2015 : 4 chantiers clés pour la cybersécurité

18/12/2014 à 07h00

Vu la multiplication des cyberincidents ces derniers temps, les entreprises ont tout intérêt à entrer dans l'année 2015 avec des projets de cybersécurité bien ficelés.

L’année écoulée nous a montré, s’il en était encore besoin, l’importance d’assurer la cybersécurité et de donner confiance dans la transformation numérique. Les incidents se sont multipliés à un rythme effréné, chaque semaine faisant oublié la précédente (Orange, eBay, Dominos Pizza, iCloud, Sony… pour ne citer que les plus médiatiques). Les révélations sur les actions des États ou de groupes cybercriminels ont mis en lumière les moyens disponibles pour attaquer (Careto, Regin, Cleaver, Turla…). Et les méga failles ont forcé, avec difficulté, les plans de mise à jour du SI (Heartbleed, Poodle, Shellshock…).

Devant ce déferlement d’actualités, il est important de garder une direction claire, construite et assumée et cette fin 2014 est le bon moment pour définir les priorités de l’année à venir. D’autant plus que le contexte économique n’est pas toujours favorable à des investissements importants.

À ce titre, nous avons identifié 4 chantiers qui nous semblent clé en particulier pour les grandes entreprises pour l’année à venir. Il s’agit évidemment d’améliorer la situation actuelle, mais également d’anticiper et éviter d’être piéger par des évolutions inattendues.

Refondre une filière SSI à bout de souffle

Le premier de ces chantiers concerne la refonte de la filière SSI. Celle-ci a souvent été construite dans les années 2005 / 2010 et est aujourd’hui à bout de souffle. Elle doit s’adapter à un changement fort de l’écosystème, en particulier avec l’apparition : de nouveaux enjeux métiers comme la transformation numérique, de nouveaux périmètres comme celui de la sécurité des SI industriels, de nouveaux acteurs comme le responsable des assurances ou encore la modification du modèle de sécurité qui donne la part belle à la détection et à la réaction face aux incidents.

Ces évolutions nécessitent de refondre la filière, de repenser les rôles et responsabilités, tout en s’assurant de la couverture des zones les plus à risques. Il s’agit en particulier de faire évoluer le rôle des correspondants au sein des directions métiers. L’enjeu étant d’en faire plus qu’un simple relais d’informations mais de les transformer en réels acteurs et influenceurs. Un levier incontestable pour sécuriser la transformation numérique qui se déroule de plus en plus en vase clos dans les directions métiers.

Il est également nécessaire de faire apparaître et de cadrer de nouveaux rôles comme par exemple une filière sécurité SI industriel ou encore une cellule de sécurité applicative forte au cœur de la DSI.

Renforcer les activités de détection et de réaction

Le deuxième chantier concerne le renforcement des activités de détection et de réaction au sein de la DSI. Même si beaucoup d’efforts ont été réalisés ceux-ci doivent encore être intensifiés pour assurer une meilleure couverture. Plusieurs défis se posent pour bien structurer ces activités de détection et de réaction : il faut les rendre plus légitimes, surveiller plus efficacement les infrastructures critiques comme les systèmes métiers clés, et mieux gérer les incidents graves.

Notre conviction est qu’il faut rapprocher les fonctions métiers des fonctions de réponses aux incidents. Un bon levier consiste à réaliser des exercices de crise permettant une mise en situation. La création d’une cellule d’analyse cybersécurité métiers sera l’étape d’après pour les périmètres les plus visés. Cette cellule décrypte les finalités des attaques et fait le lien entre les équipes techniques de surveillance et les équipes métiers. Ce rôle se construit au quotidien mais aussi et surtout pendant les attaques.

Une autre dimension du problème se situe dans l’équilibre à trouver entre l’internalisation et l’externalisation de ces fonctions qui demande une forte expertise et une haute disponibilité. L’ANSSI publiera en 2015 deux référentiels (PDIS et PRIS) qui aideront à mieux lire un marché aujourd’hui saturé d’acteurs.

Accompagner les projets métiers innovants, au premier rang desquels le Big data et les objets connectés

Le troisième chantier vise à accompagner les projets métiers autour de l’innovation pour démontrer la capacité de la filière cybersécurité à être, contrairement aux idées reçues, génératrice de confiance pour les clients et les partenaires. Et pour les deux sujets buzz de cette fin d’année, le Big data et les objets connectés, les modèles de sécurité changent. Et la filière doit faire ses preuves !
Le Big data fait voler en éclats les repères traditionnels : finie l’ensemble de données cohérentes, finis le responsable bien identifié pour les traiter. Il va falloir apprendre à sécuriser des lacs de données hétérogènes et répartis largement. De nouveaux concepts et outils sont en train d’émerger, comme la gestion de la sécurité par attributs de données. Il sera nécessaire de les suivre et de réaliser des tests. D’autant plus que les fonctions sécurité peuvent aussi profiter des innovations du Big data pour mieux surveiller le SI !

Concernant les objets connectés, les initiatives se multiplient et montrent la complexité des écosystèmes associés. Il faut aborder cette problématique largement en commençant par analyser la manière avec laquelle ces objets vous entrer dans le périmètre de l’organisation. Est-il prévu de concevoir des objets connectés ? De les acquérir pour l’intégrer dans les processus métiers ? De les recommander aux clients ? De les accueillir sereinement (pour éviter de revivre les frustrations liées au BYOD pour les smartphones et les tablettes) ? Les premiers projets que nous menons montrent une grande diversité des écosystèmes métiers et sécurité avec des situations complexes sur le maintien à jour dans le temps du niveau de sécurité.

2015, garder le cap !

L’année 2015 connaîtra forcément son lot d’attaques, de failles et d’incidents, plus ou moins graves, plus ou moins médiatiques. Ceux-ci ne devront pas faire perdre le cap sur la cybersécurité. Ce cap reste avant tout défini par le traitement des risques cyber les plus graves que peut connaître une organisation. Mais cette posture ne doit pas être que défensive ! Regarder vers le futur, vers l’innovation est aussi aujourd’hui un incontournable pour les équipes sécurité afin d’accompagner les transformations métiers mais aussi pour progresser elle-même.

Gérome Billois

Gérôme Billois est senior manager gestion des risques et sécurité de l’information chez Solucom, cabinet de conseil en management et systèmes d'information. Il est diplômé de l'Institut national des Sciences appliquées de Lyon.

Il est intervenu auprès de nombreux grands comptes internationaux sur des problématiques liées à la sécurité de l'information. Il a en particulier piloté plusieurs projets liés à la mise en place de programme de lutte contre la cybercriminalité (gestion de crise, cyberassurance…), à l’organisation des filières sécurité, à l'ouverture sécurisée du système d'information, de la sécurité des SI industriels ou des nouvelles technologies comme le Cloud, le Big Data ou le BYOD.

Gérôme Billois publie régulièrement, anime des conférences (Assises de la Sécurité, ISACA, CLUSIF, CNIS...) et donne des cours dans les grandes écoles. Il est par ailleurs certifié CISA et CISSP et membre du comité de normalisation Afnor, du comité de pilotage du Cercle Européen de la sécurité, du conseil d’administration du CLUSIF et du Club 27001.

Gérôme Billois a débuté sa carrière comme ingénieur réseau au sein de Telindus avant de prendre la responsabilité du réseau et de la sécurité de la plate-forme de trading londonienne de Total.

Gérome Billois, senior manager gestion des risques et sécurité de l'information chez Solucom