Blog

ParOlivier Giraud

Qu’est ce que la gouvernance des données ?

La nécessité d’une gouvernance des données

A l’heure où chacun cherche la meilleure expérience utilisateur sur internet 24/7 grâce au smartphone, les organisations se doivent d’avoir une parfaite connaissance de leurs utilisateurs et de leurs comportements pour leur proposer la réponse la plus adaptée à leurs attentes.

Les données permettant de comprendre les internautes sont pléthoriques (données issues des utilisateurs, des réseaux sociaux, des objets connectés, des applications, de l’open-data), hétérogènes (texte, image, vidéo, csv…) et multi-provenance.

Dès lors, les données deviennent un actif majeur de l’organisation.

L’enjeux pour les organisations est de garantir la sécurité de ces données mais surtout d’être capable de les transformer en information partageable entre les métiers, puis en connaissances, source de produits/services, d’innovations, de décisions. De nombreux outils dont ceux du big data et de l’IA en permettent le traitement.

Toutefois, ce traitement suppose que les données soient correctes, valides (non obsolète) et contextualisées.

La mise en place d’une organisation et d’un ensemble de processus, rôles, règles, normes, dispositifs permettant d’assurer une collecte et un traitement des données efficace, sécurisé et conforme aux réglementations devient indispensable. C’est ce qu’on appelle la gouvernance des données ou data governance.

En quoi consiste la gouvernance des données ?

La gouvernance des données implique :

  • La mise en place d’une organisation dotée :
    • D’une structure organisationnelle avec différents acteurs qui prennent soin et conservent les données
    • D’un responsale de la gouvernance des données (en anglais chief data officer – CDO) en charge de piloter la structure en coordination avec les responsables de la DSI et de définir les politiques
    • De data owner, propriétaires et responsables, au sein de chaque métier d’une famille de données. Ils définissent pour chaque donnée, le niveau de qualité requis, le processus d’acquisition conformément à la réglementation, les modalités de stockage, d’accès et de contrôles des données.
    • De data scientist, capables d’analyser les données, de les combiner afin de les valoriser et d’en tirer des connaissances exploitables par les métiers
    • D’une instance de gouvernance des données qui approuve les politiques et règles de management des données notamment celles concernant le stockage, la protection, l’accès, l’utilisation des données
  • Une cartographie et une classification des données. L’organisation doit connaître pour chaque donnée, les dispositifs de collecte, de circulation, de traitement, de stockage. Elle doit identifier les données personnelles, dont les données sensibles au sens du RGPD afin de mettre en place les modalités de mise en conformité. Les données devront également être classées selon des niveaux d’intérêt définis par les métiers.
  • Des processus et outils de gestion de cycle de vie des données basés sur les métadonnées pour faciliter la gestion, la recherche, l’accès, l’utilisation, l’archivage, la suppression, la conformité des données
  • Des dispositifs de sécurité en fonction des risques liés à chaque typologie de données : sauvegarde, chiffrage, anonymisation, accès…
  • Des dispositifs de contrôle des données
  • Une sensibilisation des collaborateurs aux risques liés aux données et formation aux outils et modalités de gestion des données.

Les avantages d’une bonne gouvernance des données

Une gouvernance efficace et efficiente permet :

  • Une meilleure qualité des données
  • Une réduction des coûts de leur gestion
  • Un référentiel centralisé et partagé par tous les métiers de toutes données de l’organisation
  • Une compréhension des données disponibles et une valorisation facilitée
  • Une conformité réglementaire documentée

Et donc :

  • Des analyses plus précises facilitant la prise de décision
  • Une vision fiable des préférences et attentes des clients par la vente et le marketing
  • Une meilleure image et une confiance accrue auprès des internautes pour qu’ils confient à l’organisation leurs données
  • Une automatisation des processus facilitée
  • Une collaboration aisée entre les métiers
  • Un avantage concurrentiel

La gouvernance des données, base indispensable d’une organisation digitale

La donnée est l’actif clé des organisations à l’ère de la révolution digitale. Sa maîtrise tout au long de son cycle de vie est indispensable pour en garantir la qualité, la sécurité et permettre son exploitation et sa valorisation par les métiers grâce aux outils du Big Data et de l’IA (Intelligence Artificielle). La gouvernance de la donnée est le vecteur de maîtrise des données de l’organisation.

ParOlivier Giraud

Qu’est-ce que le règlement ePrivacy ? Quels impacts pour les organisations ?

Le règlement ePrivacy

Le règlement ePrivacy concernant le respect de la vie privé et la protection des données à caractère personnel dans les communications électroniques est un texte en préparation qui vise à protéger la communication électronique de tout consommateur européen mais aussi l’ensemble de ses activités en ligne. Ce texte a pour but de remplacer la directive 2002/58/CE (règlement « vie privée et communication électroniques ») devenu obsolète. Il complète le Règlement Général sur la Protection des Données personnelles (RGPD). Il s’applique à tous les états membre de l’UE et son non-respect est passible des mêmes sanctions que le RGPD (2 à 4% du CA ou un montant allant jusqu’à 20M d’€).

Ce texte, s’il est promulgué, impactera toutes les organisations qui utilisent les communications électroniques, les données et les métadonnées stockées dans ou envoyées depuis le terminal d’un utilisateur (téléphone, PC, tablette). Il impactera aussi et les méthodes de marketing direct pour contacter les prospects.

Exemples d’impacts sur les organisations et leurs pratiques

Marketing direct : Une organisation devra disposer du consentement (autorisation explicite) d’une personne pour pouvoir la contacter, par mail ou par téléphone, à des fins de marketing direct, et non plus seulement, comme pour le RGPD, d’un « intérêt légitime ». Les clients pourront demander leur retrait des listes destinées au marketing direct.

Les appels téléphoniques de marketing direct devront être identifiables via un code. L’entité juridique à l’origine de l’appel devra être clairement identifiable.

Contrôle et confidentialité des données de communication

Le contenu de chaque message, y compris messages vocaux transmis par un utilisateur, quel que soit l’application utilisée, et les métadonnées correspondantes devront être protégés. Ils ne pourront être divulguées sans le consentement de la personne à l’origine du message.

Cela s’appliquera également aux communications de l’internet des objets et aux communication Wifi publiques.

Cookies : Les cookies liés au marketing nécessiteront un consentement y compris ceux visant la mesure d’audience. Il est interdit de refuser l’accès à un site si un utilisateur n’accepte pas les cookies.

Annuaires accessibles au public : Les utilisateurs finaux auront la capacité de s’opposer à l’enregistrement de leurs données dans un annuaire accessible au public.

Pour se préparer à cette nouvelle réglementation

L’ePrivacy n’est pas finalisé et aucune date de promulgation n’a été définie. Toutefois, ce texte est plutôt dans l’air du temps. Anticiper sa mise en œuvre est sans doute préférable.

Les dirigeants doivent identifier les impacts réels du ePrivacy en vue d’évaluer les adaptations de leurs pratiques et notamment les approches marketing à mettre en œuvre.

Par exemple :

  • Déterminer les modalités de recueil des données des utilisateurs en facilitant l’obtention de leur consentement, tout en respectant leurs droits en toute transparence et en toute confiance.
  • Proposer des services à valeur ajoutée aux utilisateurs basés sur la collecte à bon escient des données des utilisateurs tout en leur garantissant la sécurité et la confidentialité de ces données.

C’est ainsi que toute organisation transformera le règlement ePrivacy en opportunité en répondant aux attentes des personnes et ce avant leurs éventuels concurrents.

ParOlivier Giraud

Comment gérer une crise cyber ?

Un contexte de cybermenaces

L’utilisation des technologies se généralise dans les organisations. Elles constituent un élément fondamental de leur fonctionnement mais aussi un élément décisif de leur capacité à se différencier de leurs concurrents.

Toutefois, ces technologies font l’objet de cybermenaces. Les cyberattaques se multiplient quelle que soit le type d’organisation (entreprise, organisme public ou association). Aucune organisation n’y échappe. Elles proviennent de concurrents, d’Etats, de cyber-délinquants, de personnes internes à l’organisation (collaborateurs, prestataires).

Les systèmes d’informations sont toujours plus complexes, toujours plus ouverts et interconnectés, accessibles par des divers terminaux mobiles toujours bien sécurisés (ex : smartphone personnel). Ils offrent ainsi de multiples angles d’attaque difficiles à défendre et à surveiller.

Or une cyberattaque est susceptible d’impacter voir de paralyser la totalité des activités d’une organisation digitale jusqu’à la mettre en péril. En fonction de la gravité de l’impact, l’organisation peut être en crise.

La gestion de crise : une gestion d’incident grave

Pour s’en prémunir, outre, une stratégie de défense et de surveillance / détection efficace basée sur les risques, une organisation doit être capables de faire face. Elle doit pouvoir traiter l’attaque soit par la gestion d’incident et dans les cas les plus graves, par la gestion de crise.

Les cyberattaques peuvent concerner tous les métiers de l’organisation. Les métiers impactés doivent donc être mobilisables pour leur traitement. En fonction de la typologie d’attaque et de son impact, les services juridiques, la communication, le délégué à la protection des données (RGPD peuvent être sollicité.

Les impacts d’une attaque cyber sont multiples :

  • Atteinte à l’activité et pertes financières
  • Atteinte à l’image et la réputation
  • La compétitivité

Les organisations doivent donc se préparer à :

  • Prévenir le risque d’une cyberattaque en sécurisant leurs SI selon leur risques et vulnérabilités
  • Être en capacité de détecter et traiter une attaque cyber
  • Gérer une crise liée à une attaque cyber
  • Assurer la continuité de ses activités en mode dégradé jusqu’à la reprise d’une activité normale

NB : il est impossible de sécuriser son SI à 100%. Un des enjeux majeurs est donc d’être capable de détecter une attaque pour pouvoir la contrer.

Comment gérer une crise cyber ?

Les grandes étapes d’une gestion de crise :

  • Détection d’une crise, alerte, mise en œuvre des dispositifs de gestion de crise
  • Evaluation de la crise et définition d’un plan d’action
  • Définir et mettre en œuvre les actions de continuité d’activités si nécessaire
  • Traitement de la crise et préparation des actions de sortie de crise
  • Sortir de la crise, finaliser le traitement de l’incident et mettre en œuvre la reprise normale de l’activité
  • Faire le bilan du traitement de la crise et identifier les axes d’amélioration
  • Mettre en œuvre les améliorations

La gestion de crise : des moyens préparés en amont

Une gestion de crise cyber s’anticipe. Cette anticipation vise à définir et préparer les principaux moyens qui permettront le traitement à moindre mal de l’attaque.

Les moyens à mettre en œuvre :

  • Le processus de traitement de l’incident (attaque) et les collaborateurs et/ou l’instance qui évaluent l’attaque, y compris, si nécessaire, en heures non ouvrées (astreinte) et qui valide l’alerte.
  • La matrice de déclenchement de crise qui définit, selon des seuils préétablis, le niveau de qualification de l’incident entrainant le lancement du mode gestion de crise.
  • L’organisation de gestion de crise (les cellules de crise). En général, 2 cellules multidisciplinaires à minima sont mises en place. L’une décisionnelle qui définit la stratégie à adopter en particulier par les métiers, la communication interne et externe, les grandes mesures technologiques. L’autre opérationnelle qui exécute les actions. Cette dernière étant composé notamment de responsables opérationnels métiers, IT.
  • La main courante et la désignation du ou des collaborateurs en charge. Il s’agit d’un compte-rendu des actions entreprises pour un suivi puis une analyse post-crise pour améliorer les dispositifs. Ces documents servent à expliquer la démarche employée aux autorités et aux assurances si nécessaire.
  • Les fiches réflexes qui définissent les actions à mettre en œuvre, étape par étape, pour la gestion de crise, selon les scénarios anticipés.
  • La description des SI (notamment cartographie) pour bien comprendre la situation et définir précisément les actions à mettre en œuvre et leurs impacts sur le SI mais aussi sur le fonctionnement des activités de l’organisation.
  • Le plan de continuité d’activité et le plan de reprise d’activité.
  • Un plan de communication préétablis rassemblant des messages prédéfinis destinés à l’interne ou à l’externe, à adaptés au contexte mais permettant à la communication de gagner du temps.
  • La logistique : les outils de communication (dans le cas où les outils habituels sont inutilisables), les salles et matériels mobilisables.
  • L’annuaire des collaborateurs mobilisables. Il faut aussi prévoir des experts techniques externes pour intervenir sur les attaques pour lesquels l’organisation ne dispose pas de compétences suffisantes. Il faut connaître les agences gouvernementales capables d’apporter un appui selon le type d’attaque.

Les prérequis au fonctionnement du dispositif de gestion de crise

  • Une procédure efficace de gestion des incidents incluant des modalités d’escalade et de qualification de crise
  • Une connaissance de l’organisation et une cartographie de ses risques pour :
    • Les domaines et activités métiers critiques
    • Les SI critiques (applications, réseaux, machines) et les SI sous-jacents aux activités métiers critiques
    • Les données et base de données critiques
    • Les partenaires critiques
  • Une description des dispositifs de sécurité mis en œuvre pour pallier aux risques :
    • Dispositifs de défense
    • Dispositifs de surveillance (détection)
    • Stratégie de confinement
    • Stratégie de sauvegarde

Les dispositifs de gestion de crise doivent être revus à minima chaque année et à chaque évolution majeure des activités et SI de l’organisation.

Ils doivent faire l’objet de simulations en conditions réelles pour entrainer les collaborateurs afin qu’ils soient prêts le cas échéant, et vérifier que le dispositif fonctionne et est efficace et l’améliorer.

ParOlivier Giraud

La formation des collaborateurs à la sécurité informatique, un indispensable !

Les organisations, conscientes des cybermenaces auxquelles elles sont exposées ont mis en place, ces dernières années, des dispositifs de sécurité IT, pare-feu, anti-virus, VPN… Toutefois, la stratégie de sécurité IT ne doit pas négliger un éléments clé : le facteur humain. Car désormais, pour leurs attaques, les cybercriminels visent de plus en plus les collaborateurs d’une organisation.

Quelles sont les typologies d’attaques contre les collaborateurs ?

  • Le phishing (ou hameçonnage) : technique par laquelle un attaquant usurpe l’identité d’un tiers légitime dans le but d’obtenir des informations sensibles. Cela peut prendre la forme d’un mail issu d’une organisation que vous connaissez (par exemple votre banque, le trésor public…) qui vous demande des informations confidentielles (identifiant de connexion, mot de passe …)
  • Le ransomware : logiciel malveillant qui bloque l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Comme pour le phishing, cela peut prendre la forme d’un mail contenant un lien ou un fichier joint malveillant.
  • L’ingénierie sociale : action visant à inciter des collaborateurs à réaliser une action (par exemple paiement d’une facture …) en dehors du cadre de fonctionnement normal de l’organisation.
  • Récupération de mot de passe : utilisation d’ordinateurs pour essayer d’identifier des mots de passe de collaborateurs et ainsi accéder aux SI de l’organisation. Si le mot de passe choisi par le collaborateur est simple (azerty, 1234…), ce qui est le cas pour de nombreuses personnes, un cyberattaquant risque de le trouver.
  • Injection de programme malveillant via un support amovible (clé USB, disque dur externe…) : programme malveillant qui va s’installer sur votre machine personnelle ou professionnelle lorsque vous connectez une clé USB.
  • Utilisation de faille du réseau WIFI : De nombreux point d’accès WIFI sont mal protégés et faciles à pirater. Par ce biais, un cyberattaquant pourra espionner votre activité et récupérer des informations sensibles dont des mots de passe.

Comment se prémunir de ces attaques ?

  • Mettre en place sur les différents terminaux utilisés par vos collaborateurs (y compris personnels et mobiles) des dispositifs de sécurité : pare-feu, anti-virus, outil de chiffrement de données, utilisation de VPN (virtual private network = outil permettant d’isoler les échanges entre 2 machines distantes du reste du trafic se déroulant sur des réseaux de télécommunication publics via, par exemple, un WIFI).
  • Définir une charte de bonnes pratiques informatiques à respecter, la diffuser aux collaborateurs en leur demandant officiellement de la respecter.
  • Demander aux collaborateurs de ne pas inscrire leur mot de passe sur leur machine (sur un post it), demander de verrouiller sa session en cas d’absence.
  • Demandez aux collaborateurs de régulièrement sauvegarder leurs données.
  • Expliquez les différentes menaces informatiques aux collaborateurs, leurs caractéristiques et leurs conséquences sur l’organisation et les modalités de les éviter. Expliquez aussi la réaction à avoir dans le cas où le collaborateur pense faire face à une de ces attaques.
  • Formez vos collaborateurs sur tous ces sujets et l’utilisation des dispositifs de sécurité. Réalisez régulièrement des piqûres de rappel ou des mises à jour de connaissance en cybersécurité. Testez les collaborateurs avec de fausses attaques pour vérifier la qualité de leur réaction. Alertez les collaborateurs lorsqu’ils sont susceptibles d’être l’objet d’une attaque.

Outre les dispositifs de sécurité techniques, la formation des collaborateurs est donc essentielle pour assurer la sécurité de vos SI. Négliger ce point expose votre organisation aux nombreuses cybermenaces, en particulier celles visant les collaborateurs.

ParOlivier Giraud

Quel modèle pour l’entreprise digitale ?

Les caractéristiques du monde digital

Le monde digital se caractérise par une innovation constante et toujours plus rapide, une offre immense de produits services disponibles 24/7 grâce à une multitude de canaux de distribution. L’une des caractéristiques clés est le consommateur acteur. Il dispose de comparateurs, de commentaires et de recommandations, des réseaux sociaux lui permettant de découvrir, comparer, acheter au meilleur prix et avec les meilleurs services.

Il est en attente de produits/services authentiques et personnalisés à forte valeur ajoutée respectant des valeurs, avec une expérience utilisateur optimale, lui garantissant transparence, sécurité et respect de la vie privée. Il aime partager ses envies et expérience avec sa communauté, donner son avis.

Le changement de modèle d’affaire

Tous ceci conduit à un changement dans la façon de faire, de conduire une activité, un changement de modèle d’affaire.

L’entreprise digitale qui réussit offre une expérience utilisateur riche et stimulante et facilite l’expérimentation.

Pour cela, la maitrise de l’information concernant ses interlocuteurs est clé car elle permet de comprendre ce dont les clients ont besoin d’une part et d’offrir un produit / service personnalisé. L’entreprise doit être capable de capter la valeur issue des actions et interactions des internautes et d’utiliser de façon pertinente ces données pour inventer de nouveaux produits, services, modèles d’affaire.

Les caractéristiques du nouveau modèle d’affaire

Dans le monde digital, l’entreprise :

  • Ne gère plus des produits mais des clients.
  • Pilote son évolution en fonction de l’évolution des besoins clients peu importe si elle s’éloigne de son cœur de métier.
  • Crée des services qui simplifient la vie et deviennent partie intégrante de la vie quotidienne des gens qu’elle apprend à connaitre parfaitement.
  • Préfère l’interaction et la conversation à la communication et à la diffusion.
  • Suscite et accepte la création collaborative avec ses utilisateurs.
  • Capte la valeur créée par les utilisateurs.
  • Définit les conditions de la scalabilité c’est-à-dire ses capacités à s’adapter à la montée en charge de la demande sans alourdir dans les mêmes proportions sa structures.
  • Minimise la taille de ses équipes pour obtenir des conditions de réactivité et d’agilité maximales.
  • Adopte une autre approche managériale avec des collaborateurs performants aux profils d’entrepreneurs capables d’apprendre, d’innover avec humilité. Peu de cadres.   

Les chantiers de la transformation digitale

  • Stratégie
    • Développer une vision digitale
    • Adopter le design thinking
    • Tester un MVP (Minimum Value Product = produit ou service a minima) et obtenir un POC (Proof of Concept)
  • Données
    • Il faut savoir capter, stocker, piloter et exploiter l’ensemble des données client (data-management, big data, IA)
  • Expérience client
    • Être en contact permanent avec son audience et interagir avec elle
    • Penser service et expérience client
    • Approche multicanale
    • Permettre la personnalisation
  • Organisation
    • Définir une organisation capable de gagner en agilité et en vélocité et performance
  • Culture
    • Développer une culture de l’innovation et du changement permanent
    • Développer une culture de la collaboration interne et externe
  • Compliance
    • Être transparent
    • Être en conformité réglementaire
  • Technologie
    • Développer une plateforme
    • S’appuyer sur des solutions externes (cloud)
    • Disposer d’une architecture ouverte capable de s’interfacer facilement avec des solutions externes (API)
    • Développer l’open-source et l’open-innovation
    • Sécuriser ses SI
ParOlivier Giraud

Modèle de maturité SSI

La mise en sécurité du SI, des étapes successives

La mise en sécurité du SI d’une entreprise est un chantier de longue haleine qui passe par des étapes de maturité successives menant à l’excellence.

Chaque niveau de maturité constitue le socle du niveau de maturité suivant. La viabilité de la mise en place des dispositifs nécessaires à un niveau de maturité déterminé implique d’avoir finaliser la mise en place des dispositifs de sécurité des dispositifs du niveau inférieur. Une entreprise ne peut sauter une étape. Mais elle peut toutefois initier la mise en place de dispositifs de niveaux supérieures. Les dispositifs de chaque niveau complètent ceux des niveaux inférieurs.

Ce travail prend du temps et implique de travailler sur plusieurs axes :

  • Les personnes (collaborateurs)
  • Les processus
  • Les technologies
  • L’organisation et la gouvernance

Chaque niveau permet à une organisation de situer sa maturité et donc de déterminer les chantiers à initialiser pour pouvoir passer au niveau supérieur.

NB : L’atteinte du plus haut niveau de maturité assurera à l’entreprise un bon niveau de protection mais en aucun cas, cela ne garantira une protection à 100%. Si une entreprise est ciblée par une équipe spécialisée de cyberattaquant disposant de moyens efficaces, il sera presque impossible de les contrer. Toutefois, les dispositifs de niveau 5 permettent :

  • De maîtriser ses risques,
  • De rendre une attaque ou une défaillance difficile,
  • De réduire le délai de détection et donc de traitement d’une attaque ou d’un incident, et de réduire son impact sur les activités de l’entreprise.

Les différents niveaux de maturité :

Niveaux de maturitéNiveau 1Niveau 2Niveau 3Niveau 4Niveau 5
Fonctionnement empiriqueDéfini et suivi  MaîtriséAvancéOptimisé  
CollaborateursActivités non prévues, non coordonnéesCollaborateurs sensibilisés, charte de bonne pratiqueCollaborateurs formés aux bonnes pratiques, équipe SSI  Collaborateurs formés régulièrement aux bonnes pratiques et évalués, référents SSI désignésCollaborateurs formés aux meilleures pratiques à appliquer et régulièrement évalués et testés
Process Activités non formaliséesProcessus définis applicables dans toute l’entreprise, reproductibles et suivisProcessus SSI évalués, les processus sont cohérents dans l’ensemble de l’entreprise et améliorés régulièrement, quelques contrôles mis en placeProcessus et politiques évalués régulièrement et améliorés, dispositifs de contrôles définis et mis en œuvre, intégration de la sécurité et le privacy by design dès la conception des produits et servicesVeille sur les meilleures pratiques, optimisation constante des processus sur la base des évaluations
Organisation et gouvernance Aucune politique SSIPolitiques SSI définies, responsable de la sécurité SI désigné (RSSI)  Organisation et gouvernance de la filière SSI décrite et mise en œuvre, conformité réglementaire, cartographie des risquesComité SSI, suivi et pilotage de la SSI sur la base d’indicateurs d’efficacité, conformité réglementaire évaluée, management des risques SSI base des dispositifs SSI, reporting sur la SSI au niveau de la direction de l’entreprise, la sécurité SSI prend en compte les objectifs métiersIntégrer pleinement les clients, les partenaires et l’ensemble des parties prenantes dans la gestion de la résilience de l’entreprise  
Technologies (Bonnes pratiques d’hygiène SSI) Antivirus, firewall, patch management mais non suivi, gestion des accès ad’hoc non procédurée, gestion des mots de passe, sécurité physiqueDMZ’s, suivi des mises à jour des antivirus et des patchs, scan de vulnérabilité, gestion des identités et des accès, mise en place de la journalisation des logsRéférentiel des actifs IT, firewall pour terminaux, protection des points d’accès, VPN, mises à jour des antivirus et des patchs systématiques, suivies et documentées, centralisation des logs, plan de continuité d’activitéGestion centralisée des firewalls, protection des points d’accès, suivi centralisée de la gestion des identités et des accès, systèmes de détection d’intrusion, système de détection de fuite de données, mise en place d’un SIEM et d’un SOC, tests d’intrusion  Veille sur les technologies de sécurité, adopter les nouvelles technologies dans la gestion de la sécurité SI pour réduire le temps de détection et de traitement des incidents et attaques. Ex : mettre en place de l’IA dans l’analyse et la détection des menaces
Modèle de maturité SSI
ParOlivier Giraud

Comment sécuriser le cloud ?

La généralisation du digital dans les activités des entreprises leur a permis d’aller toujours plus vite dans leur capacité à développer et mettre en œuvre leur stratégie commerciale et répondre avec agilité et rapidité aux attentes précises de leurs clients.

Ce besoin d’accélération s’est traduit par le basculement massif des systèmes d’information vers des services de cloud computing. Autrefois limitées aux activités back-office, un usage pour les domaines métiers les plus sensibles se développe rapidement chez les organisations.

Outre une capacité de réaction et d’évolution plus rapide, le cloud procure d’autres avantages par rapport aux SI traditionnels (SI internes ou infogérés) :

  • Coûts réduits
  • Facturation à l’usage
  • Délai de mise en œuvre plus court
  • Solutions plus souples
  • Administration IT réduite
  • Meilleur accès aux dernières technologies
  • Fiabilité accrue.

Toutefois, un large basculement des SI de l’entreprise dans le cloud déporte la responsabilité du management des SI et des risques correspondants vers les prestataires de cloud.

D’autre part, l’accroissement des cybermenaces, le développement des exigences réglementaires (notamment RGPD) mais aussi les attentes croissantes des utilisateurs intensifient le besoin de maîtrise des risques de sécurité de l’entreprise : la disponibilité, l’intégrité, la résilience et la confidentialité de ses services et données.

Pour faire face à ces nouveaux défis et assurer la sécurité et la pérennité de ses activités, l’entreprise doit repenser en accéléré l’organisation et la gouvernance de ses SI et de ses risques en intégrant la dimension cloud computing.

Les bonnes pratiques pour sécuriser le cloud

La sécurité des applications, données et infrastructures hébergées dans le cloud computing doit faire partie intégrante de la démarche de maîtrise des risques de l’entreprise. Elle repose sur une stratégie, des politiques, des processus, des technologies et des contrôles.

Il existe des bonnes pratiques pour initialiser la sécurité des SI dans le cloud.

Bonnes pratiques liées à votre fournisseur de service cloud

Choisir un prestataire de confiance

Avant tout engagement dans une prestation cloud, chaque entreprise doit évaluer les capacités du prestataire à offrir un niveau de sécurité et de conformité réglementaire satisfaisant, qui permettra de couvrir ses risques selon ses attentes et besoins.

L’entreprise devra vérifier la viabilité du prestataire en vérifiant les certifications du prestataire, sur les référentiels :

  • La norme ISO 27001 relatives à l’établissement, à la mise en œuvre, à l’exploitation, à la surveillance et à l’amélioration des systèmes de management de la sécurité de l’information (SMSI)
  • La norme ISO 27002 qui décrit une liste de mesures de sécurité destinées à assurer la sécurité du SI et de ses données.
  • Et surtout, le référentiel SecNumCloud, qui définit les exigences quant au prestataire de service de cloud computing. Ce référentiel proposé par l’ANSSI (Agence National de Sécurité de SI) s’appuie sur la norme ISO 27001

Le cas échéant, l’entreprise pourra, également, soumettre le prestataire à un questionnaire d’évaluation basé sur ces mêmes référentiels.

A défaut de réponse claires et viables sur ces points, l’entreprise devra éventuellement renoncer à la prestation.

Définir les bases d’une relation de confiance avec le prestataire

La mise en œuvre d’une prestation de cloud computing doit s’accompagner :

  • D’un partage clair des responsabilités entre l’entreprise et le prestataire. En fonction, du type de prestation IAAS, PAAS, SAAS, l’entreprise cliente porte une part des responsabilités plus ou moins importante. Cette part doit être identifiée, pour distinguer les dispositifs de sécurité qui incombent à l‘entreprise, et ceux au prestataire.
  • D’un contrat décrivant la prestation, les obligations réglementaires à respecter.
    • Pour rappel, le RGPD impose des règles particulières pour tout transfert de données personnelles hors UE. L’entreprise doit donc savoir avec certitude où sont hébergées ses données et ses traitements. L’entreprise doit également s’assurer que le prestataire n’utilisera pas ses données personnelles sans autorisation.
  • De la pertinence des dispositifs de sécurité du prestataire pour détecter, prévenir et traiter les vulnérabilités et les attaques.
  • D’une clause de réversibilité définissant les modalités de cette réversibilité. De même, des modalités pour s’assurer de la destruction des données en cas d’arrêt de la prestation.
  • Des modalités de contrôles et d’audit réguliers du prestataire, de tests d’intrusion et de vulnérabilité.
  • Des modalités de continuité d’activité.
  • Des exigences de niveaux de service et des moyens de les suivre (mise en œuvre d’un SLA = service level agreement), en particulier concernant la gestion des incidents.
  • D’interfaces (sous forme d’API) permettant une connexion facile et sécurisée entre les services cloud du prestataire et les autres SI de l’entreprise pour garantir un fonctionnement optimal des activités de l’entreprise.
    • L’entreprise doit pouvoir s’interfacer notamment aux dispositifs de détection et de prévention des menaces pour obtenir une vision complète de son SI et bénéficier automatiquement des informations nécessaires en cas de menace ou d’attaque pour être en capacité de réagir. Cette interface peut être destinée à alimenter l’équipe de supervision et d’administration du SI de l’entreprise, tel qu’un SOC (Centre des opérations de sécurité).

Bonnes pratiques internes pour vos services cloud

Le chiffrement des données

Les fournisseurs de services cloud proposent souvent le chiffrement de vos données. Mais l’entreprise, pour conserver un contrôle total sur la confidentialité de ses données, doit mettre en place un dispositif de chiffrage des données en transit et stockées dans le cloud et gérer ainsi les clés de chiffrement.  NB : Beaucoup d’états ont le droit, dans un cadre juridique particulier, une enquête par exemple, de demander à l’entreprise les clés pour déchiffrer les données. Il est dans ce cas souhaitable que l’entreprise soit propriétaire de ces clés plutôt que son prestataire.

La gestion des identités et des accès

La gestion des identités et des accès doit permettre de protéger l’accès aux données et aux traitements aux seules personnes habilitées dans un soucis de confidentialité. Mais cela doit également être possible par l’utilisation des outils d’identification centralisés de l’entreprise type IAM (Identification Access Management) pour que chaque utilisateur n’est pas à saisir ses identifiants pour l’accès à chaque service hébergé dans le cloud. Le prestataire doit proposer une interface (une API par exemple) pour connecter ses services cloud à l’IAM de l’entreprise.

La mise en place de MFA (authentification à facteurs multiples) peut fournir une assurance d’authentification supplémentaire efficace.

Sécuriser les points de terminaison utilisateurs (endpoints)

La multiplication des points d’accès distant via le shadow IT (terminaux personnels n’appartenant pas à l’entreprise tels que les smartphones, PC portables, tablettes…) et des navigateurs web, aux SI de l’entreprise rend plus difficile la sécurisation. L’entreprise devra protéger ces terminaux et navigateurs avec un VPN, un antivirus, un pare-feu…

L’entreprise pourra également s’appuyer sur une solution de CASB (Cloud Access Security Broker), qui permet de sécuriser les données de bout en bout, depuis le cloud jusqu’aux terminaux utilisés par les utilisateurs et repérer les événements suspects et les menaces potentielles.

Une organisation et une gouvernance de la sécurité SI centralisée

L’heure est à des SI de plus en plus hybride et multicould. Dans ce contexte, l’entreprise doit se doter d’une organisation de cybersécurité centralisée pour l’ensemble du périmètre de ses activités afin de gagner en efficacité et en cohérence.

Le RSSI est au cœur du dispositif. Il définit les stratégies et les politiques de protection des SI en collaboration avec l’ensemble des responsables de l’entreprise pour bien comprendre les objectifs et enjeux clés de l’entreprise et protéger efficacement les SI les plus stratégiques.

Si possible, il se dote d’une équipe centralisée de détection et d’analyse en cybersécurité, un SOC (Security Operation Center). Elle doit être équipée d’un outils de recueil des événements issus de tous les SI, un SIEM (Security Information Event Management) pour faire du renseignement, de la surveillance et de la détection des menaces sur l’ensemble des SI. Ce dispositif pourra être complété par un outil d’apprentissage automatique de détection des menaces connues, une IA (Intelligence artificielle), pour améliorer, dans la précision et la rapidité, la détection des menaces et permettre à l’équipe de se focaliser les menaces majeurs et/ou inconnues.

Former les collaborateurs de l’entreprise

Les collaborateurs de l’entreprise sont des cibles privilégiées des cybermenaces. Un simple mail doté d’un lien ou d’un fichier malveillant peut mettre à bas un système de défense cyber. Sensibiliser et former les collaborateurs aux bonnes pratiques de sécurité et aux risques cyber, leurs caractéristiques et les modalités pour les repérer est un des fondements d’une stratégie de sécurité.

En résumé

La capacité de l’entreprise à assurer la sécurité de ses données et traitements avec des SI hybrides et multicloud en perpétuelle évolution, malgré des accès hétérogènes et distants, permettra à l’entreprise de garder l’agilité et la rapidité nécessaire à son activité et à sa stratégie, pour répondre aux attentes de l’utilisateur digital dans un climat de confiance et de respect des réglementations.

ParOlivier Giraud

Quelles sont les compétences nécessaires aux activités digitales ?

Nous sommes dans l’ère du business digital. Les données et la protection des SI en sont deux éléments clés.

Pour une entreprise qui souhaite se développer et s’inscrire dans la durée aujourd’hui, il est pertinent de connaître puis de maîtriser :

Les compétences risques, conformité et cybersécurité

  • Le RGPD (Règlement Général sur la Protection des Données) pour connaître et appliquer les modalités légales de collecte et de traitement des données personnelles notamment de vos clients
  • Les réglementations, normes, référentiels, bonnes pratiques que vous devez appliquer à votre secteur (conformité ou compliance)
  • La cybersécurité pour la nécessaire protection (intégrité, disponibilité, confidentialité) de vos données et de vos SI dans un environnement où les cyberattaques se multiplient et se professionnalisent
  • La gestion des risques pour mieux les maîtriser et en réduire leurs impacts
  • Le contrôle interne pour assurer la bonne maîtrise de vos activités à risques mais aussi leur efficacité, leur fonctionnement et leur conformité
  • L’audit pour mesurer l’efficacité des moyens mis en œuvre

Les compétences techniques

  • La production et l’exploitation des SI pour assurer le support, la maintenance, l’amélioration, l’évolution de vos SI aussi bien sur les aspects techniques que métiers.
  • Le data management et le big data pour collecter, traiter et être en capacité d’exploiter de façon pertinente, les données.

Les compétences projets

  • Le pilotage de projet pour piloter efficacement le déploiement des dispositifs
  • La communication et la formation pour accompagner la montée en compétence des collaborateurs sur les bonne pratiques digitales, le respects des réglementations.

Les compétences en management et en organisation

  • La démarche qualité pour améliorer en continue le fonctionnement et les pratiques de l’entreprise
  • La démarche processus et la cartographie des dispositifs pour une vision claire des activités et des actifs, en comprendre le fonctionnement et pouvoir les manager avec efficacité et pertinence
  • L’organisation et la gouvernance pour suivre et piloter l’ensemble des dispositifs évoqués en synergie avec les objectifs de l’entreprise
  • La réalisation de reporting pour rendre compte, auprès des parties prenantes dont la direction, des résultats des actions menées.

La compréhension du métier

  • La compréhension du métier pour comprendre les activités de l’entreprise, et aligner au mieux les dispositifs à ces objectifs et enjeux.
  • La veille et l’innovation pour identifier et comprendre les risques et opportunités auxquels l’entreprise peut être confrontée

La nécessaire coordination de ces compétences pour une vision d’ensemble

En fonction de la taille de l’entreprise, ces expertises seront réparties sur plusieurs experts et/ou équipes. Mais une coordination centralisée de l’ensemble de ses expertises est nécessaire pour une vision d’ensemble gage d’une bonne prise de décision.

ParOlivier Giraud

Le contrôle interne : outil du maintien de la sécurité, de la fiabilité et de la résilience des SI

Les systèmes d’informations (SI) sont au cœur des activités des entreprises car ils en sont le support.

Les SI sont en permanence exposés à de nombreux risques. Des risques liés aux activités métiers (processus erroné, erreur de saisie, fraude, malveillance…) mais aussi au SI (fonctionnement erroné, panne, cyberattaque…). A cela s’ajoute des risques de non-conformités réglementaires qui peuvent engendrer des sanctions notamment financières.

En cas de sinistre, l’ensemble des activités de l’entreprise peuvent être impactés durablement et parfois la viabilité même de l’entreprise peut être remise en cause.  Exemple : Une entreprise, dont un incident a supprimé l’ensemble des données clients et qui ne possède aucune sauvegarde de ses données.

Pour pallier à ces risques, les entreprises mettent en place des dispositifs de sécurité.

Mais comment s’assurer du bon fonctionnement dans la durée de ces dispositifs ? Le contrôle interne

Le contrôle interne SSI : outil clés du maintien de la sécurité des SI.

Le contrôle interne est :

  • Un dispositif mis en œuvre par la direction, le management et le personnel,
  • Conçu pour fournir une assurance raisonnable quant à la maîtrise des risques et à la réalisation des objectifs de l’entreprise.

Il s’agit, pour chaque risque identifié de mettre en place un dispositif permettant de maîtriser ce risque selon les objectifs définis par l’entreprise. Ce dispositif fait l’objet d’un contrôle démontrant, preuve à l’appui, le fonctionnement effectif et efficace du dispositif.

Exemple : une base de données sensible :

  • Doit faire l’objet d’une sauvegarde (le contrôle),
  • Tous les jours (l’objectif = perte de données maximale de 24h)
  • Pour éviter la perte de données (le risque)
  • Le compte-rendu de la sauvegarde est conservé (preuve).

Ainsi, tout au long de l’année, les preuves de bonne réalisation des contrôles sont produites, démontrant le bon fonctionnement des dispositifs de maîtrise des risques.

La consolidation régulière des résultats permet une évaluation continue du niveau de maîtrise des risques sur le périmètre couvert.

Le contrôle interne fait l’objet d’une démarche d’amélioration continue. Elle vise à améliorer, compléter ou faire évoluer les dispositifs notamment si les activités concernées changent.

Régulièrement, des équipes internes ou externes spécialisées réaliseront une évaluation ponctuelle du dispositif sous la forme d’un audit.

Les atouts d’un dispositif de contrôle interne

Un dispositif de contrôle interne vise, en particulier :

  • L’efficacité et l’optimisation des activités de l’entreprise,
  • La disponibilité, l’intégrité, et la confidentialité des données,
  • La conformité aux lois et réglementations en vigueur (y compris les instructions fixées par la Direction).

Les atouts d’un dispositif de contrôle interne se vérifient pour les processus métiers, les SI et les dispositifs SSI.

Toutefois, ce dispositif nécessite une implication des équipes en charges des activités visées, une organisation et une gouvernance et des charges de travail. Les activités clés de l’entreprise et les risques les plus importants seront donc visés en priorité.

Autre atout, les audits visent principalement les mêmes contrôles que ceux visés par le dispositif de contrôle interne. Ainsi, la description des dispositifs de maîtrise des risques et des preuves de leur fonctionnement, attendus par les auditeurs seront facilement disponibles, épargnant du temps aux équipes visées par l’audit.

Les principaux domaines généralement couverts par les dispositifs de contrôle interne SSI sont décrits dans la norme ISO 27002. Il s’agit notamment de la gouvernance, de la gestion des identités, des sauvegardes, de la journalisation, de la continuité des activités, des dispositifs techniques de SSI (antivirus, firewall…), les dispositifs de mise en production et d’exploitation des SI…

La mise en place d’un dispositif de contrôle interne est un investissement important souvent perçu comme une contrainte. Mais c’est en réalité un outil de qualité et d’amélioration continue du fonctionnement de vos activités et de vos dispositifs SI et SSI, d’implication et de responsabilisation de chaque membre de votre organisation. Il contribue également à démontrer la résilience et la conformité de votre entreprise.

ParOlivier Giraud

Pourquoi la gouvernance de votre cybersécurité est fondamentale

Les systèmes d’informations, les données sont désormais les sous-jacents de la plupart de vos activités. Ils constituent ainsi des actifs essentiels au succès de votre entreprise (entreprise, organisme public, association).

Toutefois ces actifs sont exposés à des risques croissants issus notamment de la cybercriminalité, de défaillances techniques et humaines.

La sécurité de vos SI, une nécessité et un défi

Afin de faire face à ces menaces, vous devez vous doter de dispositifs de sécurité visant à garantir l’intégrité, l’exhaustivité, la confidentialité de vos données.

Plus la taille et la complexité de votre entreprise est importante, plus l’assurance de la sécurité de vos SI et de vos données est un défi.

Les SI couvrent souvent l’ensemble de vos activités et concernent donc l’ensemble de vos utilisateurs.  Le défi n’est donc pas uniquement technique mais managérial et organisationnel.

Désigner un responsable sécurité des SI, référent de la gouvernance

Afin de répondre à ce défi, vous devez désigner un responsable de la sécurité des SI (RSSI, CISO en anglais), référent sur le sujet de la sécurité.

Selon la taille de votre entreprise, le RSSI devra s’appuyer sur une organisation et une gouvernance.

Une organisation, c’est à dire des acteurs désignés référents au sein de l’organisation, en charge de relayer les pratiques de sécurité IT définies pour l’entreprise. Mais aussi de remonter les difficultés et les incidents / alertes issues des utilisateurs en vue d’actions correctives.

Une gouvernance, c’est à dire :

  • Les politiques des sécurité applicables
  • L’organisation en charge de la sécurité IT à l’échelle de l’entreprise et la description des rôles et responsabilités de chaque acteur participant.
  • Un comité de suivi et de pilotage des actions de sécurité IT.

L’objectif de la gouvernance de la sécurité de SI (SSI)

  • Définir les règles de sécurité applicables au travers notamment de la PSSI (politique SSI) et sa déclinaison en règles opérationnelles
  • Vérifier la conformité des règles aux réglementations et aux normes applicables.
  • Suivre leur déploiement au travers de dispositifs de sécurité, d’actions de sensibilisation et de formation auprès des parties prenantes.
  • Contrôler le bon fonctionnement et le pilotage des dispositifs dans la durée.
  • Réaliser un reporting auprès des parties prenantes (direction, métier, clients, fournisseurs, actionnaires) en phase avec les objectifs de l’organisme et leurs évolutions.
  • Améliorer en continue l’ensemble des dispositifs.

La gestion des risques, une nécessité pour une cybersécurité mature

Les dispositifs à définir et à appliquer dépendent du niveau de maturité de l’organisme.

L’application des bonnes pratiques sécurité IT (guide cybersécurité ANSSI CGPME, normes ISO 2700x) est un prérequis.

Toutefois, afin que les dispositifs soient parfaitement adaptés aux caractéristiques de votre entreprise, une approche par les risques est nécessaire. Elle permet, sur la base d’une compréhension de vos activités et de vos SI, de définir les dispositifs adéquats pour maîtriser vos principaux risques selon vos enjeux stratégiques.

Une bonne gouvernance de votre cybersécurité est donc fondamentale pour assurer la sécurité et la résilience de vos activités, la confiance de vos parties prenantes, fondements du développement de vos activités digitales.