[EXCLUSIF] Les RSSI et plus globalement les entreprises doivent faire face à de nouveaux enjeux, de nouvelles réglementations, et surtout de nombreux acteurs sur ces sujets. Il devient complexe de faire des choix rapides et bien-sûr les bons choix pour leur entreprise, et leurs projets tout en respectant un cadre légal toujours plus contraignant.

Pour Joseph Graceffa, président du CLUSIR Nord de France et ses adhérents (RSSI, DPO et DSI…) « l’usage du Cloud ou de technologies de type container ou même de Big Data n’est plus un épiphénomène dans nos entreprises… et comme toutes nouvelles technologies celles-ci sont massivement issues de technologies web ou sont déployées dans des environnements externalisés difficilement contrôlables. »

En matière d’enjeux techniques, les équipes IT et notamment la sécurité doivent prendre en compte une forte hétérogénéité des techniques présentes pour offrir ces nouveaux services mais surtout une offre très vaste et peu claire sur le marché. On y retrouve pêle-mêle, des startups innovantes en quête de leur première grande référence et des acteurs majeurs qui rachètent finalement ces startups pour avoir des solutions à proposer.

La réglementation, épée de Damoclès des RSSI

Les réglementations ont toujours évolué suite à ces changements technologiques et ont surtout permis de bénéficier d’obligations de sécurité qui permettent de limiter l’usage de services ou technologies inappropriées. Ces obligations apporteront des contraintes techniques, légales et organisationnelles fortes et surtout des risques/pénalités financières dont les entreprises ne pourront s’affranchir. Les technologies Cloud, Big Data et autres devront respecter ces nouvelles obligations bien que plus organisationnelles que techniques. Il faudra dans tous les cas qu’elles offrent des fonctionnalités permettant la gestion d’incident dans des délais courts, la divulgation des failles et fuites de données. Il devient donc fondamental de posséder ses propres outils et procédures de vérification de conformité. Déléguer le traitement de ses données les plus sensibles et à caractère personnel, n’exclut nullement de devoir s’assurer que son partenaire, sous-traitant y compris technologique soit dans le cadre de cette nouvelle réglementation. Les RSSI / DPO sont donc contraints de s’équiper et de s’associer les services d’experts maîtrisant ces nouveaux concepts et environnements. Autant dire que tout le marché doit se renouveler aussi et que certains n’y survivront pas.

« C’est un dilemme au quotidien pour nos membres, mais nous constatons que les équipes IT travaillent en symbiose et, que le rôle du RSSI ou le DPO se renforce », précise Joseph Graceffa.

 Les entreprises ont la tête dans les nuages

L’ensemble des entreprises du CAC 40 ont des infrastructures de type Cloud (privé, public, hybride) et/ou utilisent du PaaS et SaaS. Le cabinet d’étude Gartner prévoit  que l’ensemble des entreprises utiliseront le Cloud en 2020 vu les gains de productivité liés à l’accès à ces nouvelles ressources. Les capacités de calculs et d’analyses se sont améliorées de façon exponentielle. Sans parler de la rapidité du déploiement des machines virtuelles et des applications, nécessaires pour développer des projets ponctuels.

Si les entreprises peuvent jouir de cette nouvelle puissance qui touche tous les secteurs de l’entreprise, la direction des systèmes d’information doit absorber une charge de travail conséquente. En effet, une des conséquences directes à cette facilité de déploiement est que de nombreuses ressources sortent des radars du responsable de la sécurité des systèmes d’information, ce que l’on appelle le shadow IT. Ou autre cas, un serveur mis en sommeil une fois un test ou projet effectué, sera redéployé ultérieurement pour un autre test sans faire attention à son niveau de sécurité. De nombreuses applications et services ne seront pas à jours ce qui représente un risque critique.

De plus, on remarque que les différents secteurs d’entreprises bénéficient d’une grande autonomie dans la gestion des outils informatiques. Surtout en ce qui concerne les logiciels utilisés en mode SaaS

: logiciel de paie pour le service des ressources humaines, lanceur de mail pour le service marketing ou le CRM pour le département commercial. Comme chaque service a la liberté d’investir sans consulter le RSSI, ce dernier peut difficilement faire un inventaire exhaustif de son parc informatique.

La question de la responsabilité se pose ici. Une attaque qui se produirait suite à une mise à jour non effectuée d’une extension du site internet vitrine le rendrait inaccessible pour les clients. Le webmaster sera le coupable mais le RSSI sera bien le responsable. Il en va de même pour tous les départements qui sont peu [mal] sensibilisés aux attaques exploitant des vulnérabilités connues.

La gestion d’un parc hybride

Un autre des enjeux pour les RSSI est de pouvoir prendre en compte le risque de cyber-attaque sur l’ensemble de son parc. Celui-ci est constitué d’une infrastructure traditionnelle d’une part et de Cloud Computing, souvent en IaaS, pour l’autre part. La migration vers une infrastructure 100 % Cloud passe par cette transition où le RSSI doit être capable de gérer plusieurs types d’infrastructures avec les mêmes solutions de sécurité. Ces dernières ne sont pas adaptées aux nouvelles technologies comme les containers, les Cloud Workloads ou le Big Data mais continuent d’être utilisées au quotidien. La raison ? Les investissements lourds qui ont été engagés ne sont pas encore amortis et les équipes de sécurité ont été formées uniquement sur la solution en place. Cette dichotomie est un casse tête pour le RSSI qui doit jongler entre plusieurs solutions différentes pour effectuer la même tâche tout en mobilisant plus de ressources humaines. Les gains de productivité tant vantés précédemment sont annihilés par un risque informatique qui croît au fur et à mesure des déploiements. Le RSSI est dépassé et ne peut plus gérer efficacement la surface d’attaque de l’entreprise.

S’adapter rapidement aux nouvelles technologies

Les technologies évoluent rapidement, les gens plus lentement. Les entreprises ont besoin de ces nouvelles ressources pour continuer de développer leur activité. Cependant, les équipes en charge de la sécurité des infrastructures ne peuvent pas être expertes dans toutes les technologies, surtout si elles ont des vulnérabilités qui leur sont propres. Selon une étude du SANS Institute 80 % des cyber-attaques exploitent des vulnérabilités connues et Gartner prédit que ce nombre sera de 99 % en 2020. Pourquoi ce chiffre ne cesse de croître ? Car le nombre de produits, de machines virtuelles ou de systèmes d’exploitation est également en croissance.

Afin de pillier à ce risque, qui plus est, impliquant une croissance des vulnérabilités « zéro-day », le RSSI doit mobiliser en priorité ses ressources humaines sur la remédiation.

La surveillance continue est un must have pour les RSSI. Tous les standards de sécurité la recommandent afin d’être alerté en temps réel des nouvelles vulnérabilités (28 nouvelles ont été identifiées chaque jour en moyenne en 2016). Mais une analyse complète ne suffit plus, il faut une solution capable de valoriser les données récoltées pour faciliter la remédiation. Ainsi, les indicateurs de risque sont nécessaires tout comme les indicateurs de performance le sont pour le commerce.

A l’heure où la majorité des vulnérabilités sont référencées et documentées, seule l’action humaine est capable de faire diminuer la surface d’attaque de l’entreprise. Il est donc primordial de faciliter cette intervention grâce à une solution qui s’adapte aux technologies aussi vite qu’elles évoluent.

> A lire également sur Alliancy : 

• Diane Rambaldini (ISSA) : « Le défi du RSSI : faire de la sécurité un sujet global »
• Les enjeux du RSSI en chiffres
• La chronique du Cesin : l’enfer des mots de passe