ITx Café #4 – Vers une nouvelle gouvernance de la cybersécurité ? Pour une approche systémique du risque numérique

ITx Café #4 – Vers une nouvelle gouvernance de la cybersécurité ? Pour une approche systémique du risque numérique

 

Résumé : 

Les entreprises se trouvent face à une menace critique que je qualifie d’existentielle (l’existence même de l’entreprise est en jeu) : les cyberattaques. Celle très récente (HAFNIUM) contre Microsoft1 a été menée par un Etat. Pour répondre à cette menace mortelle, l’entreprise doit réaliser une révolution dans la gestion du risque numérique. Elle doit apprendre à gérer ce risque et le réduire à un niveau acceptable grâce à des nouveaux outils de cyberdéfense, des nouveaux métiers et surtout un changement d’organisation. Tous les métiers de l’entreprise et tous les employés de l’entreprise doivent s’approprier la notion de risque numérique, apprendre, se former et acquérir des nouveaux réflexes : « les gestes barrières » du numérique.

La séparation claire dans l’organisation des fonctions d’exploitant du numérique et des fonctions de contrôleur du numérique permet au PDG de l’entreprise de maitriser à son niveau les risques de son entreprise. L’organisation classique du responsable de la sécurité des systèmes d’information (RSSI) intégré dans la Direction de Systèmes d’Information (DSI) a montré clairement ses limites et son inadaptation aux menaces actuelles et elle place le DSI dans une position de conflits d’intérêts qui accroît encore les risques.

            Les entreprises doivent créer une tour de contrôle du numérique, regroupant toutes les fonctions sécurité-sureté existantes, qui répond directement au PDG, la DGS (Direction générale sécurité). Des nouveaux métiers doivent être créés : identifier, détecter et réagir à la menace cyber. Toutes les entreprises devront faire face à une crise cyber majeure et elles doivent apprendre à réagir rapidement en se préparant à cette crise par des entrainements répétés : c’est l’une des responsabilités majeures du Directeur Général de la Sécurité, sous l’autorité déléguée du PDG. L’autre responsabilité opérationnelle est le maintien en condition opérationnelle de sécurité (fonction qui n’existe pas dans beaucoup d’entreprises) : assurer en temps réel la garantie des règles techniques des exigences de sécurité.

 

  1. Introduction : La cyber criminalité, une situation dramatique2

En début 2021 la menace de la cybercriminalité, du cyber espionnage, ou de la cyber destruction contre les entreprises, les collectives locales, les hôpitaux est devenue extrême. Le cout pour l’économie est évalué mondialement à plusieurs milliers de milliards de dollars. La Cyber est devenue le premier ou le deuxième risque que les entreprises doivent gérer. C’est un risque très nouveau, très immatériel que les entreprises ont du mal à appréhender et à maitriser.

  1. Pourquoi une telle situation ?

Depuis l’aube de l’humanité, toute innovation peut également être utilisée à des fins négatives. La nouveauté de la cybernétique est que son usage est aisément accessible à tous les niveaux, depuis l’individu isolé jusqu’aux organisations les plus élaborées, qu’elles soient officielles, gouvernementales, clandestines ou mafieuses. La lutte en est rendue plus complexe. Elle doit prendre en compte simultanément l’ensemble de ces niveaux d’autant plus que l’attribution de l’attaque et l’identification de l’agresseur sont difficiles, même si les grands groupes mafieux ont des « signatures » techniques spécifiques. On assiste à un phénomène aggravant, celui de groupes de pirates cyber qui se mettent désormais ouvertement sur le marché. Ils sont prêts à vendre leur service au plus offrant, État comme entreprise, en vendant le « ransomware as a service » (RaaS), c’est-à-dire à la fois les portes d’entrée dans les entreprises ou institutions ciblées et les outils pour récupérer et blanchir la rançon.

  1. Un nouveau défi : La cybercoercition3

La cyberattaque est devenue une arme utilisée par plusieurs pays pour provoquer des tensions permanentes qu’on peut qualifier de coercition. Ces tensions sont diverses mais elles sont provoquées par deux phénomènes très inquiétants. Le premier est l’attaque généralisée conduisant à des versements de rançon. L’autre phénomène, considérée comme un acte de guerre, est la cyberattaque contre des infrastructures critiques, entreprises et services collectifs. C’est le risque évoqué par Guillaume Poupard, directeur général de l’ANSSI, lors du Forum international de cybersécurité en 2019. Il a révélé l’existence de pré positionnements d’implants logiciels, par des Etats, au sein d’infrastructures critiques, pouvant être activés ultérieurement pour saboter celles-ci.

La porosité entre les groupes cyber mafieux et certains Etats a des conséquences dramatiques pour les entreprises : le niveau technique de certains attaquants est comparable à celui des Etats. L’opération réussie contre l’éditeur de logiciel SOLARWINDS pourrait avoir des conséquences très graves : certains codes sources de Microsoft ont été volés, les armes offensives utilisées par FIREYE pour tester la sécurité des entreprises, ont été volées. Face à cette situation critique c’est l’évolution globale de notre société de plus en plus numérique qui est menacée. L’exemple des hôpitaux est très marquant : la numérisation de leurs activités les a rendus vulnérable, sans qu’une organisation de cyberdéfense appropriée, des moyens humains et les budgets suffisants soient mis en place, mais surtout sans aucune réelle prise en compte du risque cyber. Actuellement le réflexe classique des directions informatiques c’est d’empiler des outils de protection en ayant la fausse illusion d’être protégé.

 

  1. Une évolution historique : De la ligne Maginot informatique vers l’aéroport des données.

En France la réglementation a d’abord été imposée dans un objectif de protection de l’information classifiée (Instruction 900 du 20 juillet 1993). Les grands principes reposaient sur la protection grâce à des barrières logiques et physiques (trois barrières physiques pour la protection des informations classifiées). Cette culture réglementaire reposant sur la protection conduisait à construire « une ligne Maginot » numérique. C’était une obligation de moyens qui a marqué la culture SSI des entreprises.

A partir des années 1995-2000, le Système d’Information des entreprises s’est ouvert sur l’Internet et le besoin de protection est devenu critique. Une isolation logique a été construite en utilisant des pare feux et les DSI ont commencé à se structurer en créant une nouvelle fonction : le RSSI, le Responsable de la Sécurité des Systèmes d’Information. Le RSSI dirigeait une petite équipe au sein de la DSI, à l’origine essentiellement des experts réseaux qui étaient chargés de sécuriser et contrôler les frontières informatiques de l’entreprise entre le réseau interne, l’Intranet, et le réseau externe, l’Internet.

En France, à partir des années 2000, des grandes entreprises françaises ont subi des vols de données dans un objectif d’espionnage. Les menaces d’un déni de service massif bloquant des infrastructures informatiques critiques commençaient à apparaitre. La notion de « ligne Maginot informatique » protégeant les entreprises montrait donc ses limites. La défense du système d’information de l’entreprise ne repose plus uniquement sur des outils de protection, mais sur des outils de détection, et aussi sur la connaissance des menaces et des risques ; la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) a été inventée en 1995 pour les organismes et entreprises travaillant pour les Armées, et elle a commencé à se généraliser pour toutes les entreprises à partir de 2005. Face aux menaces d’attaque informatique sur des infrastructures critiques4, la France en 2008 et 2013, les Etats Unis en 2013, ont voté des lois qui obligent les Opérateurs d’Importance Vitale (OIV) à durcir et défendre leurs infrastructures informatiques et à se conformer à un référentiel strict, définissant des exigences techniques ou organisationnelles précises. Cinq fonctions stratégiques sont définies : Identifier, Protéger, Détecter, Répondre et Récupérer. La sécurité du système d’information reposait traditionnellement sur la fonction Protéger. Des nouvelles compétences doivent être créées pour Identifier, Détecter et Répondre.

 

  1. Une approche systémique de la maitrise de leur risque numérique :

« Bon Risk Appétit »

En 2020, la transformation numérique des entreprises a été accélérée par la crise sanitaire et le passage massif au télétravail : les processus classiques deviennent virtuels, le basculement très rapide vers des solutions de type SaaS pour la gestion des données de l’entreprise (Microsoft 365, TEAMS, ZOOM, SALESFORCE…). La gestion et la maitrise du risque numérique sont dorénavant clés pour l’entreprise.

Voici un rappel de mon analyse en fin 2014 :

« Au lieu de se murer, les organisations doivent développer un appétit sain pour le risque, en utilisant des outils intelligents pour détecter rapidement les intrusions et réagir en temps réel. En outre, la sécurité doit faire partie intégrante du cycle de vie des applications, et non une réflexion après coup. Une plate-forme numérique avec une sécurité intégrée permet de réaliser des nouvelles activités, plutôt que de les freiner. Le principe de base de « Bon Risk Appétit » (j’ai utilisé ce terme imagé Bon Appétit pour montrer l’importance d’apprendre à maitrise ce Risk) n’est pas d’éliminer tous les risques, une tâche impossible. Il s’agit de faire des affaires à un niveau de risque acceptable ».

Cette notion de « Bon Risk Appétit » (est une approche systémique et elle est très bien adaptée à la complexité des entreprises. Tous les métiers de l’entreprise doivent apprendre à gérer et maitriser leur risque numérique.

Deuxième élément clé de maitrise du risque, la capacité de détection rapide des intrusions et de réaction en temps réel. Elle est complexe à déployer dans l’entreprise car elle nécessite des expertises très pointues qui n’existent pas dans celle-ci. Le SOC (Security Operation Centre) qui met en œuvre ces capacités, 24 heures par jour et sept jours sur sept, devient la tour de contrôle de la gestion du risque numérique. Cette tour de contrôle doit couvrir toutes les activités de l’entreprise et pas seulement la DSI. Elle est souvent externalisée par manque d’expertise interne (SOC managé).

La « Cyber Design Authority » : la qualification des applications est essentielle pour maitriser les risques numériques

Troisième élément clé : la sécurité doit faire partie intégrante du cycle de vie des applications. Dès l’expression d’un besoin d’une nouvelle application numérique, qu’elle soit louée en mode SaaS ou développée en interne ou externe, la sécurité doit être totalement intégrée dès le début au projet. Pour en faciliter la prise en compte, j’ai créé la notion de « Cyber Design Authority » qui est pilotée par un binôme entre le sponsor du projet (le métier, la BU demandeur d’une nouvelle application, l’IT) et le responsable cybersécurité. Cette « Cyber Design Authority » c’est une autorité d’accréditation visant à valider la prise en compte des mesures de sécurité et de protection des données pour tout nouveau projet, application, service. La « Cyber design authority » intervient sur toute la vie d’une application : dés l’expression du besoin en réalisant une analyse de risque, en définissant la cible de sécurité et les mesures techniques et organisationnelles pour réduire les risques à un niveau acceptable. Cette autorité doit entériner les choix techniques, conduire des audits techniques (pentest) avant la mise en production de l’application.

Une autre fonction stratégique clef : Identifier. Pour assurer sa sécurité l’entreprise doit connaitre les menaces externes et ses risques internes. Le besoin de connaissance des menaces nécessite de mettre en place une nouvelle fonction de type « renseignement » : la CTI Cyber Threat Intelligence. Cette fonction doit couvrir les menaces sur tout le périmètre de l’entreprise et pas uniquement la DSI. En général l’expertise CTI n’existe pas dans l’entreprise et celle-ci doit faire appel à un partenaire spécialisé dans ce domaine.

 

  1. Un pilotage centralisé et global de la sécurité-sureté opérationnelle de l’entreprise.

Actuellement en France beaucoup d’entreprises sont organisées de façon classique avec une direction sureté physique, une direction RH qui peut s’occuper de la sécurité des personnes, d’un RSSI au sein de la DSI. La sécurité de la production et des produits est de la responsabilité des BU. Ces entités sont disjointes et souvent très cloisonnées. Ce modèle devient totalement obsolète car il ne répond plus aux menaces et aux risques du numérique.

Un modèle efficace de la sécurité dans une grande organisation doit aller vers une approche holistique pour mieux détecter, réagir et réparer face à des menaces sophistiquées. Ce modèle doit permettre le partage en temps réel de l’information, le partage du « renseignement », le partage de la connaissance des menaces, et de gérer globalement les crises et les menaces.  L’objectif est de se concentrer sur tous les types de menaces pour permettre une réaction rapide et ainsi de créer une sécurité globale de l’entreprise (sureté physique, sécurité des personnes, sécurité de l’information, sécurité de la production, sécurité des produits). C’est ce que j’appelle un cockpit sureté-sécurité 360°

Les grandes banques ou les grandes entreprises de défense ont changé radicalement leur organisation en créant une Direction Générale de Sécurité-Sureté (DGS), rattachée directement au PDG (ou Group Chief Security Officer)

Cette direction générale sécurité couvre les fonctions de : -Sécurité physique, contrôle d’accès, Sécurité des personnes en particulier l’habilitation des personnes, Sécurité des fournisseurs tiers, Sécurité de l’information, Gestion du risque numérique, SOC (Security Operation Center), Gestion de crise, Maintien en condition opérationnelle de sécurité, Cyber Design Authority, sécurité de la production, sécurité des produits, la fonction DPO (responsable de la protection des données) doit être fonctionnellement partagée avec la direction juridique.

La DSI avec le RSSI doit garder la fonction traditionnelle de Protéger et organiser la fonction Réparer.  Les fonctions : Identifier, Détecter, Répondre, doivent être transférées (et souvent créées) dans la Direction Générale de la Sécurité (DGS). Cela permet une mutualisation d’expertise rare au sein de l’entreprise. Et surtout de bien séparer les responsabilités d’exploitant et de contrôleur. La séparation organisationnelle de ces responsabilités est fondamentale pour assurer une bonne gouvernance de la sécurité-sureté (ce qui est le cas dans le nucléaire, le transport aérien…). C’est au PDG d’arbitrer entre la DSI et la DGS : arbitrage sur les budgets et les investissements dans la sécurité, décision d’arrêter un système pour bloquer la propagation d’un MALWARE. Le PDG et le COMEX doivent être informés très régulièrement (tous les 2 mois) de la situation opérationnelle de la sécurité-sureté globale de l’entreprise. Les investissements dans la cyberdéfense ne doivent pas être considérés comme un passif, mais plutôt comme un actif de l’entreprise.

 

1 : Microsoft sous le feu d’une cyberattaque massive | Les Echos

2: The Hidden Costs of Cybercrime (mcafee.com)

3 : Cybercoercition : un nouveau défi stratégique | Le Monde : face aux cyberattaques, la France doit se doter d’une capacité de dissuasion autonome, écrivent Bernard Barbier (ex-DT de la DGSE), Edouard Guillaud (ex-CEMA) et Jean-Louis Gergorin (ex-Quai d’Orsay)

4 : L’Estonie, première cybervictime de Moscou (lemonde.fr)