PSSI Gouvernance

Sensibiliser la gouvernance

Gouverner à l’Ère du Numérique

Dans le livre blanc – Gouverner à l’Ere du Numérique, vous pourrez découvrir les nouvelles dimensions que le numérique imposent à la gouvernance de votre organisme et comment la donnée numérique, la protection des données personnelles et la cyber sécurité constitue un nouvel axe majeur de sa stratégie. Ce nouvel axe est essentiel dans le développement de sa dimension numérique et la prise en compte de nombreux risques majeurs qui pèsent aujourd’hui sur son patrimoine informationnel. L’ère de la SSI informatique est morte, il est urgent que la gouvernance ouvre ce chantier aux dimensions stratégiques multiples.nda_cover_fr

Porté par Palo Alto et La Tribune, en collaboration avec CESIN et Solutions Numériques, ce livre blanc a été rédigé dans un langage très accessible par des acteurs majeurs. Il est rédigé pour des dirigeants par des dirigeants dont

  • Michel Van Den Berghe – CEO d’Orange Cyberdéfense
  • Olivier Ligneul – CTO & RSSI chez EDF
  • Alain Bouillé – Directeur SSI chez Groupe Caisse des Dépôts
  • Ian West – Directeur Cyber défense de l’OTAN
  • Mark McLaughlin – National Security Telecommunications (USA)
  • Greg Day – CTO Cyber sécurité chez Palo Alto Networks
  • Gregory Albertyn – Directeur conformité et Gouvernance de la Donnée chez PwC
  • Maître Olivier Iteanu – Iteanu Avocats

La Sécurité du Numérique pour les Dirigeants

L’essentiel de la Sécurité du Numérique pour les Dirigeants est un bel ouvrage qui a bénéficié d’une mobilisation unique de grands acteurs français de la sécurité numérique. Leurs contributions, expertes, sont une chance précieuse pour bénéficier d’un guide qui couvre tous les sujets clés de la sécurité du numérique. Il a une ambition essentielle : être utile !

Edité par Eyrolles avec la participation de l’ANSSI et du CESIN, ce livre blanc est un bel effort de pédagogie. Il est rédigé pour des dirigeants par des dirigeants

  • Présidé par Daniel BENABOU, Directeur général d’IDECSI, Président du CEIDIG
  • Alain BOUILLÉ, Directeur de la sécurité des SI Groupe CAISSE DES DÉPÔTS, Président du CESIN
  • Thierry AUGER, CSO & Deputy CIO at LAGARDERE
  • Gilles BERTHELOT, RSSI Groupe, SNCF
  • Bernard CARDEBAT, RSSI Groupe, AREVA
  • Pierre GACHON, Directeur sécurité informatique, RENAULT
  • Valérie LEVACQUE, Directeur sûreté cyberdéfense ASL
  • Olivier LIGNEUL, RSSI Groupe et CTO, EDF
  • Carlos MARTIN, Directeur de la sécurité de l’information, Groupe CARREFOUR
  • Jean-Yves POICHOTTE, Head of information security, SANOFI
  • Florence PUYBAREAU, Directrice des contenus des Assises de la sécurité
  • Olivier VALLET, Président de la Commission Cybersécurité du Syntec Numérique
  • L’Agence nationale de la sécurité des systèmes d’information

Veuillez trouver l’ouvrage au format électronique EPub

Les pieds nickelés font de la cybersécurité !

la_cybersecurite_audela_technologie_978-2-7381-3368-7 La Cybersécurité au-delà de la technologie de Philippe TROUCHARD PwC Responsable Cybersécurité pour les directions des grands groupes et Jean-Baptiste Rudelle fondateur de Criteo – ISBN 978-2-7381-3368-7.

Chapitre 6 – Les pieds nickelés font de la cybersécurité : « De la débrouillardise ingénieuse au lieu d’une stratégie réfléchie » décrit une pléthore d’incidents assez graves advenus dans des organismes importants dont celui du cheval de Troie chez Areva.

une-nouvelle-cyber-attaque-antifrancaise-qui-tire-les-ficelles_visuelL’analyse par l’ANSSI de l’incident d’Areva est décrit dans le rapport au Sénat de 2012 de Jean-Marie Bockel et qui reprend le très long historique des alertes lancés par les députés et sénateurs, rapport après rapport, à destination de nos gouvernances.

Rapport parlementaire après rapport ; « jusqu’ici … ça va »

  • 2004 – Le plan de renforcement de la sécurité des systèmes d’information de l’Etat, décidé par le Premier ministre Jean-Pierre Raffarin et exposé dans un document du 10 mars 2004, débute par les considérations suivantes, particulièrement préoccupantes :

    Pomper la Mer pour les Shadoks

    Le constat sévère du Rapport Lasbordes du 26 Novembre 2005 : un retard préoccupant : « Depuis plusieurs années, les rapports annuels des départements ministériels sur l’état de la sécurité des systèmes d’information (SSI) font part des difficultés persistantes rencontrées pour améliorer la situation : compétences et capacités opérationnelles trop réduites et isolées, manque de sensibilité des décideurs aux enjeux, insuffisance de produits de sécurité dûment qualifiés combinée à des positions monopolistiques dans des segments importants du marché, prolifération d’interconnexions de réseaux mal sécurisés, réglementation nationale difficilement applicable, dimension européenne mal coordonnée. Si certaines améliorations ponctuelles sont constatées, les efforts accomplis, pour méritoires qu’ils soient, n’ont pas été à la mesure de l’évolution rapide des technologies et des menaces ».

  • 2008 – La cyberdéfense : un nouvel enjeu de sécurité nationale, Rapport d’information n° 449 (2007-2008) de M. Roger ROMANI, fait au nom de la commission des affaires étrangères, déposé le 8 juillet 2008

Introduction – Extraits « Dans les quinze ans à venir, la multiplication des tentatives d’attaques menées par des acteurs non étatiques, pirates informatiques, activistes ou organisations criminelles, est une certitude. Certaines d’entre elles pourront être de grande ampleur. Aujourd’hui, le sentiment qui prédomine est que l’ampleur de la menace a été largement sous-estimée. Comme le relève le document préparatoire à l’actualisation du Livre blanc, publié en février 2012, depuis 2008, les risques et les menaces qui pèsent sur le cyberespace se sont nettement confirmés, à mesure que celui-ci devenait un champ de confrontation à part entière avec la montée en puissance rapide du cyber espionnage et la multiplication des attaques informatiques en direction des Etats, des institutions ou des entreprises. Les risques identifiés par le Livre blanc comme étant de long terme se sont donc en partie déjà  concrétisés et la menace atteint désormais un niveau stratégique.

Depuis les attaques informatiques massives qui ont frappé l’Estonie en 2007, il ne se passe pratiquement pas une semaine sans que l’on annonce, quelque part dans le monde, une attaque informatique importante contre de grandes institutions, publiques ou privées, qu’il s’agisse de cybercriminalité ou d’espionnage informatique. La France n’est pas épargnée par ce phénomène, puisque notre pays a été victime de plusieurs attaques informatiques d’envergure, à l’image de l’attaque contre les systèmes d’information du ministère de l’économie et des finances, découverte fin 2010 à la veille de la présidence française du G8 et du G20, ou encore de l’affaire, révélée par la presse, d’espionnage via l’Internet du groupe AREVA.

Tout récemment, la presse a révélé que même la Présidence de la République aurait fait l’objet d’une ou de plusieurs attaque(s) informatique(s) de grande ampleur. Pour sa part, votre rapporteur considère que, si ces attaques sont avérées, la Présidence de la République devrait le reconnaître officiellement et communiquer publiquement sur ce sujet car il ne sert à rien de vouloir le cacher ou chercher à minimiser les faits. Au contraire, votre rapporteur considère qu’il serait souhaitable que les grandes institutions qui ont été victimes d’attaques informatiques communiquent publiquement sur le sujet, naturellement une fois que ces attaques ont été traitées. C’est d’ailleurs ce que font les autorités américaines ou britanniques. En effet, c’est à ses yeux le meilleur moyen de sensibiliser les administrations, les entreprises ou les utilisateurs à l’importance de ces enjeux.

Dans ce contexte, la France est-elle suffisamment préparée pour se protéger et se défendre face aux attaques informatiques ? Dans un rapport de 2006 remis au Premier ministre, notre ancien collègue député M. Pierre Lasbordes dressait un constat sans complaisance des faiblesses de notre organisation et de nos moyens, notamment au regard de nos partenaires européens les plus proches. En février 2008, dans un rapport d’information présenté au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, notre ancien collègue sénateur M. Roger Romani estimait que « la France n’est ni bien préparée, ni bien organisée » face à cette menace. »

  • 2015 – Sécurité numérique et risques – enjeux et chances pour les entreprises, Rapport 271 (2014-2015) de M. Bruno SIDO, sénateur et Mme Anne-Yvonne LE DAIN, député, fait au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, déposé le 2 février 2015. Ce rapport parlementaire, présenté à la presse le 14 avril par la députée Anne-Yvonne Le Dain et le sénateur Bruno Sido, confirme que la sécurité numérique est désormais un enjeu majeur à la fois pour les entreprises et pour la société dans son ensemble.

    « Le numérique, réseau des réseaux – incluant tous les objets et outils qui y sont liésest immense, dynamique et omniprésent, impliqué dans tous les échanges, humains ou technologiques. Le numérique n’a pas de forme finie. Néanmoins, en matière de sécurité, la représentation du système est une condition essentielle à un usage responsable, ce qui suppose de s’interroger sur la manière dont les ordinateurs et les réseaux sont reliés entre eux, d’un continent à l’autre, dont les informations sont acheminées, etc. La sécurité du numérique est transversale et mêle militaire et civil, professionnel et personnel ».

 

La protection des données à caractère personnel

2015 – CNIL – Le rapport d’activité 2015  analyse « La protection des données personnelles au cœur de la cybersécurité » et fait le constat anticipé dans  le rapport effectué par OBS pour le compte du Ministère de la Défense Nationale (cf. Etude Prospective et Stratégique sur Internet & Sécurité à 2030). L’année 2015 fut marquée par de nombreux changements dans l’écosystème du numérique et de la cybersécurité.

cyber_securityLe cloud computing, les objets connectés et le big data ont pris de l’ampleur ; le paysage légal a évolué avec la loi de programmation militaire et la loi relative au renseignement ; le nombre de cyberattaques a encore progressé ; les violations de données se sont multipliées (Uber, Anthem, Ashley Madison…) et le nombre de données concernées se sont souvent comptées en dizaine de millions. Comment, dans ce contexte, instaurer la confiance des partenaires et des internautes pour accompagner l’innovation numérique ? Les efforts en matière de sécurité devront être non seulement poursuivis, mais aussi adaptés. Le besoin d’intégrer la cybersécurité et la protection de la vie privée. Le respect de la vie privée est au coeur du développement du numérique. Il en est de même de la prise en compte de la sécurité des systèmes d’information, permettant d’assurer notamment la résilience des infrastructures. Les notions de sécurité et de protection de la vie privée sont aujourd’hui indissociables. De même qu’il n’est plus envisageable aujourd’hui de développer un service sans prendre en compte la dimension sécurité, la confiance dans le monde du numérique passe notamment, comme l’a rappelé le Premier Ministre lors de la présentation de la stratégie nationale pour la sécurité du numérique, par la prise en compte et le respect des notions de vie privée et de protection des données à caractère personnel.

RGPD – En mai 2018 s’appliquera à l’ensemble des pays européens le règlement général de protection des données. data-protectionmathias-rosenthal_fotolia_400Une évolution majeure de la règlementation qui doit être anticipé en adoptant dés à présent les bonnes pratiques puisque le RGPD implique entre autres

  • Privacy by designLa mise en œuvre de la sécurité doit passer par une prise en compte dès l‘élaboration du projet et doit suivre tout le cycle de vie de la donnée. Il en va de même pour la protection de cette dernière au sens de la vie privée. Cela passe par la mise en œuvre d’un dialogue entre les métiers et la direction des systèmes d’information, et par la compréhension mutuelle des enjeux associés à ces développements. Idéalement, cette réflexion sera menée le plus tôt possible, dès la conception des projets (notion de « privacy by design »)
  • Etude d’Impact sur la Vie Privée – Le Privacy Impact Assessment (PIA) est une analyse de risquemeteor1 produite grâce à une méthode de type EBIOS pour évaluer les risques sur les données à caractère personnelle d’un nouveau traitement que l’on étudie et évalue avant sa conception. La gouvernance a la charge de définir de façon organisationnelle et technique les mesures qu’elle va prendre à la conception du traitement pour réduire au minimum acceptable les risques en regard avec les nouveaux risques financiers qu’elle encoure en cas de sanction par la CNILloi-et-sanctions-big-7397579
  • L’information des autorités de manière général et des individus de façon personnalisée des fuites de données occasionnées par son SI défaillant en terme de sécurité
  • La charge de la preuve que la gouvernance a mis tout en œuvre d’un point de vu organisationnelle, humain, financier et technique pour protéger les données à caractère personnelle du plaignant (ex: les données RH)
  • Les sanctions sont portés à 20 M€ ou 4% du chiffre d’affaire mondial. Une administration ou une université sera sensible à la sanction de 20 M€.

Cyberdéfense en France et en Europe

  • Pensez la Cyber Paix par Camille François – chercheuse au Berkman Center for Internet and Society, université Harvard.

.