« Un tel dispositif permet une approche prédictive de certains incidents. Cela suppose de mettre en place une gouvernance orientée vers la cybersécurité, autour d’une sorte de tour de contrôle, capable d’intervenir de façon proactive. »
Trois lignes de défense
Idéalement, trois niveaux de défense doivent être mis en place : une équipe opérationnelle en charge de l’infrastructure, responsable, au quotidien, de la bonne application des procédures de sécurité, des mots de passe, des mises à jour logicielles orientées sécurité (« patchs »).
En deuxième ligne de défense, une équipe de sécurité du système d’information, indépendante de la première, doit s’assurer que les opérations de protection préventive ont été réalisées correctement : elle vérifie que les correctifs logiciels (« patchs ») sont à jour ; elle réalise des « scans » de vulnérabilité et contrôle la résilience des systèmes.
La troisième ligne de défense est celle qui audite l’organisation ; elle recense l’ensemble des risques, contrôle les deux premiers niveaux de défense, et rapporte à la direction générale.
« Ainsi, chacun travaille sur son périmètre, dans la transparence ; et la confiance réciproque n’exclut pas le contrôle », souligne Laurent Gelu, responsable Zero trust (Cybersécurité) au sein de Kyndryl France.
Si l’entreprise est petite, les deux premiers niveaux peuvent être fusionnés auprès du responsable d’infrastructure du système d’information (CTO). Et une partie des missions du niveau 3 peut être confiée à un prestataire. « Mais attention, avertit Emmanuel Barrier, l’entreprise ne doit pas se départir de la gestion de risques, qui reste un domaine essentiel. »
Un prestataire sécurité IT peut proposer du conseil en organisation, une évaluation des risques et des vulnérabilités, une priorisation des investissements, mais également des « services managés », le déploiement de solutions techniques, etc.
De même, la fonction de security risk manager peut être assurée par une société spécialisée. « À elle de vérifier que le plan d’assurance sécurité est opérationnel et conforme à la réglementation, et de faire la passerelle avec les équipes de l’informatique. »
Mieux travailler ensemble
La question des relations hiérarchiques se pose souvent. Ainsi, la première ligne doit accepter d’être contrôlée. Or, souvent, elle est constituée des plus anciens dans l’organisation. Il faut donc apprendre à travailler ensemble…
La deuxième ligne peut avoir la mission de trouver des fonds, donc des sponsors en interne, ancrés autant que possible dans le métier et motivés par les projets. « Cela suppose une bonne cohésion entre le CIO (ou DSI), le CTO (infrastructure) et le CISO (sécurité). Commencez par vous mettre d’accord avant de porter les projets à la direction », recommande Emmanuel Barrier (Kyndryl France).
Autre point clé : ce travail de cohésion en équipe doit absolument inclure le métier : « Disposer d’un champion de sécurité IT facilite les choses, un BISO (Business information security officer), qui va agir comme un correspondant. »
Jean-Noël de Galzain,
FONDATEUR DE WALLIX
« LES FUITES DE DONNÉES CONTINUENT D’AUGMENTER »
« Nous constatons plus de fraudes bancaires, plus de fraudes au président (ordres de virement détournés, etc.), plus de détournements de noms de domaine (DNS), plus d’attaques contre des institutions, des médias… et contre des équipements hospitaliers, etc. », observe Jean-Noël de Galzain, fondateur et président de Wallix, société experte en sécurité informatique, qui accompagne 2 000 organisations dans le monde. Elle vient d’acquérir Kleverware, spécialiste français de la gouvernance des identités et des accès.
« Les fuites de données continuent d’augmenter car les entreprises ont tendance à externaliser certaines tâches. Résultat : la cybercriminalité est devenue la troisième plus grande menace dans le monde. »
À la suite d’une cyberattaque, les entreprises mettent plusieurs semaines voire plusieurs mois à s’en remettre. Prévention et prédictibilité sont donc devenues essentielles.
Pour se protéger, il est fréquent de faire appel à un spécialiste. C’est de plus en plus le cas pour la gestion des identités et des accès avec, par exemple, la solution Wallix IGA (identification et authentification) ou PAM for all (privileged access management, avec protection des mots de passe, traçabilité, etc.).
« Où qu’ils se trouvent, les utilisateurs doivent pouvoir se connecter au système d’information grâce à un accès très sécurisé ; ils sont reconnus, authentifiés, et ils accèdent alors à tout leur environnement de travail sans avoir à connaitre les mots de passe. Le process est automatisé. »
Plan de continuité
Au cœur du dispositif, la data doit être assurée d’une protection maximale, non seulement en interne mais également auprès des partenaires, clients ou fournisseurs, sous-traitants. Le principe de « zero trust » (confiance zéro) s’applique à tous.
Il faut procéder à une cartographie des risques : qu’est-ce qui peut se passer en cas d’attaque par ransomware avec chiffrement de données ? Quels seraient les impacts ? Il faut identifier les applications prioritaires, avec le taux de disponibilité nécessaire, dans l’hypothèse d’un redémarrage après interruption, jusqu’au retour à la normale. Et, avant de redémarrer, il faudra s’assurer que toutes les données récupérées sont saines…
« Quoi qu’on fasse, incidents et attaques surviendront un jour. Il faut donc travailler en sorte que l’impact soit le plus minime possible », résume Emmanuel Barrier.
<<< À lire également : 10 Conseils Pour Vous Protéger des Cybermenaces Pendant Les Vacances >>>
KABDEL MEDIA