Frank Van Caenegem Cybersecurity Vice-Président & CISO EMEA de Schneider Electric porte un intérêt particulier aux enjeux d’acculturation cyber, notamment vis-à-vis des fournisseurs et partenaires, afin de renforcer la résilience globale. Un « devoir pédagogique » sur lequel les entreprises doivent gagner en maturité et en sérénité.

Après avoir été Group CISO chez CNP Assurances, entreprise au sein de laquelle il a passé plus de 20 ans, Frank Van Caenegem rejoint Schneider Electric comme Cybersecurity Vice-Président & CISO EMEA. Également administrateur du CESIN, il porte un intérêt particulier aux enjeux d’acculturation en matière de cybersécurité, notamment vis-à-vis des fournisseurs et partenaires, afin de renforcer la résilience globale. Un « devoir pédagogique » sur lequel les entreprises doivent gagner en maturité et en sérénité.

Les entreprises doivent-elles changer leurs approches de sécurité vis-à-vis de leurs partenaires et prestataires, pour faire émerger une meilleure « cybersécurité collective » ?

Frank Van Caenegem. L’idée de cybersécurité collective peut recouvrir plusieurs axes et pour chacun il est souvent possible de s’améliorer.

En premier lieu, les grandes entreprises ont des processus pour évaluer leurs prestataires en matière de cybersécurité. Cela passe généralement par l’envoi de questionnaires, de plus en plus longs et chronophages avec le temps. Il n’existe pas vraiment de standard en la matière, mais certaines solutions et des questionnaires commencent à se faire connaître. On peut finir par être très fier de son processus censé donner une visibilité sur l’état de la cybersécurité à son écosystème, mais en parallèle avoir mis à mal ces entreprises de tailles plus petites, qui doivent passer de plus en plus de temps à remplir ces questionnaires plutôt qu’à travailler véritablement sur leur sécurité. Si on veut vraiment penser collectif, évitons de noyer nos partenaires sous des questionnaires, d’autant plus que chaque entreprise à sa propre approche. Il est important de se mettre à la place de l’audité et d’essayer d’accepter des avis externes pour évaluer la maturité des tiers, et de se demander ce que nos questionnaires peuvent apporter à une entreprise qui est certifiée ISO 27001 et qui a un rapport SOC 2 type 2.

A lire aussi : La « cybersécurité collective » au cœur du debrief du DBIR 2023 pour les CISO et RSSI

Ensuite, il y a une dimension plus contractuelle dans les actions que l’on peut envisager pour faire grandir un prestataire en cybersécurité. C’est par ce biais que l’on va notamment déterminer à quel rythme il est nécessaire de faire un état des lieux de la sécurité de part et d’autre… Sur ce sujet, les entreprises doivent vraiment préciser leurs attentes et les moyens qui amènent à des réalisations concrètes. Aller former en sécurité ses tiers peut par exemple être vu comme une ingérence. C’est pourtant un levier important, qui évite le dédouanement de certains intervenants externes, tout autant investis dans les processus de l’entreprise que des collaborateurs internes. « Je ne suis pas un interne, donc je n’ai pas à suivre cette formation », voilà une réponse que l’on ne devrait pas entendre : il y a tout intérêt à ce que l’élargissement des formations deviennent une coutume assumée dans les organisations.

 

Comment risquent d’être perçues justement ces nouvelles exigences, du côté des prestataires ?

Il ne faut pas tomber dans le piège classique de la sécurité perçue comme une gêne. Il est possible d’amener le sujet de la bonne manière, en étant perçu comme un levier pour le sous-traitant d’avoir plus de budget, de crédibilité, d’écoute… La mise en place de sujets globaux, comme les moyens de surveillance pour voir si on est sur des tendances de sécurité montantes ou descendantes, est utile à tout le monde et peut être accepté plus facilement.

Il y a des sujets pour lesquels c’est en revanche beaucoup moins évident. Je pense notamment à l’élargissement des pratiques de MFA (authentification multi facteurs, NDLR). Quand on a effectué le travail en interne et que l’on a sécurisé de cette façon son parc de solutions, il est naturel qu’ensuite les externes soient perçus comme source de risque. Mais il s’agit de dispositifs qui se déploient au plus près des individus et du coup certains peuvent avoir le sentiment qu’on veut les surveiller et faire la police. Beaucoup d’ESN ne fournissent pas de téléphone et des consultants refusent quelquefois d’installer des solutions de MFA. On arrive dans ce cas rapidement aux limites de ce qu’on peut mettre en place formellement. Il faudra alors plutôt recourir à l’influence : « Voilà des exemples de ce que l’on fait, et de votre côté, vous en êtes-où ? ».

Il est important de sensibiliser les partenaires, sous-traitants et clients qui installent des produits qu’ils soient IT ou IOT. La maintenance en condition de sécurité est également cruciale et est trop souvent minimisée.

Est-il simple de partage de l’information avec d’autres entreprises quand il est question de cybersécurité ? Jusqu’où peut-on aller ?

Il y a plusieurs niveaux de partage d’informations. Il y a évidemment les CERT, mais il existe aussi des groupes plus ou moins informels qui s’échangent des informations sous la règle Chatham House (sans révéler l’identité ni l’affiliation des personnes à l’origine des informations, NDLR)… Il s’agit souvent plus de remontées non-confirmées sur le contexte et la situation que d’indicateurs nettement formalisés.

Nous ne sommes pas en concurrence d’un point de vue sécurité, et il est important de s’épauler et de montrer ce que les autres font de bien, et de partager son expérience. Cela permet de faire monter le niveau de résilience collective.

Au-delà, est-ce que l’on va partager collectivement des KPIs ? Sans doute pas. Certaines organisations professionnelles estimaient cela possible : lister les incidents, les indicateurs clés, les ratios d’installation d’EDR en interne, etc. Mais ce niveau de détail d’information est trop précis, le risque est trop grand qu’il soit ensuite utilisé de façon malintentionnée par des acteurs qui mettraient la main dessus, ou bien d’être mal interprété, sorti de son contexte. Au sein de l’interCERT ou de collectifs de CISO (CESIN, CLUSIF…), il est possible d’échanger sur des incidents, des retours d’expérience, son organisation, mais cela se fait surtout autour de retour d’expérience précis et dans une optique « donnant-donnant » en bonne intelligence. Ces groupes sont très productifs en France, animent des groupes de travail qui réalisent des livres blancs, position papers, questionnaires fournisseurs… Certains par exemple travaillent actuellement à définir un questionnaire de KPI techniques qui pourraient être échangé entre deux sociétés.

Partager l’information de la sorte permet-il également d’établir une forme de « front commun » ?

C’est le cas dans la relation vis-à-vis des offreurs de solution. Même en tant que grande entreprise, on a toujours à faire à des plus grands que soi et nos demandes d’améliorations adressées aux géants du numérique ne sont pas prioritaires. Quand des entreprises se regroupent pour s’adresser à un éditeur, la situation change souvent plus vite.

Mais au-delà, je vois l’intérêt de ces rapprochements dans le cadre de la relation avec les régulateurs. Il nous faut leur proposer collectivement des axes d’actions pragmatiques. Trop souvent les institutionnels ont une vision théorique de la cybersécurité. Il est donc essentiel que des groupes de CISOs coopèrent sur des « position papers » et aux travaux préparatoires autour des sujets réglementaires, etc. Il nous faut faire remonter du terrain des réponses précises et opérationnelles. Par exemple, à l’époque de la définition de la directive européenne NIS (adoptée en 2016, NDLR et donc la « version 2 » doit être mise en œuvre en France d’ici octobre 2024, NDLR), j’ai participé à des collectifs pour proposer des positions communes entre entreprises : proposer une vision collective, c’est ce qui peut améliorer la pertinence de la loi.

Un des points qui attire actuellement l’attention sur l’importance de la cybersécurité au sein d’un écosystème, est le risque lié aux supply chain attacks. Quel regard portez-vous sur ce contexte ?

Le cas SolarWinds fin 2020 a montré la difficulté de se prémunir contre de telles attaques ; elles relèvent une grande complexité… La directive NISv2 tient compte de ce contexte et favorisera sans doute des réactions chez les acteurs technologiques.  Des certifications peuvent également apporter dans une certaine mesure des garanties de maturité, pour éviter de se faire « surprendre » par l’un de ses prestataires SaaS par exemple.

Quand une entreprise achète un logiciel, elle peut aborder le sujet avec son prestataire, mais la plupart du temps son interlocuteur ne sera pas le CISO de l’éditeur, et donc l’effet sera limité. Dans ce contexte, je pense que la clé est peut-être de demander des échanges plus réguliers avec l’éditeur et ses responsables sécurité, où ils devront pouvoir démontrer une évolution dans le temps de ses pratiques de sécurité… Idéalement, il faudrait pouvoir aller jusqu’à des rapports conclusifs négatifs en cas de dégradation ou de non-évolution de la posture de sécurité, afin de pouvoir se désengager.

Il faut garder à l’esprit que nos sous-traitants, quelle que soit leur nature, peuvent se faire attaquer et être compromis. Le plus délicat est alors le suivi de la situation. Il est très difficile d’avoir une liste exhaustive de tous les sous-traitants qui interviennent sur une chaîne de valeur, sur leur périmètre d’action exact… Dans le cas des offreurs de technologies, il faut en plus vérifier que les prestations rendues et que les mesures de sécurité définie lors de l’acquisition initiale du produit ou service, sont toujours en phase avec le risque courant ! Les extensions de contrats, avenants… sont des pratiques courantes, qui contribuent à créer un flou important sur la réalité des pratiques.

Le sujet des sous-sous-traitants, les « 4th parties », devient de plus en plus sensible car ils deviennent des points de faiblesses et vous devez passer par vos sous-traitants pour en avoir une évaluation régulière.

De plus, les contraintes pour avoir une vision claire de la situation sont nombreuses : quand les sociétés se font racheter, quand leur organisation est complexe et que les études d’impact le seront aussi. Il y a tellement de questions qu’au final, c’est souvent tout un bataillon de personnes qui devra finir par travailler sur le sujet. Pour ne pas être noyé, il faut donc déterminer avant tout les prestataires pour lesquels il est vraiment nécessaire d’avoir une analyse totale, de ceux où le minimum sera suffisant.

Dans tous les cas, il est nécessaire d’avoir une démarche graduée basée sur le risque et d’éviter d’avoir un regard trop financier sur la criticité de la structure. Pendant longtemps, cela a été le principal réflexe dans les grandes organisations pour évaluer les partenaires et ce n’est plus du tout suffisant.