dimanche 5 octobre 2014

Une cyberstratégie pour fédérer les acteurs publics et privés


Le 1er et 2 octobre se sont tenues les Assises de la Sécurité, ouvertes par Guillaume Poupard le nouveau Directeur Général de l'ANSSI, l'Agence Nationale pour la Sécurité des SI. Ce qui a retenu l'attention de GreenSI c'est le renforcement d'une approche de plus en plus opérationnelle de la cybersécurité, incluant les entreprises. Une approche qui s'éloigne de lois inapplicables cherchant plus à identifier et pénaliser les coupables, plutôt que d'aider à mettre en oeuvre des moyens de prévention. 

Et puis la France est aussi un des leaders de l'industrie de la "confiance numérique" (40.000 emplois, 13 milliards d’euros). Alors pourquoi ne pas faire d'une pierre deux coups? Développer une industrie en croissance et protéger toutes nos entreprises d'une menace qui est réelle et concerne en priorité les systèmes d'information.

Pour se convaincre de la réalité de la menace, et ne pas en rester au buzz sur les photos de stars nues, rien que ces deux dernières semaines ce n'est pas moins de 3 annonces de piratages qui ont touché l'activité d'entreprises. Et dans le cas de JP.Morgan, vu la sophistication des moyens employés, des Etats sont même suspectés d'avoir orchestré les opérations:
  • JP Morgan: annonce officielle de l'attaque informatique qui a conduit a la compromission des données de 76 millions de foyers clients et de 7 millions de PME. Ces données ( noms, emails, ...) qui vont ensuite certainement servir a des attaques de type "phishing" (hameçonnage), qui seront rendues plus efficaces car les données déjà connues améliorent la crédibilité des messages envoyés pour obtenir des données non encore connues (les mots de passe généralement).
  • Home Depot: Piratage de 56 millions de numéro de Carte Bancaire des clients de Home Depot. Ensuite il suffit pour le pirate de les revendre. Pour vous en convaincre voici par exemple une vidéo d'un pirate, publiée sur YouTube, qui présente "sa marchandise". En 2010, un numéro de CB se vendait 2,30€ sur le Net...
  • Microsoft : quatre cybercriminels présumés ont été inculpés aux Etats-Unis pour avoir dérobé des secrets commerciaux sur la console de jeux Xbox One. La valeur des données piratées est évaluée entre 100 et 200 millions de dollars et concerne les jeux les plus en vus de Microsoft.
Une menace réelle qui est parfois amplifiée par la DSI elle même, quand le RSSI n'a pas mis en place une sécurité adaptée aux différents cas de figure et s'entête a vouloir traiter tous les cas avec les mêmes règles de sécurité: celles du château fort et du déni du BYOD et de l'entreprise numérique. Si, si, ça existe encore!
Une politique qui a de fortes chances de conduire a faire des salariés, autant de chevaux de Troie prêts, pour juste faire leur travail, a contourner ces règles avec des clefs USB, des équipements ou des applications personnelles en ligne.

La communication sur les risques, qui commence par la prise de conscience et la compréhension des risques par tous les salariés, reste donc un incontournable et un fondamental. Les services de l'Etat veulent montrer l'exemple avec l'annonce, début septembre, de la politique nationale pour la sécurité de ses propres SI. Notamment la formation de tous les personnels des administrations. 

Le discours de l'ANSSI de cette semaine montre que nous passons de la phase "communication" à la phase "collaboration et opérationnel".
La collaboration entre tous les acteurs : publics et privés, entre fournisseurs et clients, entre grandes entités, PME-PMI et citoyens. Autant de barrières (parfois imposées par la loi...) qui cloisonnent les efforts et seraient autant de freins en cas de réelles attaques par des pirates voulant s'enrichir. 

Mais aussi en cas de cyberguerre, avec l'hypothèse d'une attaque massive de la France, comme a pu le subir l'Estonie en 2007. Un Etat de l'ex URSS, qui une fois indépendant avait massivement investi dans le numérique et les services en ligne pour ses citoyens. Il a fait l'objet d'un bocage de tous ses sites par une attaque coordonnée d'un groupuscule "pro Russes" qui a bloqué l'internet du pays pendant plusieurs jours et déclenché une inquiétude certaine des citoyens.  
Une attaque qui a fait prendre conscience à l'OTAN qu'il fallait aller au delà de la protection de ses sites mais aussi protéger ceux de ses Etats membres. L'OTAN publie régulièrement des vidéos très intéressantes sur son activité.
Cette collaboration s'appuiera sur une indispensable remontée des incidents pourt être en mesure de détecter des menaces multiples et coordonnées

Pour les PME-PMI qui n'auraient pas les équipes en interne, l'ANSSI envisage même de développer une offre "SaaS" de cybersurveillance qui leurs serait destinée, à l'instar de ce que font déjà certains hébergeurs qui intègrent des SOC (Security Operating Center). Ces centres qui supervisent et administrent la sécurité du système d'information qu'ils hébergent.

Et puis il est important de pouvoir s'appuyer sur des solutions et des prestataires reconnus, mieux, certifiés. Un service jusque là proposé uniquement aux OIV - Opérateurs d'Importance Vital - alors que les menaces d'aujourd'hui dépassent largement le périmètres de ces opérateurs. La création d’un « label France » (marque de confiance, de qualité et de performance) pour les offres nationales est l’une de ces mesures. 

Dans les entreprises, la sécurité du SI consomme déjà 4,1% du budget IT, un chiffre qui va donc certainement augmenter. Mais la sécurité ne doit pas rester un simple coût informatique et doit maintenant être comprise et abordée au plus haut niveau de l'entreprise, management et Direction Générale. C'est à ce niveau que les moyens de cette collaboration entre entreprises et avec l'Etat pourront être mobilisés et inscrits dans une stratégie opérationnelle et quitter la sphère règlementaire. 

C'est tout l'enjeu pour accompagner le développement de l'entreprise numérique dont GreenSI suit la transformation, mais aussi de la "République Numérique" que la Secrétaire d'Etat Axelle Lemaire appelle de ses voeux (Construisons ensemble la République Numérique).

La formation des dirigeants est donc devenue une priorité.
Le Centre des Hautes Etudes du Cyberespace (CHECy), parrainé par le Cigref, est né de ce constat d’un déficit de compréhension des enjeux numériques et des risques associés. Le CHECy propose une formation de haut niveau sur le cyberespace pour les cadres et les dirigeants des secteurs public et privé. Espérons pour l'entreprise numérique que ces initiatives vont aussi se multiplier dans toutes les écoles de management.

SHARE THIS

0 commentaires: