CIX-A : les entreprises peuvent-elles mieux coopérer en cybersécurité ?

L’association CIX-A propose de changer le mode de collaboration des entreprises autour de la cybersécurité pour dépasser les approches de « threat intelligence » déployées par chaque grande entreprise. Plus fortes ensemble ? Faurecia et PwC, premiers membres de l’association, le pensent. 

CIX-A : les entreprises peuvent-elles mieux coopérer en cybersécurité ?

Le Data Privacy Day, qui célèbre la prise de conscience des enjeux de protections des données personnelles au niveau européen et l’engagement collectif des structures publiques et privées sur le sujet, a eu lieu le 28 janvier. C’était aussi le début de la 12e édition du Forum International de la Cybersécurité (FIC) à Lille, haut lieu de coopération et d’échange sur tous les thèmes touchants de près ou de loin à la sécurité des organisations dans un monde devenu numérique.

Mais de tels évènements référents, clés dans les enjeux de sensibilisation de l’ensemble de notre société aux enjeux cyber, ne peuvent rester les seules occasions de coopération pour les entreprises. C’est avec la volonté d’aller plus loin que s’est donc créé en 2019, CIX-A, une initiative de cyber-coopération européenne. Avec pour slogan : « Ensemble pour multiplier les forces ».  

Fournir de l’information stratégique aux PDG 

« La responsabilité des chief information security officer (CISO) dans les entreprises est devenue très large. On leur demande de ne pas faire d’erreur, de connaître les menaces, de comprendre ce qui fait qu’une attaque fonctionne ou non, de trouver les bons moyens d’action et d’acculturation… ». Le portrait que dresse Michel Cazenave, PwC Régional CISO/CSO pour la France, Monaco, le Maghreb et l’Afrique francophone, donne une idée de la forte pression quotidienne que subissent ces postes devenus clés dans les entreprises. « Pour y parvenir, toutes les sources sont bonnes à prendre : adhérer à une association de pairs comme le CESIN et le Clusif, s’équiper de nouveaux outils, multiplier les formations… mais cela ne suffit pas toujours ».  

En effet, l’accélération business et technologique est telle pour les grandes entreprises qu’il devient illusoire de vouloir tenir le rythme « seul dans son coin » : il faut partager les bonnes recettes, opérationnelles ou tactiques, mais aussi aller plus loin. « De plus en plus, nous devons trouver les moyens de fournir une information stratégique actionnable.

A Davos, chaque année, il serait par exemple vraiment utile que les PDG accèdent à de vrais éléments clés « informés », qui ne soient pas du domaine de la technique ou de la seule sensibilisation » résume ainsi Michel Cazenave.  

Alliancy Connect : j’actionne cet article !
Ce sujet est une priorité ? Vous aimeriez rencontrer la personnalité interviewée ? Vous souhaiteriez partager votre expérience sur le sujet ? 

 

Faurecia et PwC en fer de lance 

C’est pour fournir des moyens de collaboration plus ambitieux pour les CISO, en complémentarité avec les lieux et mode de partage d’information déjà existants, que le responsable a participé à la création de l’association CIX-A (pour Cyber Intelligence X sectors Alliance). « Nous avons commencé à deux, PwC et Faurecia, avec les CISO, mais aussi les équipes sécurité et les security operations center (SOC) de part et d’autre. Tous réunis, cela représente un périmètre considérable » décrit-il. Les premiers pas de la collaboration se sont fait autour de documents partagés, par exemple sur la faille critique BlueKeep, pour documenter les impacts et les réponses pertinentes apportées, mais aussi à partir d’une plateforme de travail collaboratif comme Slack pour partager des actualités, des conseils sur les outils ou d’autres recommandation au quotidien.  

A lire aussiInfographie : L’âge d’or du ransomware

En 2020, CIX-A veut cependant accélérer. « Nous planifions le fait de faire entrer dans la boucle d’autres CISO d’entreprise, mais nous voulons être sûr que le système est bien rôdé pour eux. En tant qu’association, il y a une cotisation qui permet de financer les outils partagés ; il faut donc que le service rendu par CIX-A soit clairement différentiateur par rapport au simple achat d’un nouvel outil de sécurité » reconnait le CISO de PwC pour la France.  

Plus que du renseignement, un vrai accélérateur de coopération 

Pour faire la différence, l’association compte s’appuyer sur une plateforme partagée de threat intelligence, en s’appuyant sur l’outil proposé du pionnier ThreatQuotient. Objectif : avoir une base commune et transparente des cyberattaques à un instant T. « La plateforme est une grande bibliothèque qui réunit beaucoup de données fournies anonymement par les membres, mais aussi d’informations extérieures, et met en forme des renseignements. C’est très visuel, avec à partir d’un cœur d’investigation, des liens établis avec de multiples objets, des groupes de criminels et les tactiques qu’ils emploient, ou encore le lien avec d’autres campagnes de cyberattaques. Le tout sur une timeline pour comprendre l’évolution de l’information dans le temps » explique Cyrille Badeau directeur régional de ThreatQuotient. Cette « pieuvre » visuelle permet de lier informations très stratégiques et détails beaucoup plus techniques. « Cela permet notamment de beaucoup mieux comprendre les modes de propagation des menaces dans et entre les entreprises, ainsi que les « mouvements latéraux » que mettent en œuvre les agresseurs » témoigne Michel Cazenave. 

De nombreuses entreprises pourraient s’interroger sur la différence de cette démarche avec celle de threat intelligence déjà déployée par les grands groupes. Mais jusqu’à présent, la mise en commun de l’information se faisait dans le cadre de communauté de partage de renseignements, où chaque organisation équipée de ses propres outils, poussait sa vision de l’incidentologie ou encore les informations issus de son propre SOC. En Europe, c’est par exemple la Malware Information Sharing Platform (MIST) qui est devenue de cette façon l’une des bases les plus riches d’information. « Mais chacun doit avoir déjà sa propre practice de renseignement bien établie pour contribuer à une telle plateforme. C’est une source utile mais pas en soi un accélérateur de coopération » souligne Cyrille Badeau.

« Avec l’association, l’idée est non seulement de partager la plateforme en tant qu’outil, mais aussi de mutualiser le temps de recherche des analystes. On ne partage pas seulement ce que l’on sait déjà : on met en commun la matière grise de tout le monde pour avoir un vrai temps de recherche en coopération. C’est aussi ce qui permet de dépasser la donnée technique et d’aller vers une vision stratégique » rebondit Michel Cazenave. En la matière, CIX-A veut donc aussi aller plus loin que les initiatives inter-CERT, qui réunissent les organismes ayant déjà des activités d’IRT (Incident Response Team), pour ne pas rester sur la seule dimension technique.  

Participer au changement de paradigme dans la cybersécurité 

Au-delà des membres initiaux, qui sera concerné par cette initiative ? En premier lieu les entreprises qui ont déjà une certaine maturité en cybersécurité et qui seront des contributeurs actifs aux temps d’analyse communs. Mais à partir de là, l’association imagine s’ouvrir à un deuxième cercle d’entreprises, plus petites et moins expérimentées, car la supply chain et les fournisseurs des grands groupes sont trop souvent des maillons faibles pour l’ensemble de l’écosystème. Les opportunités pourraient alors notamment se trouver du côté du secteur aéronautique, à la fois très exposé aux menaces, mais ayant aussi une grande expérience de l’animation de telles chaines de prestataires plus petits.  

« A termes, beaucoup de nos utilisateurs français pourrait rejoindre l’association » note par ailleurs Cyrille Badeau de Threatquotient, en soulignant que l’éditeur a dû adapter son habituel business model pour répondre aux enjeux de mutualisation autour d’une seule plateforme, plutôt que de vendre à chaque entreprise son propre outil.  

Et peut-être que les PDG eux-mêmes donneront le « la ». « La mission de PwC est : « Build trust », c’est pourquoi notre CEO a vu l’association comme une opportunité et nous a dit : faisons-le ! C’est aussi le signe d’un changement de paradigme dans la sécurité, en voulant se donner les moyens de bâtir un cercle de confiance qui est une condition sine qua non pour être vraiment plus forts ensemble » pointe Michel Cazenave, en espérant que d’autres dirigeants ressentiront également cette nouvelle dynamique. Avec une conviction : « Aujourd’hui, la transparence apporte plus de valeur pour les entreprises que de vouloir garder les informations de sécurité comme un secret confidentiel » 

Le contexte est en effet propice aux changements d’attitude. Dès 2018, l’institut Montaigne a ainsi dévoilé un rapport pointant le besoin vital de coopération en cybersécurité. Et l’Appel de Paris pour la confiance et la sécurité dans le cyberespace lancé par le président Emmanuel Macron le 12 novembre de la même année à l’UNESCO, a également grandement médiatisé ces enjeux. « PWC est signataire de l’accord, c’est une cause importante pour nous » reconnait le CISO.  

En 2020, CIX-A lancera son premier évènement pour mettre en avant auprès d’autres entreprises l’intérêt de rejoindre l’aventure. Mais en parallèle, l’association entend bien capitaliser sur les initiatives de partage déjà existantes, notamment celles portées par l’Etat, comme Cybermalveillance.gouv.fr. Et montrer l’exemple sur la force des écosystèmes de confiance.