreprise et qui ne doivent donc pas tre jugs
fiables, mme si une solution de scurit optionnelle est susceptible
dtre dploye
Enfin, il existe naturellement les aspects juridiques et financiers lisau : dfinir des politiques claires prcisant qui paiera lappareil,qui est responsable de quoi, quels processus de scurit doivent tre
suivis, quand lentreprise peut accder lappareil et quel type de
responsabilit est accept.
Les universits constituent un bon exemple de la faon dont le prin-
cipe pourrait fonctionner : tous les tudiants, et parfois mme les
professeurs, ont leurs propres appareils et doivent accder tous types
doutils et de systmes. Ils apportent leurs propres appareils et choi-sissent souvent leurs propres outils pour travailler et collaborer.
Ce concept pourrait galement fonctionner pour dautres organisa-
tions. De plus, les mmes modles de scurit sadapteraient dautres
tendances importantes relatives aux organisations des rseaux, lint-
gration de la chane logistique et des alliances de projets. Malheureu-
sement, lheure actuelle, les infrastructures et systmes dexploitation
ne sont pas prts. Cest pourquoi bien que le puisse rpondre aux
souhaits des salaris, le Choose-Your-Own-Device ( : choisissezvotre propre appareil) reprsente souvent la meilleure solution possible
pour le moment.
-
5/24/2018 Sogeti Cybersecurity Fr
36/83
4Lorsque lentreprise est
en danger, ne confiezpas la scurit auservice informatique
Des mesures dattnuation des
risques devraient prvoir cetteattnuation au niveau de lentreprise,et non pas uniquement une approcheinformatique
Dans les organisations daujourdhui, linformatique a pris une place centrale.
Elle est la base de tous les processus, elle rend possible la plupart de nos
Business models. Elle est au centre de lengagement, de lapproche cono-mique et de la relation avec les clients. Nous dpendons plus que jamais de
la technologie, non seulement pour enregistrer ou traiter des commandes,
mais pour tout ce qui concerne le marketing, les ventes, les livraisons, les
services et tous les processus internes. Les dommages potentiels dus une
dfaillance du systme voire pire, un sabotage sont donc plus importants
que jamais. Pourtant la gestion du risque numrique et la prparation des
rponses aux incidents sont souvent confies au service informatique, alors
mme que limpact est prsent bien plus large. Cela doit changer.
La gouvernance de la scurit ne peut rester une proccupation
mineure lheure o la cyberscurit est devenue une proccu-
pation majeure.
Le Manifeste de la Cyberscurit
-
5/24/2018 Sogeti Cybersecurity Fr
37/83
Lorsque lentreprise est en danger, ne confiez pas la scurit au service informatique
Quelles sont les dernires volutions ?
Au cours des dernires annes, les entreprises ont pris conscience
de limportance de linformatique dans leurs relations clients et leurs
processus cls. Entran par lmergence des applications mobiles,
des mdias sociaux et des systmes dengagement , le niveaude dpendance linformatique sest fortement accru dans un grand
nombre de nouveaux secteurs dactivit. Dans le mme temps, des
pannes informatiques de premire importance sont survenues et
soulignent une nouvelle fois notre forte dpendance linformatique :
par exemple le cas dune compagnie arienne dont les passagers se
sont retrouvs bloqus en raison dune panne de systme, ou encore le
cas de ces innocents arrts en raison derreurs systme, ou mme les
problmes rencontrs lors des lections aux tats-Unis et au sein desmarchs boursiers. Le caractre volatile de ce risque a fortement aug-
ment : la connaissance des vulnrabilits se dveloppe extrmement
vite et il existe un vritable march o acheter et vendre des vulnrabili-
ts zero day (des vulnrabilits dont personne nest encore conscient
lorsquelles sont exploites). En consquence, le laps de temps qui
scoule entre cela ne pourra jamais arriver et le risque est srieux
et rel est aujourdhui plus rduit que jamais.
Quel intrt pour nous ?
La rponse un incident dtermine en grande partie les dommages
subis par vos clients, votre propre rputation et la poursuite de votre
activit. Une prparation efficace peut acclrer la rponse voire limiter
les risques pour lactivit avant leur ralisation. Les risques pour len-
treprise doivent tre contrs par une attnuation gnrale au niveau delentreprise.
http://www.aiim.org/~/media/Files/AIIMWhitePapers/Systems-of-Engagement-Future-of-Enterprise-IT.ashx
http://mybroadband.co.za/news/software/-high-profile-software-failures-of-.html http://www.net-security.org/secworld.php?id=
http://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-%ADFuture-of-Enterprise-IT.ashxhttp://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-%ADFuture-of-Enterprise-IT.ashxhttp://mybroadband.co.za/news/software/39959-high-profile-software-failures-of-2011.htmlhttp://www.net-security.org/secworld.php?id=14142http://www.net-security.org/secworld.php?id=14142http://mybroadband.co.za/news/software/39959-high-profile-software-failures-of-2011.htmlhttp://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-%ADFuture-of-Enterprise-IT.ashx -
5/24/2018 Sogeti Cybersecurity Fr
38/83
:
Quelles nouvelles mesures prendre ?
Traditionnellement, le service informatique prpare et ragit princi-
palement aux incidents : reboucher les brches, arrter les systmes,
rcuprer les donnes perdues et ventuellement traquer un attaquant.
Ce nest qu ce stade-l que le reste de lorganisation se rveille et com-mence collaborer, pour autant que ce soit le cas. La gestion du risque
numrique au niveau de lentreprise modifie le niveau de prparation et
de rponse :
De mon point de vue, en cas dattaque, la meilleure
mthode consiste ne pas ragir immdiatement mais
commencer par rflchir.
dune banque
Pour crer une stratgie de scurit, lorganisation analyse les risquescommerciaux associs aux pannes et aux attaques. Elle planifie une
rduction de ces risques dans son contexte numrique (renforcement
des dfenses) mais galement et surtout dans le domaine organi-
sationnel (par exemple en modifiant les termes et conditions pour
limiter la responsabilit, en sensibilisant les clients aux ractions
adopter en cas de problme, en prparant la communication, entablissant un processus descalade, en salignant sur la position des
partenaires, etc.). Ces activits impliquent galement des efforts de
rduction des risques mtier provenant de fuites ou dattaques
internes en laborant une segmentation des rles diffrente, et en
modifiant les procdures de contrle et autres dispositions limitant la
possibilit et limpact des violations ou du sabotage de donnes.
Le plan de rponse aux incidents doit prvoir les dlais et modes de
communication aux clients, partenaires et aux pouvoirs publics desincidents de scurit. En fonction de la gravit de lincident, plusieurs
types de messages peuvent tre dvelopps, mais, pour chaque inci-
dent, la communication interne et externe doit adopter un message
unique et cohrent. Lobjectif principal est la protection des intrts
des clients et la rduction de leurs incertitudes. La communication
-
5/24/2018 Sogeti Cybersecurity Fr
39/83
Lorsque lentreprise est en danger, ne confiez pas la scurit au service informatique
doit tre rapide et efficace et les parties concernes telles que les
forces de lordre, les agences rglementaires et les partenaires doivent
aussi tre informes sil y a lieu.
Une quipe de rponse pluridisciplinaire doit tre mise en place : ser-vice informatique en collaboration avec la communication, le service
juridique, les dcisionnaires principaux et les autres experts commer-ciaux concerns. Cette pratique est recommande depuis un certain
temps mais elle nest pas applique assez souvent.
Tester et rviser les processus de rponse durgence avec toutelquipe, afin que les intervenants se familiarisent avec leurs collgues
et avec les procdures. Comme la indiqu un consultant en scurit :
Sil y a une attaque, savent-ils comment ragir ou autrement qui
contacter ? La gestion des incidents devrait tre simple et claire. Sil
leur faut un manuel, cela ne marchera pas.
Les rponses aux urgences de cyberscurit doivent tre
bien prpares, fonctionner correctement et avoir t bien
pratiques.
Le Manifeste de la Cyberscurit
De nos jours, dans les organisations, le rle de est de plus en plus
souvent confi une personne disposant dune exprience business ,afin de garantir que le service informatique est effectivement gr dans
le cadre de lactivit, et non comme une entit semi-indpendante. De
mme, le ou le doit disposer dune connaissance solide des
mtiers et uvrer pour aborder les questions sur la scurit au bon
niveau. Il convient dinclure les risques sur la scurit des informations
dans les considrations de gestion des risques de lentreprise et, chose
essentielle, daider limiter le risque business li une dfaillance
de la technologie. Le dfi consiste ici y consacrer du temps, sans bienvidemment abandonner pour autant la dimension oprationnelle de ce
poste.
-
5/24/2018 Sogeti Cybersecurity Fr
40/83
5La scurit dbute ds
la conceptionConfidentialit, qualit et scuritdoivent tre prises en compte dsle dpart
Si seulement il tait possible de reconstruire tout depuis le dbut, toutserait plus facile : nous pourrions appliquer simplement lensemble des
meilleures pratiques que nous connaissons et les donnes et systmes
resteraient scuriss. Ah, si seulement La notion de scurit par
conception parat simple et hautement souhaitable : elle consiste
laborer le systme depuis le dbut en se fondant sur des principes srs
suffisamment rsistants pour faire face toutes les menaces prsentes
et futures. Pour tout nouveau dveloppement, cest effectivement aussi
simple que cela : la scurit par conception consiste dfinir lascurit dans un systme depuis son origine. Pour les logiciels existants,
loccasion est passe, mais elle peut tout de mme tre intgre en sas-
surant que toute nouvelle modification accrot la scurit du systme de
toutes les faons possibles. Lorsque vous prvoyez une nouvelle mise
jour pour ce systme ancien, vous appliquer un nouveau modle
de scurit.
Quelles sont les dernires volutions ?
Le dveloppement de logiciels sest fortement professionnalis au
cours des dix dernires annes, avec une plus grande attention por-
te la modlisation, aux mthodes agiles, la gnration de code et
-
5/24/2018 Sogeti Cybersecurity Fr
41/83
La scurit dbute ds la conception
une meilleure utilisation des cadres de rfrence, de composants et
solutions.
Ainsi, le processus de dveloppement de code est devenu davantage
prvisible et matrisable, et les modles et composants de scurit sont
galement largement disponibles. Avec lintroduction du cloud, linfor-matique connat une profonde transformation : les systmes dvelopps
en interne sont remplacs par des systmes du march et de nouvelles
solutions sont cres spcifiquement pour ce nouvel environnement. Il
sagit dune excellente occasion de bien faire les choses !
La scurit doit tre au cur des systmes, avec
linformatique de confiance. Il existe un fort besoin de
btir des applications sres au sein dune infrastruc-ture qui ne lest pas. Nous ne pourrons jamais scuriser
toute la chane. La scurit doit constituer le premier
thme abord dans la planification des projets, avant
de rflchir au reste. Cependant, la dmarche inverse
est plus souvent applique.
dun institut de recherche
Quel intrt pour nous ?
La scurit par conception est lune des approches les plus puissantes
disponibles pour que tout soit plus sr. Ne pas lutiliser signifie renon-
cer une belle opportunit. Les fournisseurs de produits sont parfai-
tement conscients des risques de scurit ; cest pourquoi le dvelop-
pement personnalis reprsente lun des points les plus importants oles vulnrabilits sont intgres votre infrastructure technologique.
Intgrer la scurit dans chaque couche et diffrents niveaux (dfense
en profondeur) constitue le seul moyen de rsister aux attaques et de
mieux y faire face lavenir, par exemple en se prparant de nouveaux
-
5/24/2018 Sogeti Cybersecurity Fr
42/83
:
canaux, de nouvelles connexions, de nouvelles intgrations, la scurit
se trouvant intimement intgre au cur mme du systme central.
Quelles nouvelles mesures prendre ?
Concernant les tests logiciels et le dbat sur la confidentialit, nous
avons constat que plus tt certaines exigences sont prises en compte
dans le processus, plus la mise en uvre savre simple et rentable. Il en
est de mme pour la scurit :
Intgrer la scurit la discussion sur lArchitecture dEntreprise,avec des exigences fermes sur les donnes, le contrle de lauthentifi-
cation et considrer non fiables les autres composants ou couchesde votre architecture par dfaut. Mettre en place un processus dho-
mologation pour lArchitecture dEntreprise en aidant les quipes
projet prendre les bonnes dcisions.
Crer des anti-modles : des cas dutilisation nfaste dcrivant gale-ment les comportements indsirables, de sorte clarifier ce quil faut
mettre en place et contrler au cours de llaboration. Par exemple,
lorsquun cas dutilisation autoris indique un utilisateur authen-
tifi peut accder ces cinq dernires transactions , vous pouvezlutiliser pour prendre lhypothse indsirable suivante Un utilisa-
teur non-authentifi peut accder aux cinq dernires transactions du
systme ou Un utilisateur authentifi accde aux cinq dernires
transactions de Cela permet de clarifier ce que
le code sous-jacent devrait autoriser et interdire, jusquau niveau des
donnes. Cela permet dtablir trs tt dans le processus de concep-
tion o mettre en place les restrictions.
Consacrer suffisamment de temps et de budget pour traiter toutesles exigences non fonctionnelles de vos projets ds le dbut : scurit,confidentialit, qualit, ergonomie, possibilit de gestion, etc.
Le monde daujourdhui est proccupant. Le pri-
mtre du rseau a disparu. Nous disposions dune
-
5/24/2018 Sogeti Cybersecurity Fr
43/83
La scurit dbute ds la conception
forteresse qui sest progressivement vapore avec
lexpansion du rseau. Comment scuriser les donnes
dans ce contexte changeant ?
dun tablissement denseignement
Comment procder ?
La scurit par conception dbute lorsquune quipe de dveloppe-
ment reconnat quil existe des possibilits dvnements nfastes sur
des logiciels apparemment corrects. De ce constat dcoule la ncessit
dune conception associant exigences fonctionnelles, exigences non
fonctionnelles et exigences dassurance (ou de prvention des risques). partir de ces trois exigences, une dans chaque catgorie, il est essen-
tiel dtablir quelle priorit les parties prenantes et les utilisateurs finaux
donneraient ces exigences. Par le pass, cette priorit pouvait tre
la suivante : caractristiques fonctionnelles (orientes productivit),
caractristiques non fonctionnelles (orientes apparence et ressenti) et
assurance (particulirement si elle affecte la productivit ou lapparence
et le ressenti). De nos jours, il apparat que la priorit est diffrente, et
que lassurance prend souvent le pas sur les exigences fonctionnelles ounon fonctionnelles, et ce pour de bonnes ou de mauvaises raisons.
La scurit par conception fonctionne sur deux voies parallles. La
premire est celle de la technique, o les exigences de prvention des
risques/dassurance sont documentes. La seconde concerne la gestion
de projet ou les processus, o les dcisions relatives la rsolution de
ces exigences sont suivies jusqu tre satisfaites.
La scurit est intgre au dmarrage des projets, ce
qui ntait pas le cas il y a ans.
Responsable militaire de scurit des informations et de
lutte contre la cybercriminalit
-
5/24/2018 Sogeti Cybersecurity Fr
44/83
:
Quels sont les dfis relever ?
Lun des principaux dfis de la scurit par conception consiste
pouvoir orchestrer et contrler les projets. Tous les projets de dvelop-
pement logiciels font face des dfis en termes de budget, de dlais,
de ressources, de complexit ainsi que dvolution des exigences etpriorits.
Sil est notoire que labsence dune approche de scurit par conception
peut avoir un impact grave sur les dlais, les ressources et la complexit
dun projet, on a galement souvent limpression quune approche de
scurit par conception rigoureuse constituerait un fardeau gal ou
suprieur pour un projet.
La voie suivre
Si elle est mise en place de faon correcte, la scurit par conception ne
constitue pas un fardeau et elle ne devrait pas tre juge optionnelle. Sa
mthode dexcution doit tre dterministe et conforme aux tolrances
de la mthode de gestion de projet. La scurit par conception repr-
sente ainsi davantage quune srie dtapes ; elle constitue plutt unemthode disposant de mcanismes dentre, de sortie et de contrle. Il
sagit dun concept simple dont les consquences et les rsultats sont
tendus.
-
5/24/2018 Sogeti Cybersecurity Fr
45/83
6La cl de la scurit :
mettre en placedes technologiespersuasives
Linteraction par dfaut entre
lutilisateur et la technologiedevrait amliorer la scurit
Slectionnez un mot de passe compos dau moins caractres conte-
nant des majuscules, des caractres spciaux et ne contenant pas de
noms ou de mots communs. Et surtout : ne le notez nulle part. videm-
ment, lorsquon parle de scurit, nous aimerions que tout le monde
suivent nos consignes. Ne configurez pas votre navigateur pour quilsauvegarde vos mots de passe, nutilisez pas doutils conus par des tiers,
ne partagez pas de documents, etc. Mais ne soyez pas surpris lorsque
des utilisateurs ignorent vos consignes et font ce quils veulent, ou
encore quils essaient de contourner vos rgles. Pour que les utilisateurs
se comportent dune faon permettant damliorer la scurit de lentre-
prise, une seule solution : leur simplifier la vie, et ne pas la leur rendre
plus complique.
Il sagit dun des signes cls de notre poque, qui va lencontre de lide
reue selon laquelle il faut appliquer des politiques en ne tenant quasi-
ment pas compte de leur impact sur le travail des utilisateurs. Ceux-ci
ont davantage confiance lorsquils interagissent avec la technologie et
valorisent leur capacit tre autonomes vis--vis de cette dernire.
-
5/24/2018 Sogeti Cybersecurity Fr
46/83
:
Fort heureusement, cette interaction plus troite entre utilisateur et
technologie prsente galement des opportunits. Nous pouvons rendre
cette technologie persuasive. Nous pouvons y intgrer des mcanismes
et des dclencheurs qui suscitent chez lutilisateur un comportement
idoine. Bien faire les choses peut ainsi devenir naturel, logique, voire
amusant.
La psychologie de la scurit a encore du chemin faire.
Le Manifeste de la Cyberscurit
Quelles sont les dernires volutions ?
Les utilisateurs ont la possibilit de contourner la rgle. moins quevous nayez bloqu tous les accs aux rseaux mobiles, Internet et aux
appareils et supports de donnes amovibles, ils trouveront le moyen
de travailler comme bon leur semble. Au lieu de perturber le travail du
salari, les pratiques de scurit devraient viser lassister dans la rali-
sation de ses tches.
La cyberscurit concerne les systmes, processus de
communication et particulirement les personnes. Siles utilisateurs nen sont pas convaincus, tout seffondre.
Aucune politique de scurit ne peut russir. Notre rle
de consiste galement tre lambassadeur des
bonnes pratiques au sein de lentreprise.
dune socit industrielle
Quel intrt pour nous ?
On peut dire que lutilisateur est le point faible de tout systme, mais il
peut galement tre considr comme une trs grande force utile : si les
circonstances sont runies, il peut transformer une action prsentant
-
5/24/2018 Sogeti Cybersecurity Fr
47/83
La cl de la scurit : mettre en place des technologies persuasives
une inscurit inhrente (communiquer en ligne avec des tiers incon-
nus) en une action plus sre (en vrifiant leur identit par plusieurs
moyens, en traitant les pices jointes avec prudence ou en orientant la
collaboration vers une plateforme extrieure, etc.). La prvention des
fuites accidentelles (perte dune cl contenant des donnes clients)
constitue le premier avantage vident, mais il est possible daller bienplus loin. Lutilisateur peut tre intgr votre systme de dtection
afin de signaler tout vnement sortant de lordinaire, par exemple en
informant le service dassistance si un courriel suspicieux passe entre
les mailles du filet de vos filtres de courrier lectronique ou lorsque le
comportement didentification change brusquement. De cette faon,
les utilisateurs peuvent contribuer contrer des attaques dingnierie
sociale et dhameonnage cibles.
Quelles nouvelles mesures prendre ?
Lapproche la plus classique ce jour consiste imposer des restric-
tions lutilisateur. La plupart des entreprises utilisent des mthodes
comme une formation annuelle obligatoire, des directives restrictives
et des consquences graves (sanction) en cas de non application. Elles
envoient des courriels trs fermes insistant sur limportance de la scu-rit et de la confidentialit. Vous pouvez employer ces mthodes, mais
les avances les plus importantes peuvent tre ralises dans dautres
domaines :
Nous attendons trop de nos salaris. Cest lentre-
prise de protger et de contrler ou pas leur environ-
nement. Il faut trouver un quilibre et non se retrouver
dans une situation insupportable pour lutilisateur,avec des solutions penses par des experts qui ne
connaissent pas lactivit de lentreprise.
dune socit de services financiers
-
5/24/2018 Sogeti Cybersecurity Fr
48/83
:
Repenser les processus organisationnels en gardant la scurit lesprit. Par exemple, est-il possible danonymiser les donnes dans
certains processus ? Peut-on automatiser ou mieux soutenir les pro-
cessus qui sont prsent excuts par courriel ?
Donner aux utilisateurs des petites rcompenses et des dclen-cheurs pour avoir bien fait les choses. Il ne sagit pas ncessai-rement de cadeaux ou de gratifications financires, mais dune
rcompense dun autre type : par exemple, donner lutilisateur un
meilleur aperu de sa productivit ou de ses comptences, fournir
des retours sur les rseaux sociaux, donner la satisfaction lutilisa-
teur de constater quil a ralis quelque chose (par exemple une
barre dtat affichant lorsque toutes les actions ont t effec-
tues, etc.). De nombreux outils permettent de rendre linteraction
homme-machine plus attrayante en proposant de petits dclencheursau sein de linterface.
Fournir les outils techniques pour faciliter la tche : lorsque des utili-sateurs utilisent Dropbox, Gmail ou un autre outil en violation de vos
politiques de scurit, ne vous contentez pas dinterdire ces outils,
mais proposez de meilleurs outils placs sous votre contrle. Vos
propres outils peuvent tre associs votre base de donnes utilisa-
teur, pour une collaboration plus simple. Ils peuvent tre associs la
recherche au sein de lentreprise pour la faciliter, et peuvent gale-ment tre relis dautres systmes, afin de permettre un utilisa-
teur de passer plus facilement dun outil un autre (par exemple un
systme de gestion dexception utilisant le rseau social dentreprise).
Lorsque vous demandez aux utilisateurs de suivre des procdures
de scurit compliques, rflchissez aux solutions techniques qui
faciliteraient leur utilisation : un jeton dauthentification peut-il tre
plus convivial que des politiques de mots de passe perptuellement
modifies ? Un lecteur dempreintes digitales peut-il rpondre nosbesoins de scurit et faciliter les signatures dautorisation pour les
utilisateurs ? Lvolution vers une solution o vous permettrait-elle
de prvoir des alarmes lorsque les appels proviennent de numros
suspects ? Lauthentification unique peut-elle encourager ladoption
de services internes et limiter lutilisation doutils externes ?
-
5/24/2018 Sogeti Cybersecurity Fr
49/83
La cl de la scurit : mettre en place des technologies persuasives
Rendre plus difficiles les actions non scurises : linverse est ga-lement vrai. Si vous dcouvrez des pratiques non scurises, vous
pouvez modifier les paramtres pour les rendre plus difficiles
raliser pour lutilisateur. Par exemple, si les utilisateurs stockent
trop de donnes sensibles sur leurs appareils, vous pouvez limiter la
taille du disque. Si les utilisateurs envoient par courriel un trop grandnombre de documents stratgiques, vous pouvez limiter la taille des
pices jointes. Il sagit dune pratique dlicate, car vous ne voulez
pas pousser vos utilisateurs adopter des pratiques encore moins
scurises, et vous devez donc idalement complexifier les pratiques
non scurises tout en facilitant les pratiques scurises, pour aider
lutilisateur aborder le changement : par exemple en proposant un
bureau virtuel sans limite despace, de nombreux outils supplmen-
taires et plus doptions pour personnaliser les paramtres selon vosprfrences personnelles.
Ramener le cryptage au niveau de lutilisateur moyen.
Le Manifeste de la Cyberscurit
De nos jours, la technologie peut nous sduire, nous distraire et nous
pousser au dialogue de faon trs sociale. Nous avons appris concevoir
les applications et sites Internet (les systmes dengagement actuels)penss pour simplifier les interactions et les rendre plus agrables. Si
nous souhaitons que nos utilisateurs se souviennent quils doivent agir
correctement, il nous faut utiliser ces mmes comptences pour faire
de leur pratique scurise une chose simple voire amusante. Si vous
entendez un utilisateur se plaindre dune politique trop lourde, prtez
une oreille attentive : il sagit dune opportunit damlioration.
-
5/24/2018 Sogeti Cybersecurity Fr
50/83
7La peur : une mthode
qui smousse trsrapidementLes organisations doivent trouvercomment recadrer les discussionssur la scurit
La peur est une source de motivation trs forte : il est essentiel de savoir
comment notre cerveau fonctionne. Dautres stimuli, mme lorsquils
sont forts, tels quune bonne rcompense, sont moins efficaces que la
peur. Cest la raison pour laquelle, lorsquils font en sorte que les utili-
sateurs agissent dune certaine faon en vue damliorer la scurit (par
exemple en utilisant des mots de passe solides, en ne partageant pas de
documents ou en nouvrant pas de liens inconnus, etc.), les experts dela scurit utilisent naturellement la peur comme moteur : peur de lat-
taquant, peur de la perte de donnes ou peur de consquences person-
nelles. On trouve toujours de bons exemples pour illustrer lhorreur lie
au non-respect des consignes.
Cette approche prsente un problme majeur : la peur est un outil qui
smousse trs rapidement. On ne peut raconter une histoire quune
seule fois, et si un utilisateur rgulier ne fait pas face une menacerelle une fois de temps en temps, il commence oublier ou mettre
volontairement de ct votre histoire. Si vous procdez chaque anne
une formation de scurit obligatoire, ds la troisime anne, le seul
impact de la peur sera limit, si lutilisateur na pas t tmoin dattaques
rsultant de ses actions ou de sa ngligence. Le cerveau humain est
-
5/24/2018 Sogeti Cybersecurity Fr
51/83
La peur : une mthode qui smousse trs rapidement
conu pour obir la peur, mais galement aux sensations, aux chan-
gements et de nouveaux stimuli. Une menace constante devient une
norme et perd de son urgence.
De la peur la valeurCertaines entreprises ont intgr la scurit au cur des valeurs quelles
apportent leurs clients. Ici, la scurit nest pas un mal ncessaire, elle
fait partie intgrante de leur offre de valeur : elle est enracine dans le
message destination des clients, tisse dans les interactions avec les
clients et reprsentent donc une partie intgrante de la culture quoti-
dienne. Ici, la scurit ne dsigne pas uniquement une mesure de
prvention des attaques, mais galement une composante qui participe la russite de lentreprise. Que faudrait-il votre entreprise pour deve-
nir la plus fiable du secteur ?
Je suis impressionn de limpact que jai au niveau
des managers ou des orientations Mtier : on
mcoute, on suit mon avis. Il sagit dune excellente
responsabilit.
dune banque
La valeur de la scurit est bien videmment relle. Il sagit tout dabord
de la valeur vidente quapporte le fait dtre moins confront des
risques . Mais ce nest pas tout : dans une socit o les utilisateurs
interagissent avec de nombreuses entreprises, la confiance a t
rebaptise lamour en langage des affaires . Lorsque les marchs se
banalisent trs rapidement, comme cest le cas actuellement, votre rpu-
tation, votre marque et votre exprience font la diffrence et la scuritconstitue ici lune des valeurs cruciales.
La cyberscurit cote cher mettre en uvre. Bon
nombre dentreprises font limpasse sur la scurit
parce quelle cote trop cher. Jestime que nous devrions
-
5/24/2018 Sogeti Cybersecurity Fr
52/83
:
aborder cette question dun point de vue conomique :
Nest-il pas possible de transfrer une partie du finan-
cement un assureur ?
Consultant en scurit
Une seule pense pour de nombreusesactions
Lastuce pour intgrer la scurit dans lensemble de lorganisation
consiste minimiser les rfrences la scurit au quotidien. Cela peut
sembler contradictoire la cration dune culture de la scurit, mais il
nen est rien. Il convient de crer des pratiques qui facilitent et rendentles tches professionnelles plus efficaces et qui soient fondamentale-
ment plus sres. Il convient galement de prendre le temps de repenser
les activits quotidiennes afin de trouver des alternatives plus efficaces,
plus simples plus sres. Par exemple : lorsque les utilisateurs tra-
vaillent sur de nombreux fichiers, pourquoi ne pas travailler en colla-
boration en ligne, sans jamais les tlcharger sur un appareil portable ?
Lorsque les analystes travaillent sur de larges ensembles de donnes, le
systme doit tre labor pour leur permettre de faire tourner len-semble de leurs formules et de leurs programmes sur un serveur trs
rapide plutt que de charger de nombreuses donnes sur leurs ordina-
teurs portables. Lorsque les membres du service clients doivent accder
aux donnes clients, il suffit dafficher uniquement les donnes relatives
ce client spcifique sur la base des informations que le client a ren-
seign par tlphone (afin quils disposent immdiatement des bonnes
informations mais galement quils ne puissent pas consulter ou divul-
guer dinformations relatives des tiers). Lorsque vos salaris doiventaccder de nombreux systmes diffrents, il suffit de leur fournir un
mcanisme dauthentification unique ( deux facteurs) qui fonctionne
sur tous les systmes, afin quils naient pas mmoriser (ou noter)
plusieurs mots de passe. Lorsque vous devez tlcharger temporaire-
ment des fichiers sur votre appareil, assurez-vous que les donnes sont
-
5/24/2018 Sogeti Cybersecurity Fr
53/83
La peur : une mthode qui smousse trs rapidement
automatiquement supprimes aprs un certain temps. Vous pouvez
ainsi garantir que les utilisateurs travaillent avec les donnes les plus
rcentes, tout en rduisant le risque de vol. Il existe un trs grand
nombre de pratiques imaginer pour vous simplifier la vie amliorer
la scurit dans son ensemble.
Il nest pas facile de passer de la peur la valeur, et vous utiliserez
certainement une association des deux : mettez en vidence la valeur
mais utilisez ponctuellement la peur pour maintenir lattention. Cela
consiste terme concevoir la scurit dans ce que nous faisons, dans
notre technologie mais galement dans nos pratiques de tous les jours.
Cela part du sommet et stend dans toute lentreprise, linstar de toute
culture organisationnelle.
-
5/24/2018 Sogeti Cybersecurity Fr
54/83
8Soyez votre pire ennemi
Pour dceler vos points faibles, laseule solution est de faire preuvedune grande dtermination
La dtermination et la communication figurent souvent parmi les
principales diffrences qui distinguent un attaquant dun dfenseur.
Lorsquune attaque devient un projet de groupe, le caractre comp-titif du jeu ne plaide pas en votre faveur. Pour rquilibrer ce jeu, la
seule solution serait dinspirer le mme niveau de dtermination, de
communication et de crativit au sein de votre organisation, avec ou
sans lassistance de tiers, tels quune quipe professionnelle de hackers
thiques (les white hats ).
Le crime sadapte et suit le rythme ; de nouvelles tech-
nologies mergent, mais le crime volue paralllement.Les voleurs ont toujours une longueur davance. Ils ont
davantage dimagination que les personnes en charge
de protger les informations. Nous faisons face des
situations que nous navions pas imagines.
Consultant en scurit
Quelles sont les dernires volutions ?
Avec la hausse du nombre dattaquants motivs par des raisons