Par Sébastien DEON, Expert cyber-résilience, Directeur des systèmes d’information, auteur Editions ENI

Article initalement publié le 10/1123 dans la newsletter Ctrl Tech sur Linkedin

Alors que le cybermoi/s 2023 s’est terminé il y a un mois et que je participais il y a quelques jours au Live ENI TALKS sur la cybersécurité, je vous propose de sortir du fatalisme face aux risques cyber pour entrer en résilience et en sortir vainqueur. Cela passe par une posture basée sur plusieurs principes qu’il convient de respecter. A contrario, l’inverse pourra s’avérer un jour fatal pour la survie de votre organisation.

1/ Ne pas faire un état des lieux exhaustif

Arriver dans une organisation, prendre le train en marche des projets afin de respecter la fameuse roadmap, ne pas se poser de questions sur la cybersécurité, la cyber posture, la cyber résilience, … serait une grave erreur.

• Ne pas comprendre que sans sécurité forte et intransigeante, le risque « industriel » est avéré.
• Ne pas tenter de faire une photographie de l’existant, c’est-à-dire disposer de la politique de sécurité des systèmes d’information (PSSI), ne pas prendre connaissance de l’analyse de risques,
• Ne pas connaître l’état de maturité des collaborateurs y compris celui du COMEX/CODIR DG,
• Ne pas avoir une vue exhaustive de l’état du bouclier technologique existant qui permet de se protéger des cyber menaces,

Voilà une posture vouée tout simplement et inéluctablement à l’arrêt de production du SI et, disons-le clairement, à l’arrêt de l’activité d’une entreprise qu’elle soit privée ou publique.

Action 1 : Faire un état des lieux cyber.

Dans une organisation, quelle que soit sa taille, le premier acte de cyber-résilience à effectuer est de se poser afin de comprendre ce qui existe, ce qui fonctionne et ce qui pose problèmes : récupération de la documentation, interview avec les directions métiers, discussion avec les collaborateurs, lecture des contrats prestataire, compréhension de l’architecture cyber en place, analyse des cyber-attaques passées, découverte du plan de gestion de crise, … sont autant d’éléments à récolter.

2/ « Shunter » l’analyse de risques

Il est tentant de vouloir s’affranchir d’une longue et fastidieuse analyse de risques SSI : encore de la documentation qui ne sera pas lue et pas suivie par les équipes, donc autant se concentrer sur l’opérationnel !

Mais quels sont réellement les risques à ne pas faire d’analyse de risques ?

Indisponibilité du système, altération des données, divulgation des données, absence de traçabilité en cas de demande clients ou autres problèmes de confidentialité, … Seuls l’analyse de risques et son résultat permettent d’avoir la capacité d’appréhender sereinement la cible à atteindre. Mieux, cette analyse est indispensable avant de lancer tout projet SI (installation d’une nouvelle application, d’externalisation en cloud, système de visio-conférence, digital Workplace dans M365, mise en place d’un tableau de bord métier, …).

Il faut partir du principe que rien n’est anodin dans un SI. « Suis-je menacé, par quoi, par qui et comment ? Quelles sont mes vulnérabilités ? » Un travail préparatoire méticuleux est indispensable : identification des biens essentiels, des biens supports et de leurs relations, étude des événements redoutés et des scénarios de menaces, appréciation et évaluation des risques, mesures de sécurité et plan d’action. En fonction de l’évaluation des risques et de la classification de ceux-ci en prenant en compte différents facteurs comme la probabilité d’occurrence et les impacts, un ensemble de mesures de sécurité doit être mis en place afin de réduire les risques.

Action 2 : Réaliser une analyse de risques globale. Faire valider cette analyse en Revue de direction avec proposition d’un plan d’actions composé de « quick wins », puis réaliser des analyses de risques thématiques (par application, par direction métier, par thématique spécifique, …).

Action 3 : Activer un plan de reprise informatique simple et efficace. Il faut partir du principe que la cyberattaque va arriver un jour et qu’elle va tout paralyser mais que cela n’est pas une fatalité. Mettre en place et tester un PRI simple et efficace en se concentrant sur la partir la plus critique du SI (par exemple, les trois applications les plus sensibles et pas l’intégralité du SI), penser un plan en se disant que 50% des collaborateurs seront en télétravail sur la production qui sera online chez un hébergeur sont des hypothèses à considérer

4/ Ne pas s’entraîner à la gestion de crise

Pour être performant dans une discipline, il est important de s’entrainer. Donc, ne pas faire l’effort de réaliser des mises en situation de crise (lorsque tout est normal, lorsqu’il n’y pas de pression, lorsqu’il y a le temps pour la faire) sera préjudiciable le jour de la crise car tout devra être improvisé : où sont les documents d’architecture ? Comment accéder aux mots de passe admin ? Qui prévenir ? Quoi communiquer en interne et en externe ? Quand le SI sera remonté ?

Autant de questions qui seront posées en même temps qu’il faudra remettre les services IT en production dans les meilleurs délais.

Un processus formalisé doit décrire le fonctionnement de la cellule décisionnelle et de la cellule opérationnelle ; Une mallette de gestion de crise doit être préparé (corpus documentaire, liste des mots de passe, liste des clients, n° de téléphones des collaborateurs, messagerie de secours, PC de secours, box 4G, affiches pour les clients, routage de la téléphonie, description des processus métier en mode hors SI, …).

Action 4 : Formaliser un plan de gestion de crise, l’implémenter auprès d’un hébergeur spécialisé et le tester au minimum une fois par an. Se concentrer sur les applications critiques uniquement.

5/ Ne pas upgrader les éléments du SI

C’est une tendance assez naturelle de ne pas se soucier de la mise à niveau des différents éléments qui constituent le système d’informations, probablement pas manque de temps, manque d’énergie et manque de budget, ce fameux budget !

Bon nombre d’organisation dispose encore de serveurs sous Windows 2008 server, voire avec la version 2003 (20 ans de passif tout de même) ! Il peut y avoir de bonnes raisons à cela : une vielle application qui n’est pas « migrable » par exemple.

De même, les switchs et autres routeurs sont souvent laissés de côté dans une politique de mise à niveau des firmwares . Pourtant, une version obsolète d’un routeur VoIP peut permettre à des hackers de faire exploser la facture de téléphonie. Les failles logicielles sont présentes partout : dans les systèmes d’exploitation, dans le code des applications, dans le design des bases de données, dans les APIs, dans les annuaires d’entreprise, dans les devices IP (smartphones, téléphones, montres connectés, caméras, …), dans les éléments actifs du réseau, …. Il faut partir du principe que la meilleure sécurité est de disposer de la dernière version logicielle/matériel d’un équipement, d‘autant plus que les constructeurs et éditeurs ne maintiennent plus les versions obsolètes.

Action 5 : Mettre à niveau tous les éléments du système d’information en s’appuyant sur des processus formalisés et sur des outils de supervision.

6/ Ne pas faire confiance à l’intelligence collective des collaborateurs

Le vielle adage « la confiance n’exclut pas le contrôle » s’applique parfaitement au monde de la cybersécurité. Pensez que les collaborateurs sont exemplaires en matière d’hygiène et de comportements numériques est illusoire. Il existe toujours des personnes réticences, des personnes qui oublient les bonnes pratiques ou même des personnes qui se font piégées par un hameçonnage, une arnaque au Président, … Qui n’a jamais cliqué sur un lien inconnu dans un mail ?

Il est important de mener à bien un projet de sensibilisation de collaborateurs en utilisant tous les moyens pédagogiques à disposition : acculturation via une plateforme de e-learning (comme Pix par exemple), webinaires internes thématiques (gestion des mots de passe, conséquences du phishing, …), recours à des services externalisés de campagnes de phishing, mise en place de workflow sécurité SI dans tous les projets liés au SI, …

Action 6 : Formaliser et mettre en œuvre un plan de sensibilisation des collaborateurs. Répéter l’opération fréquemment. Sensibiliser les nouveaux arrivants.

7/ Vouloir tout faire en interne

« J’ai les compétences et le temps, je ne veux pas dépendre de prestataires et puis, j’adore Linux et Google ! ».

Le domaine de la cybersécurité est devenu de plus en plus complexe et si installer un SIEM peut s’avérer simple en première analyse, la maintenance d’un tel système sur le long terme peut vite tourner au cauchemar. Le maître mot est « efficience », c’est-à-dire qu’il est préférable de sous-traiter la cybersécurité à des spécialistes et disposer d’un bouclier technologique robuste et fiable : EDR, SIEM, SOC, authentification forte, coffre-fort de mot de passe, SSO, VPN, firewall, bastion PAM, gestionnaire de vulnérabilité, pentest, campagne anti-phishing, …) et surtout faire appel à du service managé ; l’objectif étant de se (re)centrer sur le cœur de métier de l’organisation.

Action 7 : Recourir à des prestataires cyber spécialisés. La pénurie de talents en cybersécurité pose un vrai problème de ressources. Il est impossible de tout maîtriser tant d’un point de vue technique que d’un point de vue réglementaire. Il semble évident que le recours à des solutions tierces (SOC managé, SIEM externalisé, RSSI as a Service, assistance à gestion de crise, …) semble inéluctable.

8/ Ne pas réaliser de cartographie du SI

« Si on me demande une cartographie de mon système d’information ? Pas de soucis, j’ai un fichier Excel quasi à jour contenant la liste de mes serveurs, le nombre de vCPU, la taille de la mémoire, la taille des disques, et la version du système d’exploitation, c’est bien suffisant dans un premier temps !  Et pour le réseau, je vais chercher, je dois bien avoir un fichier visio quelque part … De toute façon, j’ai tout dans la tête ».

Evidemment qu’il est nécessaire de connaître les composants de son SI de la façon la plus large possible et sous différentes vues :

• vue infrastructure : liste des serveurs, rôle des serveurs, adresses IP, liste et versions des middlewares, liste des postes de travail et périphériques mobiles, liste des éléments actifs et versioning…,
• vue applicative : liste et objectifs des applications, schéma de fonctionnement, nombre d’utilisateurs, interactions applicatives, owners…,
• vue sécurité : liste des flux de sécurité entrants/sortants, état des lieux de la sécurité applicative, connexions nomades, accès prestataires…,
• vue fonctionnelle : description de l’ensemble des sous-systèmes du SI comme l’approvisionnement de matériels, les finances, les RHs, …,
• vue données : nature et finalité des traitements de données à caractère personnel, critères de sécurité DICT, matrice d’habilitation…
• vue processus  : liste des missions des parties prenantes, métiers, acteurs, processus métier….

Action 8 : Réaliser une cartographie des principaux actifs du système d’information en commençant par la vue infrastructure pour aller jusqu’à la vue processus, et tenir à jour cette cartographie.

9/ Faire confiance aux contrats des prestataires

Les prestataires sont compétents et ont des contrats prenant en compte tous les aspects des contraintes liées à la sécurité des systèmes d’information. Vous pouvez donc dormi tranquille. Hélas, le monde n’est pas parfait et il faut impérativement lire tous les contrats de prestation (installation, maintenance, vente de licences, sous-traitance en cascade, …

Il faut écrire un PAS (Plan d’Assurance Sécurité) et un PAQ (Plan d’Assurance Qualité) afin de poser vos exigences SSI (exemple : tous les prestataires doivent se connecter de façon nominative au système de télémaintenance de votre organisation).

Action 9 : Mener une analyse méticuleuse des contrats de prestation et demander à faire respecter vos exigences SSI.

10/ Ne pas répartir les risques

Imaginons que tout le SI soit hébergé dans un ou deux salles informatiques au sein même des bâtiments de l’entreprise. Cela peut paraître intéressant et rassurant pour les dirigeants et pour la DSI qui se disent que tout est sur place et donc tout est contrôlable facilement et rapidement. En cas de cyber-attaque, c’est le pire scénario puisque tout ou partie du SI sera indisponible, entraînant le retour à l’âge de pierre du papier-crayon. Plus de téléphonie sur IP, plus d’internet, plus de mails, plus d’application métiers, plus d’accès aux données des clients, plus de commande, … Bref une catastrophe.

Action 10 : Répartir ses applications en mode hybride afin de minimiser l’impact d’une cyber-attaque. Adopter le réflexe du BSP (Bon Sens Paysan) en ne mettant pas ses œufs dans le même panier. C’est-à-dire qu’il faut répartir ses serveurs, ses applications, … dans différents endroits, dans différents cloud : M365 pour la digital Workplace, SIEM externalisé, PRI externalisé, architecture hybride (on-premise, cloud privé, cloud public) selon les workloads. La bonne application, au bon moment, au bon endroit !

Livre