Soirée débat spéciale cybersécurité, 31 mai 2016

"La proactivité des RSSI face aux compromissions de données »

Quelle priorité pour les responsables de la sécurité des systèmes d’information (RSSI) en 2016 ? Confronté à des enjeux techniques (achat de solutions, bonne connaissance du SI…), organisationnels (métamorphose du rôle de la DSI et du comportement des métiers face à la « transformation numérique ») ou encore culturels (sensibiliser les salariés, avoir le bon niveau de discours face aux dirigeants…), ces responsables doivent faire des choix. Leurs ressources, financières comme humaines, sont limitées et leur temps également… certains sujets peuvent donc devenir des « faux combats » épuisants, pour des gains limités. La soirée spéciale « cybersécurité » qui a réuni une soixantaine de responsables sécurité de grandes entreprises et d’experts à la rédaction le 31 mai dernier, a été l’occasion de faire le point lors d’une table ronde et de partager quelques conseils.

Photos : Guillaume Ombreux

Retour sur le Data Breach Investigation Report 2016

La rencontre a permis d’évoquer les conclusions de l’édition 2016 du Data Breach Investigation Report réalisé par Verizon. Celui-ci étudie grâce à la coopération de 70 partenaires plus de 100 000 incidents de sécurité réels dont 2200 ayant provoqué une fuite de données pour l’entreprise visée. « C’est une goutte d’eau dans l’océan cyber, nous le savons, car la détection d’un incident reste un évènement rare, mais ce rapport a le mérite de nous permettre de tirer quelques enseignements clés » a souligné Robinson Delaugerre, Principal Forensic Analyst pour Verizon France. Parmi ces enseignements, le fait que 63% des failles de sécurité sont liées à des identifiants volés, faibles ou par défaut. La politique d’authentification reste donc un sujet clé pour les entreprises, ce qu’ont reconnu tous les intervenants. Le DBIR a par ailleurs quelques messages à faire passer aux dirigeants eux-mêmes.

Stéphane Calé, Président de la commission cybersécurité du CDSE (Club des Directeurs de Sécurité des Entreprises)

« Quand il s’agit de faire le tri entre tous les combats que doit mener un RSSI, nous pouvons mettre en avant plusieurs leviers à activer rapidement. Ainsi, les utilisateurs continueront d’utiliser des mots de passe simples. Dès qu’il est question de manipuler des données confidentielles, la mise en place d’une authentification forte est donc une priorité pour réduire de façon importante le risque.

Parmi les « faux combats », notons que les certifications, qui sont une très bonne base de travail, ne doivent pas devenir une fin en soi, comme c’est parfois le cas. Des sociétés qui ont été attaquées très durement comme Target, avaient de belles labellisations et y avaient consacré énormément d’efforts. »

Mylène Jarossay, co-fondatrice et administratrice du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique)

« Nous savons tous aujourd’hui que les efforts consacrés à la « protection » ne suffisent pas. Une priorité est donc d’insister sur la capacité à limiter les impacts en cas d’incident. La qualité de la détection et de la réaction sont donc deux points fondamentaux pour tout RSSI.

Essayons aussi d’être beaucoup plus pragmatiques : plutôt qu’entretenir une communication de la peur, souvent fantasmée, partons du réel, décortiquons ce qui s’est passé chez d’autres et dans nos organisations. On n’apprend jamais autant qu’en analysant finement un incident avéré. Et vis-à-vis de nos dirigeants, on ne sera plus dans l’hypothèse, dans le calcul théorique… nous sommes dans le concret, qui vont leur permettre de prendre des décisions en réelle connaissance de cause. »

Le débat a été l'occasion d'obtenir le point de vue des forces de l'ordre. Sylvie Sanchis, Commissaire de Police et chef de la BEFTI (Brigades d'enquêtes sur les fraudes aux technologies de l'information) a accepté de détailler sa vision en répondant aux questions de la rédaction et de l'assistance.

« Au-delà de la protection, l’entreprise doit établir une stratégie cohérente pour gérer les autres aspects de la situation, comme le dépôt de plainte. Une organisation peut ainsi légitimement choisir de porter plainte à chaque fois que son patrimoine, ses données, sont visées.

En cas de plainte, il est ensuite important d’amener autant d’éléments de preuve que possible : journaux de logs, identité des wallets de bitcoin sur lesquels les attaquants vous demandent de verser une rançon… Les possibilités d’investigation existent pour identifier des auteurs, mais il nous faut le plus d’informations possibles. Nous réfléchissons aujourd’hui à la manière dont des organisations professionnelles comme le CESIN ou le CDSE peuvent vous aider, en représentant vos sociétés, à épauler nos procédures » - Sylvie Sanchis, Commissaire de Police, chef de la BEFTI (Brigade d’enquêtes sur les fraudes aux technologies de l’information)

Robinson Delaugerre, Lead forensic investigator Verizon

« Dans 90% des cas, la compromission d’un périmètre à lieu quelques minutes seulement après le début d’une attaque. En comparaison, les entreprises ne détectent une agression dans le même timing que dans 8% des cas.

Une des questions à se poser est donc la maturité de son organisation à détecter une attaque. Sait-on déjà quel est le « comportement normal » de son système d’information pour pouvoir se rendre compte de « l’anormal » ? Régulièrement, l’entreprise dispose de la capacité de détecter des anomalies, dans ses logs par exemple, mais les processus pour remonter ces informations dans la bonne échelle de temps ne sont pas prévu. Se concentrer sur ces sujets en vaut donc la peine. »

De l’assurance à la réglementation…

Les débats entre nos invités ont porté sur de nombreux sujets complémentaires. Dans l’assistance, plusieurs participants ont évoqué l’enjeu important du temps passé à qualifier non seulement les risques, mais aussi les pertes encourues. Or, le gain progressif de maturité de « l’assurance cyber » pose de plus en plus la question des informations dont il faut disposer pour pouvoir déléguer le risque à un assureur. Le sujet, encore jeune, provoque encore beaucoup de confusion à la fois chez les entreprises et chez les professionnels de l’assurance.

D’autre part, alors que le poids réglementaire augmente ces dernières années, à la fois au niveau national et européen, il a été rappelé que le sujet était distinct de celui de la sécurité. Si être conforme et respecter la loi est important, cela n’assure pas en soi la sécurité de l’entreprise. Un RSSI qui consacre ses efforts à la conformité ne les consacre pas à d’autres priorités… Et la voie réglementaire ne peut ainsi pas avoir réponse à tout, face au sujet complexe qu’est aujourd’hui la sécurité de l’entreprise numérique.

La sécurité numérique, sujet de dirigeants

Pour une entreprise, la sécurité du système d’information et plus largement de son patrimoine informationnel, a un caractère résolument transversal. Le sujet attire progressivement l’attention des dirigeants et du top management, car il dépasse de loin son seul aspect « technologique » qui a toujours été rebutant pour les décideurs.

La médiatisation croissante des menaces et de certaines cyberattaques changent progressivement la donne. Au-delà de la « cybersécurité » en tant que telle, la question réglementaire accole le sujet à la stratégie de l’entreprise, à sa relation client, à ses ambitions internationales. De même, les enjeux de culture d’entreprise invitent les dirigeants et leurs collaborateurs à se projeter sur la place de la sécurité numérique dans l’entreprise. Certains scénarios, à horizon 2020, comme imaginé à Berkeley, font ainsi réfléchir…

Réglementations, innovations technologiques, enjeux culturels et d’usages, seront donc au cœur du prochain cahier « sécurité » de la rédaction à paraître à l’automne.

Une rencontre organisée avec le soutien de Verizon.

Verizon est l’un des principaux fournisseurs mondiaux de solutions de Communications. Nous associons notre expertise à l’un des réseaux IP offrant le plus de connexions dans le monde pour fournir des solutions largement primées dans le domaine des communications d’entreprises, de l’infogérance, de la sécurité des informations et des réseaux. 
Les solutions de Verizon adaptées à tous les secteurs de l’industrie, sont basées sur des plateformes sécurisées de mobilité, de Cloud, de réseautage stratégique, d’Internet des objets et de Communications Avancées, permettant de multiplier les potentiels d’innovation, d’investissement et de modernisation commerciale, pour accompagner les entreprises dans leur Transformation Digitale.

L’expertise sécurité de Verizon est reconnue par les principaux analystes tels que Frost and Sullivan et Gartner, et bien d’autres encore. Verizon partage avec ses clients son retour d’expérience à travers un certain nombre de cas clients mais surtout grâce au Data Breach Investigations Report. Verizon mène tous les ans une évaluation des méthodes d’attaque et de compromissions. Les conclusions, les tendances ainsi que des recommandations sont reportées dans le DBIR, rapport constituant une base de réflexion importante pour les responsables IT et sécurité du monde entier.

Verizon est présent en France à travers 6 bureaux basés à Paris La Défense, Lyon, Marseille, Toulouse, Lille et Strasbourg. Pour en savoir plus, rendez-vous sur www.verizonenterprise.com/fr

Pour télécharger une sélection de nos meilleurs contenus sur la cybersécurité, cliquez ici

>> Retrouvez l'intégralité du Verizon 2016 Data Breach Investigations Report