Cybersécurité : une rentrée sous le signe de la remise à plat
Extraits :
10 ans après Pailloux, le travail est effectivement toujours aussi gigantesque. La sensibilisation en moins peut-être. Quoi que. Le plus dur est d’expliquer de l’importance du tout. Une gestion des droits sans gestion des identités… Une cartographie sans gestion de la vulnérabilité…
—(@AHCybSec)
September 5, 2019
Retour aux fondamentaux
Il y a peut-être comme une lassitude à l’égard du discours marketing de fournisseurs qui cherchent toujours à (sur-?) vendre une avance technologique revendiquée.
Face à cela, certains renvoient à l’importance des bases de la sécurité, entre gestion des droits, des identités, cartographie, gestion des vulnérabilités, etc.
Bertrand Carlier, de Wavestone, ne dit pas autre chose : « […] Get the basics first ! »
[…]Patrick Pailloux, l’ancien directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), à l’occasion de l’édition 2011 des Assises de la Sécurité […] avait appelé à un « retour aux fondamentaux », aux bonnes pratiques, à une « hygiène élémentaire » de la sécurité informatique.
Des sérieuses réflexions sur l’organisation
Et puis l’heure est peut-être moins aux questions de solutions technologiques que d’organisation. De quoi aussi venir ponctionner les budgets.
Chez Wavestone, Matthieu Garin constate « depuis quelques mois, de plus en plus de demandes liées à l’organisation de la filière cybersécurité », en interne. Parce qu’une très large majorité des clients du cabinet sont organisés suivant « des schémas classiques » où des RSSI entités sont rattachés à un RSSI groupe. Et dans de nombreux cas, la fonction RSSI est elle-même rattachée à la fonction DSI.
Las, conseil d’administration ou comité de direction veulent « de plus en plus disposer d’une vision claire de la stratégie et de sa mise en œuvre homogène à l’échelle du groupe », une chose « compliquée » avec de telles organisations très éclatées.
Mais dans certains secteurs, notamment industriels, où la sûreté est essentielle, la tentation peut être de rapprocher la cybersécurité de la sûreté, justement, « pour profiter de sa maturité ».
Mais si Matthieu Garin a une certitude, c’est que la gouvernance est appelée à être plus contrainte, « avec un renforcement des programmes et des mécanismes de contrôle de leur réalisation ». Et cela aussi en réponse à des besoins d’optimisation financière.
Quentin Bédéneau, consultant indépendant en cybersécurité pour Data Templar, relève de son côté que, si les processus de gouvernance du domaine ont été longtemps alignés sur ceux de l’IT, c’est de moins en moins le cas, notamment dans les grands groupes.
Au point que la fonction RSSI apparaît de plus en plus organisée comme un centre de services interne. De quoi aider « à rompre avec l’image de la sécurité centre de coût », mais également venir concurrencer des ESN externes.
Mais s’il y a bien deux points sur lesquels les regards de Matthieu Garin et de Quentin Bédéneau se rejoignent, c’est sur l’objectif d’industrialisation – et avec elle, notamment, l’optimisation financière – et de visibilité complète, cohérente et précise, au plus haut niveau de la hiérarchie.
Jusqu’à la définition des crises
Le regard de Jérôme Saiz, du cabinet Opfor Intelligence, est plus centré sur la gestion des crises.
Mais lui aussi pointe dans la direction d’une cybersécurité se détachant de l’IT : « j’observe une prise de conscience du fait qu’une crise cyber n’est pas une crise IT ; que les plans de continuité et de reprise de l’activité historiques n’y sont pas adaptés ».
La principale différence tient au fait qu’un PRA traditionnel ne tient pas compte de la présence d’un assaillant : il s’agit de « remettre l’outil informatique debout le plus vite possible », quitte à effacer des traces ou à prendre des raccourcis susceptibles de conduire à une re-compromission très rapide.
Par exemple, « dans une crise cyber, il faut considérer que l’on n’a plus confiance en ses moyens de communication », avec tout cela peut avoir de vastes implications – hors, « les plans de secours informatiques considèrent, implicitement ou explicitement, que les moyens de communication sont accessibles ».
Et cela peut aller plus loin : « comment gérer une crise IT sans passer à côté de la crise de cybersécurité qu’elle peut cacher ? »