Assurer la sécurité du SI et manager les risques
Prendre la mesure de l’enjeu sécurité et des risques
Dès lors qu’on aborde la question de la sécurité des SI auprès de toutes sortes d’organisations, quels que soient leur secteur d’activité et leur taille, celles-ci jugent toujours la sécurité de leur SI adéquate, ou du moins suffisante, tout en étant parfaitement conscientes de leur extrême dépendance à leur SI. Pourtant, tout porte à croire que malgré des efforts de plus en plus importants en matière de sécurité, notamment du fait de la croissance des investissements dans ce domaine, le danger est loin d’être écarté pour la plupart de ces organisations.
Comme l’indique l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dans son Panorama de la cybermenace 2022 (https://www.ssi.gouv.fr/actualite/un-niveau-eleve-de-cybermenaces-en-2022/), les attaquants sont toujours plus performants. Aux attaquants avec un profil cyber-criminel classique, s’ajoutent les attaquants étatiques, le tout dans une convergence d’intérêts et d’outillages. Cette porosité des profils et un ciblage des attaques pour obtenir des accès discrets et pérennes aux réseaux complexifient la détection et la protection. Ainsi, ce sont de plus en plus les équipements périphériques ou encore les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles finales qui sont visés. Le danger ne vient plus seulement de son propre SI, mais il peut venir aussi de celui de ses partenaires.
Pourtant, le CLUSIF (Club de la sécurité de l’information français - https://www.clusif.fr/), dans son rapport de 2020 sur les « Menaces informatiques et pratiques de la sécurité » (MIPS : https://clusif.fr/publications/restitution-mips-2020-entreprises/) indique que pour 56 % des entreprises du panel interrogé les budgets sécurité de l’information sont entièrement remis en cause chaque année au risque de devenir une variable d’ajustement. Et, alors qu’elles se savent totalement dépendantes de leur SI, 50 % de ces entreprises...
Manager la sécurité et les risques
La sécurité des systèmes d’information (SSI) doit s’entendre comme un ensemble de moyens techniques, organisationnels, juridiques et humains ayant pour but de conserver, rétablir et garantir la sécurité du système d’information. D’un point de vue très général, cette sécurité vise à la fois à assurer la disponibilité du patrimoine informationnel aux utilisateurs autorisés, à en préserver l’intégrité, à en garantir la confidentialité en interdisant tout usage à des tiers non autorisés, et à assurer surveillance et traçabilité (l’acronyme DICT synthétise les objectifs de la sécurité des SI : disponibilité, intégrité, confidentialité, traçabilité) afin d’être en mesure de détecter et d’interrompre tout usage anormal, ou d’attester d’un usage des données conforme aux règles et obligations.
Mais, pour savoir se protéger des risques qui pourraient mettre à mal la disponibilité, l’intégrité, la confidentialité ou nécessiter la traçabilité, encore faut-il identifier clairement chacun d’entre eux. Il s’agira de préciser les causes possibles de survenance de compromission pour chaque risque, d’évaluer ses conséquences potentielles sur tous les plans (stratégique, opérationnel, financier, juridique, et en termes d’image), d’évaluer les probabilités de survenance, d’évaluer les solutions de protection sur tous les plans également (technique, organisationnel, financier), ou encore d’évaluer les solutions de rétablissement, pour finalement pouvoir décider des moyens qui seront mis en œuvre. Soit on préservera le SI du risque concerné par des moyens technologiques, organisationnels, méthodologiques ou encore culturels. Soit on choisira de ne pas lutter contre la possible survenance : on préférera détecter la survenance d’une compromission et se donner les moyens de rétablir la situation. Soit on estimera que le risque...
Formaliser la politique de sécurité des SI (PSSI)
Le projet de formalisation de la PSSI consiste à traduire le résultat des travaux de management de la sécurité et des risques en une politique appropriable par tous les acteurs de l’organisation, du top management aux exécutants, aux agents comme aux prestataires, véritable cadre contractuel d’exécution des missions de chacun au regard de l’utilisation des SI.
Cela commence donc par un cadrage des enjeux stratégiques et réglementaires qui déterminera les différents angles d’approche des risques SSI. C’est l’analyse des risques qui permettra d’identifier les critères de sélection des principes de sécurité à développer et de guider l’élaboration des règles de sécurité.
On entend par principe de sécurité aussi bien la définition des orientations de sécurité considérées comme nécessaires que les caractéristiques de la sécurité définies comme importantes. Ce sont ces principes qui constitueront la base de réflexion pour l’élaboration de la PSSI et permettront sa déclinaison en règles de sécurité.
Les règles de sécurité définissent des exigences de sécurité...
Former et éduquer les utilisateurs
Le rapport Verizon 2023 sur les compromissions de données nous apprend que 74% des compromissions impliquent le facteur humain (ingénierie sociale, erreurs, abus…) et que 50% des attaques par ingénierie sociale utilisent le pre-texting - stratagème d’ingénierie sociale par lequel les escrocs fabriquent des histoires plausibles pour inciter les victimes à donner des informations personnelles ou l’accès à leurs comptes - , soit près du double de l’an dernier. Il est bien sûr possible de réduire la surface du risque utilisateur par des procédures et des outillages techniques. Un vol d’identifiants peut être neutralisé par l’utilisation d’un système d’authentification multi-facteurs. L’exécution de scripts peut être limitée aux seuls utilisateurs autorisés et chaque script peut faire l’objet d’une analyse avant autorisation d’exécution. Les procédures d’accréditation peuvent être renforcées et nécessiter plusieurs étapes de contrôle et de validation pour limiter les risques d’erreur d’élévation de droits. Toutes ces mesures et ces outillages auront un coût et il se pourrait que dans nombre de situations il ne soit possible d’en mettre...
Prendre en compte la spécificité de chaque métier
La sécurité des SI d’une organisation vise donc à assurer la disponibilité, l’intégrité et la confidentialité du patrimoine informationnel de cette organisation ainsi que la traçabilité des opérations réalisées sur ce patrimoine. Les trois premiers objectifs, qui peuvent être qualifiés de stratégiques pour les métiers d’une organisation, se doivent d’embarquer l’identification des risques de sinistres, et donc de définir les moyens d’empêcher la survenance de ces sinistres tout autant que de prévoir les actions de réparation. Le quatrième objectif vise à disposer de l’information qui permettra au mieux de détecter et d’anticiper l’imminence d’un éventuel sinistre, au pire de participer à la compréhension des circonstances qui ont abouti au sinistre afin d’en empêcher la reproduction, ou encore de respecter les obligations réglementaires en matière de preuve notamment dans le domaine judiciaire.
Mais, par exemple, s’il apparaît souhaitable de maintenir une disponibilité continue du patrimoine informationnel durant les périodes où les utilisateurs en ont besoin, jusqu’à quel prix faut-il...
S’assurer de l’application de la PSSI
Bien que la PSSI ne puisse qu’être favorable aux métiers, ces derniers vont souvent considérer les mesures de sécurité imposées par la PSSI comme des contraintes, voire des obstacles à leur productivité.
Par exemple, il est difficile d’imposer une politique de mots de passe contraignante avec une longueur minimale d’une dizaine de caractères, une combinaison obligatoire de trois types de caractères différents, une durée de validité de trois mois maximum, l’interdiction de réutiliser les trois précédents mots de passe, et un blocage du compte au-delà de trois erreurs de saisie consécutives… La difficulté à imposer une véritable politique de gestion des mots de passe se vérifie dans de nombreuses organisations : on constate que les utilisateurs tentent de s’y soustraire quand ce ne sont pas les VIP qui demandent à en être exclus !
Travailler avec les métiers dès l’analyse des risques sur leur SI, leur faire déterminer un niveau de résilience (capacité d’un système à traiter la panne - la résilience amont organise la résistance au risque de panne, la résilience aval organise le rétablissement après la panne) acceptable pour...
Le socle d’une PSSI globale
Il s’agit d’identifier quelques grands sujets qui portent des risques importants et constituent une partie incontournable de la politique de sécurité globale du SI. Ces sujets doivent permettre de fonder une stratégie globale minimale pour l’ensemble du SI. On ne traite pas ici de ce qui relève des PSSI spécifiques, mais bien de ce qui est commun à l’ensemble du SI.
Les identités et les habilitations. C’est un point essentiel de la sécurité et certainement un des sujets pour lesquels les risques sont de probabilités d’autant plus élevées que les processus de gestion des droits d’accès sont souvent mal maîtrisés. Au niveau de la PSSI, il ne s’agit pas seulement de définir une solution technique de type IAM (Identity & Access Management - système de gestion des identités et des accès au SI), mais avant tout d’identifier les processus (entrées, mobilités, sorties des agents ou d’utilisateurs externes…), et de maîtriser les mécanismes d’habilitation à l’aide de profils, de rôles… Ce sujet traite également du moyen d’identification et de sa résistance. À savoir qu’un grand nombre des incidents de sécurité ont pour cause l’utilisation frauduleuse d’identifiants.
Les postes de travail. Ce sujet concerne tous les devices (PC fixes et portables, tablettes, smartphones). C’est le point d’entrée le plus fréquemment utilisé pour compromettre un SI. Ce sujet embarque tous les risques inhérents à la configuration du device, source potentielle de sa compromission (système d’exploitation, ports de connexion de périphériques, navigateurs, réseaux sans fil…), ou à son utilisation frauduleuse.
Les comptes à privilèges. Qu’il s’agisse d’un environnement infogéré ou d’un SI sur lequel un grand nombre de prestataires interviennent, comme dans la plupart des grandes organisations, il semble pertinent de disposer de la maîtrise de ces comptes ainsi que de pouvoir limiter l’utilisation d’identifiants à privilèges et d’en tracer l’usage...
Le RGPD et la protection des données personnelles
La loi Informatique et libertés de 1978
Depuis le 1er juin 2019, du fait de l’application du règlement européen sur la protection des données personnelles (RGPD), la loi du 6 janvier 1978, dite « Informatique et Libertés », a fait l’objet d’une nouvelle rédaction. Il fallait qu’elle prenne en compte à la fois les stipulations du RGPD et les dispositions relatives aux « marges de manœuvre nationales » autorisées par le RGPD que le législateur a choisi d’exercer ainsi que les mesures de transposition en droit français de la Directive « police-justice ». Cette nouvelle rédaction précise les différents régimes applicables en fonction de la nature des traitements concernés : traitements relevant du RGPD, traitements « police-justice », traitements intéressant la défense nationale ou la sûreté de l’Etat, etc. Elle comporte en outre des dispositions communes, applicables à tout traitement.
La loi « Informatique et Libertés » ne reprend pas en intégralité les dispositions du RGPD, même si elle y renvoie expressément dans certains cas. En effet, le RGPD étant un règlement, il ne nécessite pas une transposition dans le droit national.
Le règlement européen sur la protection des données personnelles
Le règlement général sur la protection des données (RGPD en français, et General Data Protection Regulation, soit GDPR en anglais) est le nouveau règlement européen qui s’appliquera dans tous les pays de l’Union européenne depuis le 25 mai 2018 : https://www.cnil.fr/fr/reglement-europeen-protection-donnees.
Il ambitionne trois objectifs par rapport aux précédentes réglementations nationales :
-
Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et par des dispositions propres aux personnes mineures.
-
Responsabiliser les acteurs traitant des données, aussi bien les responsables de traitements que leurs sous-traitants.
-
Crédibiliser la régulation grâce à une coopération...
La directive NIS2
Le Parlement européen et le Conseil de l’Union européenne avaient adopté, en juillet 2016, la directive "Network and Information Security" (NIS et maintenant nommée NIS1). Cette directive a pour objectif d’augmenter le niveau de cybersécurité des Opérateurs de services qui sont essentiels au fonctionnement de l’économie et de la société (OSE), soit dix secteurs d’activité qui représentent quelques centaines d’entités en France. Avec NIS1, ces grands acteurs ont été obligés de renforcer leur cybersécurité afin de réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cyber et de déclarer leurs incidents de sécurité à l’ANSSI.
Une nouvelle directive, dite NIS2, qui s’appuie sur les acquis de la directive NIS 1, élargit largement ses objectifs et son périmètre d’applicabilité. En effet, cette directive s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Ce seront 600 types d’entités différentes concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.
Publiée le 27 décembre...
Organiser la résilience face à l’incident
Dans le milieu de la cybersécurité, il n’est pas rare d’entendre : « la question n’est pas de savoir si vous allez être hacké mais quand vous allez l’être ». Mais ces propos étant souvent tenus par des experts d’entreprises de cybersécurité, il n’est pas certain qu’ils créent l’effet escompté. Pourtant, aucune typologie d’entreprises n’a échappé à des cyberattaques bien réussies, y compris parmi celles dont le métier consiste à nous protéger de ces agressions. Peut-être vaut-il mieux défendre l’idée que la probabilité d’un incident sur le SI (erreur humaine, panne ou cyberattaque) est suffisamment élevée pour se doter d’un plan d’actions pour anticiper toute éventualité ? Il s’agit alors d’organiser la résilience de son SI, et donc du fonctionnement de l’organisation, face à l’incident de quelque nature qu’il soit. On parle alors de cyber-résilience qui doit permettre, en cas d’incident, de disposer d’un plan d’intervention pour rétablir le fonctionnement du SI dans son état nominal après un sinistre.
Ce plan d’intervention ou plan de résilience est directement lié à la PSSI, celle-ci ayant permis de déterminer les différents risques potentiels, y compris ceux dont il aura été décidé de ne pas les traiter préventivement et pour lesquels il faudra...