{"id":3447,"date":"2019-09-07T16:34:31","date_gmt":"2019-09-07T15:34:31","guid":{"rendered":"https:\/\/werle.pro\/?p=3447"},"modified":"2019-09-07T18:35:30","modified_gmt":"2019-09-07T17:35:30","slug":"ssi-gov-org-cybersecurite-la-remise-a-plat","status":"publish","type":"post","link":"https:\/\/werle.pro\/index.php\/2019\/09\/07\/ssi-gov-org-cybersecurite-la-remise-a-plat\/","title":{"rendered":"SSI GOV ORG – Cybers\u00e9curit\u00e9, la remise \u00e0 plat"},"content":{"rendered":"

<\/h3>\n

Cybers\u00e9curit\u00e9 : une rentr\u00e9e sous le signe de la remise \u00e0 plat<\/h3>\n
Val\u00e9ry Marchive<\/strong> r\u00e9dacteur en chef adjoint <\/em>Lemagit.fr<\/strong><\/div>\n

<\/h4>\n

Extraits :<\/u><\/h4>\n
\n

10 ans apr\u00e8s Pailloux, le travail est effectivement toujours aussi gigantesque. La sensibilisation en moins peut-\u00eatre. Quoi que. Le plus dur est d’expliquer de l’importance du tout. Une gestion des droits sans gestion des identit\u00e9s… Une cartographie sans gestion de la vuln\u00e9rabilit\u00e9…<\/p>\n

\u2014(@AHCybSec)
\nSeptember 5, 2019<\/a><\/p><\/blockquote>\n

Retour aux fondamentaux<\/h3>\n

Il y a peut-\u00eatre comme une lassitude \u00e0 l\u2019\u00e9gard du discours marketing de fournisseurs qui cherchent toujours \u00e0 (sur-?) vendre une avance technologique revendiqu\u00e9e.<\/p>\n

Face \u00e0 cela, certains renvoient \u00e0 l\u2019importance des bases de la s\u00e9curit\u00e9, entre gestion des droits, des identit\u00e9s, cartographie, gestion des vuln\u00e9rabilit\u00e9s, etc.<\/p>\n

Bertrand Carlier, de Wavestone, ne dit pas autre chose<\/a> : \u00ab […] Get the basics first ! <\/em>\u00bb<\/p>\n

[…]Patrick Pailloux, l\u2019ancien directeur g\u00e9n\u00e9ral de l\u2019Agence nationale pour la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (Anssi), \u00e0 l\u2019occasion de l\u2019\u00e9dition 2011 des Assises de la S\u00e9curit\u00e9 […] avait appel\u00e9 \u00e0 un \u00ab retour aux fondamentaux \u00bb<\/a>, aux bonnes pratiques, \u00e0 une \u00ab hygi\u00e8ne \u00e9l\u00e9mentaire \u00bb de la s\u00e9curit\u00e9 informatique<\/a>.<\/p>\n

Des s\u00e9rieuses r\u00e9flexions sur l\u2019organisation<\/strong><\/h3>\n

Et puis l\u2019heure est peut-\u00eatre moins aux questions de solutions technologiques que d\u2019organisation. De quoi aussi venir ponctionner les budgets.<\/p>\n

Chez Wavestone, Matthieu Garin constate \u00ab depuis quelques mois, de plus en plus de demandes li\u00e9es \u00e0 l\u2019organisation de la fili\u00e8re cybers\u00e9curit\u00e9 \u00bb, en interne. Parce qu\u2019une tr\u00e8s large majorit\u00e9 des clients du cabinet sont organis\u00e9s suivant \u00ab des sch\u00e9mas classiques \u00bb<\/strong> o\u00f9 des RSSI entit\u00e9s sont rattach\u00e9s \u00e0 un RSSI groupe. Et dans de nombreux cas, la fonction RSSI est <\/strong>elle-m\u00eame rattach\u00e9e \u00e0 la fonction DSI<\/strong>.<\/p>\n

Las, conseil d\u2019administration ou comit\u00e9 de direction veulent \u00ab de plus en plus disposer d\u2019une vision claire de la strat\u00e9gie et de sa mise en \u0153uvre homog\u00e8ne \u00e0 l\u2019\u00e9chelle du groupe \u00bb, une chose \u00ab compliqu\u00e9e \u00bb avec de telles organisations tr\u00e8s \u00e9clat\u00e9es.<\/p>\n

Mais dans certains secteurs, notamment industriels, o\u00f9 la s\u00fbret\u00e9 est essentielle, la tentation peut \u00eatre de rapprocher la cybers\u00e9curit\u00e9 de la s\u00fbret\u00e9, justement, \u00ab pour profiter de sa maturit\u00e9 \u00bb.<\/p>\n

Mais si Matthieu Garin a une certitude, c\u2019est que la gouvernance est appel\u00e9e \u00e0 \u00eatre plus contrainte, \u00ab avec un renforcement des programmes et des m\u00e9canismes de contr\u00f4le de leur r\u00e9alisation<\/strong> \u00bb. Et cela aussi en r\u00e9ponse \u00e0 des besoins d\u2019optimisation financi\u00e8re.<\/p>\n

Quentin B\u00e9d\u00e9neau, consultant ind\u00e9pendant en cybers\u00e9curit\u00e9 pour Data Templar, rel\u00e8ve de son c\u00f4t\u00e9 que, si les processus de gouvernance du domaine ont \u00e9t\u00e9 longtemps align\u00e9s sur ceux de l\u2019IT, c\u2019est de moins en moins le cas, notamment dans les grands groupes<\/strong>.<\/p>\n

Au point que la fonction RSSI appara\u00eet de plus en plus organis\u00e9e comme un centre de services interne<\/strong>. De quoi aider \u00ab \u00e0 rompre avec l\u2019image de la s\u00e9curit\u00e9 centre de co\u00fbt<\/strong> \u00bb, mais \u00e9galement venir concurrencer des ESN externes.<\/p>\n

Mais s\u2019il y a bien deux points sur lesquels les regards de Matthieu Garin et de Quentin B\u00e9d\u00e9neau se rejoignent, c\u2019est sur l\u2019objectif d\u2019industrialisation <\/strong>\u2013 et avec elle, notamment, l\u2019optimisation financi\u00e8re \u2013 et de visibilit\u00e9 compl\u00e8te, coh\u00e9rente et pr\u00e9cise, au plus haut niveau de la hi\u00e9rarchie<\/strong>.<\/p>\n

Jusqu\u2019\u00e0 la d\u00e9finition des crises<\/h3>\n

Le regard de J\u00e9r\u00f4me Saiz, du cabinet Opfor Intelligence, est plus centr\u00e9 sur la gestion des crises.<\/p>\n

Mais lui aussi pointe dans la direction d\u2019une cybers\u00e9curit\u00e9 se d\u00e9tachant de l\u2019IT<\/strong> : \u00ab j\u2019observe une prise de conscience du fait qu\u2019une crise cyber n\u2019est pas une crise IT ; que les plans de continuit\u00e9 et de reprise de l\u2019activit\u00e9 historiques n\u2019y sont pas adapt\u00e9s \u00bb.<\/p>\n

La principale diff\u00e9rence tient au fait qu\u2019un PRA traditionnel ne tient pas compte de la pr\u00e9sence d\u2019un assaillant<\/strong> : il s\u2019agit de \u00ab remettre l\u2019outil informatique debout le plus vite possible \u00bb, quitte \u00e0 effacer des traces ou \u00e0 prendre des raccourcis susceptibles de conduire \u00e0 une re-compromission tr\u00e8s rapide<\/strong>.<\/p>\n

Par exemple, \u00ab dans une crise cyber, il faut consid\u00e9rer que l\u2019on n\u2019a plus confiance en ses moyens de communication \u00bb, avec tout cela peut avoir de vastes implications \u2013 hors, \u00ab les plans de secours informatiques<\/strong> consid\u00e8rent, implicitement ou explicitement, que les moyens de communication sont accessibles \u00bb.<\/p>\n

Et cela peut aller plus loin : \u00ab comment g\u00e9rer une crise IT sans passer \u00e0 c\u00f4t\u00e9 de la crise de cybers\u00e9curit\u00e9 qu\u2019elle peut cacher ?<\/strong> \u00bb<\/p>\n

https:\/\/www-lemagit-fr.cdn.ampproject.org\/c\/s\/www.lemagit.fr\/actualites\/252470320\/Cybersecurite-une-rentree-sous-le-signe-de-la-remise-a-plat?amp=1<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Cybers\u00e9curit\u00e9 : une rentr\u00e9e sous le signe de la remise \u00e0 plat Val\u00e9ry Marchive r\u00e9dacteur en chef adjoint Lemagit.fr Extraits : 10 ans apr\u00e8s Pailloux, le travail est effectivement toujours aussi gigantesque. La sensibilisation en moins peut-\u00eatre. Quoi que. Le plus dur est d’expliquer de l’importance du tout. Une gestion des droits sans gestion des … Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false}}},"categories":[10],"tags":[],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/p7ALXt-TB","jetpack-related-posts":[],"_links":{"self":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts\/3447"}],"collection":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/comments?post=3447"}],"version-history":[{"count":13,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts\/3447\/revisions"}],"predecessor-version":[{"id":3529,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts\/3447\/revisions\/3529"}],"wp:attachment":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/media?parent=3447"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/categories?post=3447"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/tags?post=3447"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}