[Chronique] Responsabilité partagée de la sécurité de l’information : quels rôles ne pas sous-estimer ?

Dans la suite de sa chronique détaillant comment mettre en œuvre une sécurité de l’information pertinente dans l’entreprise, Michel Juvin détaille la répartition idéale des nombreux rôles de contrôle.

sécurité de l’information Nous avons détaillé précédemment à quel point la construction d’une responsabilité partagée de la protection de l’information est un chantier oublié des DRH. Mais il faut souligner bien entendu qu’ils ne sont pas seuls en première ligne.

Plusieurs responsables dans l’entreprise doivent jouer un rôle majeur dans les contrôles relatifs à la protection de l’information ; les équipes informatiques pour les contrôles lors de la gestion de l’information, les équipes du contrôle interne pour l’application des procédures de contrôles qualité et efficacité opérationnelle et conformité réglementaire. Détaillons cette semaine la répartition idéale de rôles pour ces dernière.

Le responsable du Security Operation center (SOC)

Cette fonction clef est aussi l’un des premières à identifier un comportement à risque et prendre en conséquence, une décision majeure dans la suite d’actions pour diminuer le risque ou bloquer une attaque externe ou interne. Ayant dans son rôle de contrôle / supervision l’ensemble des solutions de cybersécurité mises en place par l’entreprise, il peut qualifier un comportement anormal et alerter les décisionnaires de l’entreprise : le Directeur Cybersécurité, le Directeur Technique et/ou Informatique ou encore, le Directeur des Risques. De préférence sous-traitée à un partenaire externe pour des raisons de fonctionnement en 24/7 et d’expertise, les Analystes SOC ont une excellente connaissance de l’environnement de l’entreprise bien qu’ils soient à plusieurs kilomètres de celle-ci. Ils sont souvent associés à un CSIRT[1] ayant pour objectif de traiter les incidents et permettre d’anticiper les menaces qui adressent l’entreprise.

L’auditeur des Systèmes d’Information

Le rôle du département de l’Audit est initialement défini pour réduire les risques de fraude (interne et externe) et la contrefaçon. Il a aussi pour objectif d’améliorer les processus internes pour un bon fonctionnement de l’entreprise. Comme le Directeur Cybersécurité, il s’appuie sur une analyse de risque pour identifier les points majeurs d’amélioration et peut relever, en fonction de son expertise dans le domaine technique et fonctionnel, des points relatifs à la cybersécurité. Bénéficiant d’une équipe plus nombreuse que celle de la cybersécurité, ils ont aussi l’habitude de couvrir tous les domaines et les lieux de l’entreprise. Ils rapportent majoritairement des incohérences sur les droits d’accès et les séparations de fonctions ainsi que sur les basiques de la cybersécurité.

Le contrôleur Interne

Le contrôleur interne[2] est aussi un acteur important car les contrôles effectués ont été définit par un cadre standard validé par le Directeur Cybersécurité. Ces contrôles permettent de confirmer périodiquement l’efficacité des procédures de contrôle et de sécurité. De plus, il émet un rapport qui engage la responsabilité des acteurs du contrôle et communique vers le management les éventuels disfonctionnements des procédures internes. Il contribue pleinement à la cyber-maturité de l’entreprise et sa résilience face aux cyber-risques.

Les partenaires des services de sécurité

N’ayant pas la capacité de développer toutes les expertises techniques nécessaires à la protection de l’information, l’entreprise a souvent recours à de nombreux intervenants externes sous forme de services comme la gestion anti-spam, le filtrage des virus/malwares, la surveillance des flux Internet ou encore des applications de sécurité entièrement outsourcées et placées sous la responsabilité d’un tiers de confiance. Les contrôles effectués sont alors prépondérants dans la protection de l’information et les rapports communiqués aux internes de l’entreprise attestent de l’efficacité de leur rôle. Ils contribuent aussi fortement sous forme de prestation de service de sécurité ayant la possibilité de former leurs équipes plus spécifiquement. De plus, il est important de fiabiliser contractuellement et par anticipation d’une attaque ces ressources expertes.

Rôle du Directeur de la cybersécurité dans la gestion des rôles des acteurs de la cybersécurité

Comme on le voit, il y a la nécessité de gérer toutes les actions effectuées par l’ensemble des personnes agissant autour de la protection des données dans l’entreprise. Cette gestion implique en accord avec les Ressources Humaines et le manager des départements métiers, d’identifier les personnes qui auront la responsabilité des actions contribuant à la protection des informations, des contrôles effectués et de s’assurer que ces acteurs ont bien reçues la formation nécessaire. Il définira de plus les procédures de contrôle à appliquer par domaine / département.

Par une coopération rapprochée avec les équipes techniques de la DSI et de ses sous-traitants, il s’assure de recevoir les rapports issus des solutions de supervision de la sécurité pour compléter le tableau de bords de cybersécurité et donner une note globale à la Direction Générale du niveau de protection de l’information dans l’entreprise et ses partenaires.

Par ailleurs, son rôle de communiquant / formateur est aussi primordial pour apporter des réponses à tous les utilisateurs lorsqu’ils sont amenés à manipuler des données sensibles et de s’assurer que ces derniers utilisent la bonne solution technique pour diminuer les risques de fuites / perte d’information. Enfin dans cette période compliquée, il propose des solutions adaptées au contexte comme la mise en place de la gestion des droits d’accès s’appuyant sur le modèle du Zéro-Trust[3] et le SASE[4] tout en développant la confiance dans les Systèmes de gestion de l’Information dans l’entreprise.

Dans notre prochaine chronique, nous achèverons ce tour d’horizon en faveur d’une responsabilité partagée de la protection de l’information, en analysant le rôle exact des équipes informatiques.  Une façon de se poser la question : leurs périmètres idéals d’intervention sont-ils bien assumés dans l’entreprise ?

 

 ***

[1] CSIRT : Computer Security Incident Response Team

[2] Fonction qui peut être déléguée par département en fonction de la taille de l’entreprise

[3] Modèle Zero-Trust : développé par le Jéricho Forum en 2003 a pour objectif de limiter les mouvements latéraux des hackers et permettre l’accès à l’information en fonction de 4 critères : l’identification de l’utilisateur, sa localisation, le matériel utilisé et le droit d’en connaître par application utilisée. Le NIST a précisé le concept début 2020 : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf

[4] SASE  pour Secure Access Service Edge : https://www.lemondeinformatique.fr/les-dossiers/lire-sase-enfin-une-approche-globale-de-la-securite-1182.html

***

[1] Modèle Zero-Trust : développé par le Jéricho Forum en 2003 a pour objectif de limiter les mouvements latéraux des hackers et permettre l’accès à l’information en fonction de 4 critères : l’identification de l’utilisateur, sa localisation, le matériel utilisé et le droit d’en connaître par application utilisée. Le NIST a précisé le concept début 2020 : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf

[1] SASE  pour Secure Access Service Edge : https://www.lemondeinformatique.fr/les-dossiers/lire-sase-enfin-une-approche-globale-de-la-securite-1182.html