| Alliancy

Alors que les directions générales prennent de plus en plus le sujet de la cybersécurité en main, notre chroniqueur Michel Juvin revient sur l’intérêt d’un document trop souvent oublié à leur niveau : le plan stratégique cyber.

Régulièrement, et en tout cas en cette période de cyberguerre officielle, il est nécessaire de prendre le temps de repenser son rôle d’expert cybersécurité et l’orientation que l’on doit donner à son entreprise dans la gestion des risques cybers.

Pour être efficace, cette démarche de remise en question nécessite de comprendre pourquoi il faut mener cette réflexion, quels sont les objectifs d’une stratégie de cybersécurité, comment définir le contenu de ce document, sa gouvernance et identifier les sponsors et acteurs des actions cyber et, de quelle manière proposer un planning court et moyen terme à réaliser.

Enfin, il ne faut pas oublier de préparer l’auditoire du document, généralement les membres du Comité de Direction, et bien réussir la communication finale pour être certain de mettre en œuvre ses propositions de réduction des risques. Car, il faut le redire, sans tout cela, la définition de la stratégie cyber de l’entreprise restera le grand chantier oublié de la transformation pour les dirigeants…

Alors, passons en revue ces principales questions à traiter absolument :

Pourquoi concevoir et présenter une stratégie de Cybersécurité ?

Si on vous demande d’établir une stratégie de cybersécurité et que vous ne donnez qu’un plan d’actions, il est fort probable que vos propositions ne soient pas suivies et appliquées. Une stratégie de cybersécurité n’est pas de la cosmétique ni de l’enrobage, il s’agit d’un outil puissant de communication et d’enrôlement d’acteurs qui conduiront l’entreprise dans une bonne direction et une bonne gestion de la protection de son capital informationnel.

Il est nécessaire de s’adapter à son auditoire surtout lorsque l’on veut que ce dernier s’engage dans votre projet. Présenter un plan d’actions sans expliquer pourquoi il est nécessaire de l’appliquer correspond à informer une personne sans l’impliquer. Même par sympathie, il ne pourra pas être un sponsor des actions cyber. Il faut donc enrôler son auditoire à travers l’explication des actions et intégrer des actions dans le plan d’actions respectif de chacun des membres du Comité.

Différentes méthodes existent pour motiver les membres du Comité de Direction. Michel Gérard de Conscio Technologie propose par exemple de les sensibiliser dans une courte vidéo.

Quels sont les objectifs d’une stratégie de Cybersécurité ?

Réduire les cyber-risques par des actions visant à diminuer l’impact d’une cyber-attaque sur la vie de l’entreprise, renforcer sa résilience et protéger ses employés tout en assistant à la réalisation des objectifs stratégiques de développement de l’entreprise.
En fonction de l’entreprise, on va aussi démontrer qu’il faut associer la prise en compte de la cybersécurité dans des plans de développement de systèmes d’information qui exploiteraient des lacs de données (data lakes) non-encore valorisés.

Pour cela, il faut :

Recevoir, écouter et comprendre le plan d’évolution stratégique de l’entreprise et les conséquences sur la gestion de l’information,
Définir une trajectoire d’accroissement de la cyber-maturité et analyse de risques et des menaces qui pèsent sur l’évolution de l’entreprise en ayant pris soin de valoriser la donnée et les risques,
Proposer de mettre en place des projets avec une organisation, des procédures et des solutions techniques pour diminuer les vulnérabilités, protéger et aider à gérer les informations et préparer l’entreprise à une crise cyber,
Accompagner tous les autres projets de l’entreprise pour protéger le capital informationnel et permettre la réalisation de la stratégie de développement,
Définir un tableau de bords de la cybersécurité composés d’indicateurs sur les solutions techniques et l’efficacité des procédures de cybersécurité avec les trois axes suivants :
à présenter régulièrement au Comité de Direction ; au moins deux fois par an :
- L’avancement des actions pour réduire les vulnérabilités identifiées,
- La surveillance de l’exposition aux risques intrinsèques de l’entreprise,
- Les indicateurs de la veille géopolitique et géostratégique du contexte de l’entreprise.

Intégrer le plan d’évolution stratégique de l’entreprise

Cette information est primordiale pour donner de la profondeur au plan stratégique cyber de l’entreprise et elle n’est pas toujours évidente à recevoir pour l’Expert Cybersécurité. En effet, il peut ne pas appartenir au cercle des Directeurs définissant le plan d’évolution à 3 ou 5 ans de l’entreprise et donc ne pas anticiper sur les potentiels risques auxquels sera confrontée celle-ci.

Cependant, l’Expert Cybersécurité peut aussi s’appuyer sur ses pairs et des documents comme le livret-Anticipation 2030 du Cyber Campus[1] pour donner des orientations à son management sur la gestion de l’information dans les années à venir. La garantie pour tous les hackers à rançonner les entreprises de manière impunie[2], l’hyper-connectivité, le changement climatique et les engagements éco-responsable des employés… Autant de contexte dont il faut évaluer les risques et sélectionner les plus impactant.

L’analyse de risques et des menaces

Elle doit prendre en compte tous les risques auxquels est exposé l’entreprise :

Les risques économiques : compétition, guerre et criminalité,
Les risques liés au vol de propriété intellectuelle ou d’attaque personnelle (sur les employés),
Les risques liés aux mouvements idéologiques ou géopolitiques,
Les risques environnementaux,
Les risques systémiques,
Les risques liés à l’absence de cyber-maturité de l’entreprise (procédure, formation),
Et les risques liés aux vulnérabilités de ses systèmes d’information gérés en interne ainsi que ceux gérés par les partenaires et sous-traitants.

Les risques sont qualifiés, catégorisés et valorisés proportionnellement entre eux grâce sur une même échelle[3] ; puis leur probabilité d’occurrence est estimée pour les représenter sur un même graphe. Les actions visant à réduire ces risques sont identifiées (mitigating factors) pour en calculer le risque résiduel que l’entreprise devra accepter à l’issu des plans d’actions[4].

Définir des programmes et/ou plans d’actions

La mise en place des programmes et plans d’actions pour réduire les risques issus de l’analyse précédente est une combinaison des trois piliers d’un projet : une organisation dédiée, des procédures établies et une solution technique adaptée.

Pour chaque programme/projet :

la liste des acteurs est identifiée du top management (Process Owner) jusqu’aux équipes en charge de la réalisation (interne/externe et hybride), leur charge de travail et planning de révision du projet sont présentés,
les procédures de suivi et de maintenance des actions de réduction des risques sont définies ainsi que les moyens de contrôle de l’application de ces procédures,
enfin, la ou les solutions techniques sont présentées avec un thème relatif à l’acquisition de ces solutions et les risques liés à un éventuel partenariat ou sous-traitant.

Ces projets seront alors présentés dans le document stratégie cyber final avec pour objectif d’impliquer le top management comme ceux qui auront la charge de les réaliser.

Définir un tableau de bords des risques cyber

C’est l’un des éléments clefs de la stratégie Cyber et il n’existe pas de template en matière de tableaux de bords ; il doit s’adapter au contexte et à son auditoire. Cette synthèse d’indicateurs a pour objectif de donner des informations exactes sur l’avancement des projets de cybersécurité ainsi que donner une note globale de la protection du capital informationnel, de sa gestion et une tendance résultant de l’avancement des projets par rapport aux délais définis initialement. Il faut que ces indicateurs soient objectifs et ne montrent pas une fausse sensation de sécurité. Par exemple, la mise en place d’un patch de sécurité doit l’être toutes les machines : 100%, les quelques machines restantes doivent avoir un plan d’actions de remédiation, etc.

Un tableau de bords doit être bidirectionnel. Il est à destination du top management mais aussi actionnable, c’est-à-dire que le top management doit y voir la possibilité de suivre et ou monitorer ses équipes respectives en charge des projets.

Les principaux risques, exposants le plus l’entreprise – par rapport à la vision et la compréhension de l’Expert Cybersécurité-, sont les plus visibles et mis à jour régulièrement[5] en fonction des évolutions contextuels ou l’apparition de nouveaux risques.

Quelles orientations primordiales à donner à l’entreprise pour gérer sa Cybersécurité ?

Face au contexte, les Experts Cybersécurité sont confrontés à des choix stratégiques ou faire des priorités en pariant sur l’évolution des menaces ou sur l’avenir.

Cependant, plus pragmatiquement, certains l’appellent le « good enough », il y a des basiques aujourd’hui à mettre en place impérativement :

Protéger les postes de travails et autres serveurs ouverts sur Internet avec un EDR (ou XDR) pour détecter au plus tôt une potentielle attaque et remplacer les antivirus qui s’appuyaient sur des listes de signatures connus de virus,
En parallèle de la solution EDR, il est souhaitable d’avoir un SOC (Security Operation Center) pour confirmer un système automatique de prise de décision,
S’assurer que les droits d’accès aux systèmes d’information sont correctement gérés ; depuis les administrateurs[6] aux simples utilisateurs en passant par les droits d’accès des sous-traitants ainsi qu’aux données sous-traitées,
S’assurer que tous les partenaires et fournisseurs de services appliquent le niveau de protection de l’information définit dans la Politique de Sécurité,
S’assurer que tous les patchs de sécurité ont été appliqués à temps sur tous les OS et middelware, y compris pour les informations sous-traitées en externe,
S’assurer des tests de backup et recouvrement des environnements informatiques,
Avoir un plan de gestion de crise avec une cellule de crise et les premières actions prêtes à être appliquées (communication alternative sécurisée) …

Le plan stratégique de Cybersécurité n’est pas un document standard. Il doit être adapté aux enjeux de l’entreprise, son mode de management, son contexte et son évolution. La présentation du document est tout aussi importante que son contenu et l’Expert Cybersécurité devra l’adapter aux attentes du Comité de Direction et de l’activité de l’entreprise.

Mais cet effort en vaut la peine, pour mettre l’entreprise et ses dirigeants sur les rails d’une vision cohérente et engageante de la cybersécurité, qui participera d’autant plus à un meilleur partage des responsabilités en matière de sécurité de l’information, comme je l’expliquais dans mes précédentes chroniques.

[1] https://campuscyber.fr/wp-content/uploads/2022/02/LIVRET-ANTICIPATION-2030.pdf

[2] Autorisation donnée par la Russie et l’Ukraine fin mars 2022

[3] Il est très important de définir sous forme de seuils dans une tableau les critères de valorisation des risques et des probabilités d’occurrence. Ces barèmes peuvent être validés avec le management avant de commencer l’évaluation.

[4] Attention à ne pas anticiper la réalisation des plans d’actions de réduction des risques qui doivent être finis avant de ne retenir que les risques résiduels !

[5] Une mise à jour trimestrielle est souhaitée

[6] Les Administrateurs ont les droits d’accès maximum sur tous les serveurs ; ces clefs doivent être gérées comme celle d’une maison : chaque clef est identifiée et tracée

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

[Chronique] Définir la stratégie cyber de son entreprise, chantier oublié de la transformation pour les dirigeants