GuideCyberSecurite-2016-WEB-V2

57 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
57
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
9
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

GuideCyberSecurite-2016-WEB-V2

  1. 1. Evolutions réglementaires, innovations technologiques, enjeux culturels… ils reviennent sur les principaux axes d’amélioration des entreprises pour les mois à venir. Transformation numérique et cybersécurité : quand dirigeants et organisations doivent changer Guidede la cybersécurité édition 2016
  2. 2. FONDEZ VOTRE BUSINESS SUR L’EXCELLENCE Depuis 16 ans, Les Assises est l’événement incontournable le plus prisé de la scène professionnelle. Débats de haut niveau, échanges entre décideurs et leaders d’opinion, networking alliant business et convivialité. C’est le lieu de convergence de tout l’écosystème de la sécurité des systèmes d’information ! 2000 participants 4500 rendez-vous en one-to-one 160 ateliers et conférences 5 > 8 octobre 2016 PROJETONS-NOUS ENSEMBLE un événement
  3. 3. 3Guidede la cybersécurité 3 Sommaire Marché Transformation numérique et cybersécurité : n’oublions pas qu’elles sont inséparables Pratiques Cesin « La cybersécurité prend sa place au coeur de la nouvelle gouvernance des entre- prises » 2016 Retour sur une année de cyberattaques BME, FFT, Groupe SFA Prise de conscience et montée en puissance cyber, les entreprises témoignent Zoom Vecteurs d’attaques : que surveiller en priorité ? Conseils Eset France RGPD, une mise en conformité qui n’attend pas Schneider Electric Systèmes industriels : les arrêtés sectoriels publiés en 2016 Symantec France Conjuguer big data et machine learning pour faire face aux attaques Sophos Répondre aux menaces modernes, telles que les attaques par ransomware TheGreenBow L’ergonomie d’une solution de sécurité détermine entièrement son efficacité Vade Secure Face aux ransomware : un peu de technologie, beaucoup de bon sens Sondage Quelle est la maturité perçue des entreprises en matière de cybersécurité ? Annuaire 50 acteurs de la cybersécurité à suivre 4 6 14 13 20 22 23 Rédaction : Dorian Marcellin Contact : redaction@alliancy.fr Le présent guide est édité par la société Alliancy. 32, rue des Jeûneurs – 75002 Paris, 01 42 66 04 77 / infos@alliancy.fr www.alliancy.fr SARL au capital de 10000€. RCS Paris 792635138 00011 TVA INTRA : FR90792635138 ISSN 2266-4378
  4. 4. 4 Guidede la cybersécurité (voir p.16), administration facilitée pour l’ensemble des dispositifs de sécurité (p.17) ou encore travail de fond sur l’ergonomie des solutions afin de faciliter l’usage quotidien des collaborateurs (p.18)… Les points communs avec les évolu- tions technologiques « business » qui interrogent tous les acteurs de l’entreprise, sont innombrables. Le changement de culture d’entreprise Last but not least, l’évolution culturelle nécessaire autour de la sécurité dans les entreprises se lie intimement avec l’appropriation d’usages numériques globaux. Un peu de technologie, beaucoup de bons sens, est-on ainsi tenté de résumer (voir p.19) pour mieux accompagner les collaborateurs. Au-delà de leur sensibilisation sur certains vecteurs d’attaque, la montée en maturité se fait sur l’ensemble des comportements numériques, gages d’agilité et de résilience. Deux qualités que les entreprises voient comme des facteurs clés pour réussir dans un monde où numérique et business se recouvrent dorénavant presque entièrement.  au contraire de la sécurité numé- rique. Les deux sont indissociables comme le rappelle trois axes forts de transformation des organisa- tions : Les évolutions réglementaires Beaucoup d’entreprises décou- vrent depuis quelques mois les changements impératifs qu’elles vont devoir mettre en place d’ici 2018 dans le cadre du Règle- ment européen sur la protec- tion des données (voir p.14). D’autres acteurs ont depuis 2013 été confrontés à des évolutions majeures avec la Loi de Pro- grammation Militaire. La parution en 2016 des arrêtés sectoriels contribuent à préciser l’action des acteurs industriels notam- ment (voir p.15). Et n’oublions pas d’autres dispositions, comme la directive NIS : si son impact parait moindre que les précédentes, son périmètre s’avère beaucoup plus large. Aujourd’hui, les évolutions réglementaires concernent bien plus que les seules directions juri- diques des entreprises : toute la gouvernance est impactée. Les innovations technologiques Elles sont bien sûr indissociables de la course effrénée entre « atta- quants » et « défenseurs ». De plus en plus cependant, les champs qu’elles bouleversent sont variés : big data et machine learning pour faire face aux attaques ciblées Le rôle du dirigeant n’a jamais été aussi important pour faire de la cybersécurité un sujet central dans la transforma- tion de l’entreprise. Trois axes sont particulièrement à sur- veiller dans ce cadre. Plus de 9 dirigeants sur 10, à la tête d’entreprises directement concernées par des cybermenaces admettent ne pas savoir interpré- ter un rapport de cybersécurité. D’après l’enquête qui évoque ce chiffre, menée par Goldsmiths (Université de Londres) pour Tanium et Nasdaq, le problème est qu’ils ne sont pas seuls. Parmi les dirigeants non-exécutifs et les cadres, 43% se sentent également démunis. Les DSI et les RSSI eux- mêmes ne sont pas épargnés : aux Etats-Unis, ils sont ainsi plus d’un sur cinq à faire les mêmes décla- rations. Cela pose la question de la justesse des choix stratégiques qui seront réalisés. « Le dirigeant est dans une zone d’inconfort absolue  », note Olivier Ligneul, Chief Infor- mation Security Officer du groupe EDF et vice-président du Club des experts de la sécurité de l’informa- tion et du numérique (voir notre interview p.6). Comment aider le top management ? L’une des ré- ponses est de sortir de la disso- nance cognitive qui voudrait que la transformation numérique soit un sujet prioritaire pour l’entreprise, Transformation numérique et cybersécurité : n’oublions pas qu’elles sont inséparables Marché
  5. 5. 5Guidede la cybersécurité Chiffres & Tendances La cybersécurité, une priorité qui peine encore à s’imposer 83% des entreprises se considèrent « exposées » aux cyberattaques Dont 25% se considèrent « très exposées » Mais 31% seulement placent la cybersécurité dans le top 10 de leurs priorités Enjeux Cyber 2016 : La face cachée de la cyber – Deloitte 2016 L’impact réglementaire, connu mais mal maîtrisé 97% des entreprises ont entendu parler du Règlement Européen sur la Protection des Données (GDPR) Mais 57%admettent qu’elles ne connaissent pas ou peu ce règlement Facing the Cyber risk challenge – Lloyd’s 2016 Le coût de la cybersécurité, sujet toujours douloureux 5 à 10% du budget total de l’entreprise devraient y être consacré, selon Guillaume Poupard, directeur de l’ANSSI Mais C’est MISSION (PRESQUE) IMPOSSIBLE pour mesurer les coûts réels des cyberattaques selon l’ENISA, l’agence de l’Union Européenne pour la sécurité des réseaux et systèmes d’information. Les nombreuses études sur le sujet utilisent des méthodes et métriques trop variées pour dégager une vue unique. The cost of incident affecting CIIs – ENISA Août 2016
  6. 6. 6 Guidede la cybersécurité Les responsables de la sécurité ne peuvent plus être focalisés exclusivement sur un sujet parti- culier : c’est ce qui fait la joie des attaquants. On l’a bien vu lors de l’attaque sur l’Ukraine l’an dernier, si le système électrique du pays a été touché, à travers une agres- sion sur le réseau industriel, il y a eu en même temps une attaque d’ampleur sur le secteur tertiaire, saturant les centres d’appel, afin d’empêcher les clients impactés d’appeler leur opérateur… Déve- lopper une vision de synthèse est devenu primordial. A l’opposé, on ne peut cependant plus se passer de responsabilités décentrali- sées, en local. Autrement dit, le RSSI devient un métier comme les autres ! En effet, il ne viendrait à l’idée de personne dans le cadre de la gouvernance d’une entre- prise de prétendre qu’un directeur financier peut se passer de comp- tables, et vice-versa. Cette nécessaire intégration du métier de la cybersécurité à tous les niveaux est-elle aujourd’hui bien prise en compte par les entreprises ? Une fois que l’on a dressé ce portrait idéal, les interrogations restent évidemment nombreuses. Encore une fois, il n’y a pas de devenant toujours plus transver- sale. Elle adopte une vision très protéiforme : pour trouver sa place dans la nouvelle gouvernance de l’entreprise, elle cherche le bon équilibre pour ne pas être un frein, sans tomber non plus dans la superficialité. Concrètement, qu’est-ce que cela implique ? L’un des plus grands changements est que cette évolution oblige les «  métiers » de l’entreprise à intégrer directement en leur sein le sujet sécurité. Le CESIN a constaté ces derniers mois une multipli- cation de créations de postes de RSSI et ceux-ci ne sont plus mis à l’écart du reste de l’activité de l’en- treprise sous prétexte de la tech- nicité. Le lien est au contraire de plus en plus fort. Bien sûr, il n’y a pas de recette miracle en matière de gouver- nance, chaque entreprise affine la position du curseur sécurité au sein de ses métiers… mais deux enjeux se croisent systématique- ment. D’abord, la nécessité d’avoir un RSSI qui développe une vision homogène et globale du sujet cyber pour l’entreprise. Plus que jamais, il est nécessaire de se doter d’un référent sur des enjeux de sécurité par nature transversaux. L’affirmation d’une culture de la sécurité numérique au sein des organisations va de pair avec la montée en puissance d’une culture du changement et de la transversalité chez les responsables de la sécurité des systèmes d’informa- tion. C’est l’un des messages portés par Olivier Ligneul, CISO du groupe EDF, récem- ment nommé vice-président du CESIN, le Club des experts de la sécurité de l’information et du numérique, qui revient sur l’évolution de la gouver- nance des entreprises. A quel point la transforma- tion numérique des entreprises impacte-t-elle la façon dont elles gèrent aujourd’hui le sujet de la cybersécurité ? Ce sont deux mutations initiées en parallèle. D’un côté, la gouver- nance globale de l’entreprise est de plus en plus remise en question par de nombreux facteurs, parmi lesquels de nouvelles formes de concurrence et des changements majeurs de business models, mais également de nouveaux modes de travail, de nouveaux outils, des rapports hiérarchiques différents, etc. De l’autre, la fonction « cyber- sécurité » change également en « La cybersécurité prend sa place au cœur de la nouvelle gouvernance des entreprises » Interview d’Olivier Ligneul, vice-président du CESIN - CTO group chief information security officer d’EDF Pratiques
  7. 7. 7Guidede la cybersécurité ganisation, avoir une démarche proactive et penser la sécurité comme un élément à part entière de la stratégie business. Et cet état d’esprit fonctionne : en 2016, le RSSI n’est plus celui qui déjeune en solitaire à la cantine ! Du côté des dirigeants, il y a clai- rement eu une prise de conscience généralisée de l’importance de la menace et de la nécessité à prendre le sujet en main. C’est la modèle type que l’on pourrait copier-coller. Par contre, nous avons assisté ces dernières années à des prises de conscience paral- lèles, qui se répondent. Les RSSI ont su prendre de plus en plus de recul. Ils ont conscience qu’ils ne peuvent plus se conten- ter d’être des ultra-spécialistes qui vont gérer les règles du pare-feu de l’entreprise. Ils savent qu’ils doivent se mêler au reste de l’or- Olivier Ligneul vice-président du CESIN - CTO group chief information security officer d’EDF « Les RSSI ne peuvent plus se contenter d’être les ultra- spécialistes qui gèrent les règles des pare-feux de l’entreprise »
  8. 8. 8 Guidede la cybersécurité à fait important pour le dirigeant. Il s’agit là de son comportement personnel, mais également, plus largement du fait que l’entreprise applique des règles uniformes pour tous et à tous les niveaux de la structure. Mais la montée en puissance d’une culture de la sécurité au sein de l’entreprise, et notamment au sein du top management, ne se fera seu- lement si on assiste en parallèle à l’affirmation d’une culture du chan- gement du côté des acteurs cyber, et du RSSI au premier rang d’entre eux. Cette culture du changement doit s’emparer des nombreux nouveaux usages amenés par la transformation numérique, de la complexité du rapport entre vie privée et vie professionnelle, des enjeux de liberté personnelle des collaborateurs, mais également de productivité... Internet l’a prouvé depuis 20 ans, les gains apportés par ces nouveaux usages sont supérieurs aux craintes que l’on peut avoir… à condition d’être prêt à avoir une vision de la sécurité dynamique, qui ne reste pas figée dans ses anciens credos. Entre contrôle centralisé et responsabili- sation totale des individus, il existe un équilibre à acquérir. Prenons l’image du Président des Etats-Unis : après des siècles d’ajustement, celui-ci n’a jamais été autant protégé qu’aujourd’hui et pourtant aucun président n’a jamais été autant communicant. Quand il se déplace, il est dans un véhicule avec un tel niveau de blindage, qu’il est complètement coupé du monde autour de lui… tout en restant ultra-connecté avec un niveau de services et de capacité à agir sans concession. Au-delà du caractère exception- nel de ce que représente son rôle, c’est bien cette philosophie-là qui doit présider à une gouvernance moderne de la sécurité.  consacre à la sécurité n’est pas toujours visible de prime abord. Mais il en va de même pour de nombreux sujets, il ne faut pas en faire un blocage psychologique. Par nature, le métier du dirigeant est de piloter l’entreprise pour la faire croître, pour respecter ses valeurs, en faisant des choix qui ne sont pas toujours faciles, le tout dans un environnement incertain. L’important est donc de tracer le chemin entre la réalité actuelle du niveau de sécurité de son entre- prise et un niveau cible idéal. Entre les deux, c’est une progression maîtrisée qu’il faut lancer. Comment ? L’un des principes qui pourra le plus venir en aide à un dirigeant est - cela peut paraître paradoxal - sa capacité à lâcher-prise. Cela revient à prendre en compte que l’on ne pourra jamais tout protéger parfaitement. Il faut donc choisir et souvent, renoncer. C’est là que la relation avec le RSSI révèle toute son importance : c’est le rôle de ce dernier de mettre en lumière ce qui est le niveau de protection minimum – pour tous - sous lequel l’entreprise ne peut pas descendre. A partir de cet essentiel, il sera plus simple de définir quels efforts et quels moyens complémentaires on pourra consacrer aux sujets que les dirigeants jugeront priori- taires. Qu’en est-il de l’influence du dirigeant sur l’émergence d’une « culture de la cybersécurité » au sein de son entreprise ? La priorité est d’éviter une approche de technicien, de pres- cripteur de la « bonne culture sécurité », qui s’avère très domma- geable. A l’inverse, il y a des fon- damentaux à rappeler, encore et encore. Le premier d’entre eux est l’exemplarité. C’est un point tout première étape pour voir ensuite les comportements évoluer et le sujet de la cybersécurité intégrer à part entière la nouvelle gouver- nance de l’entreprise. En évoluant de concert, ces deux mondes ont commencé à échanger de plus en plus limpidement. Je pense qu’aujourd’hui, les RSSI parlent beaucoup plus aux directions générales qu’il y a de cela quelques mois. C’est un changement majeur pour les métiers de la cybersécu- rité, qui les rapprochent égale- ment d’autres acteurs aux respon- sabilités transversales comme le directeur des risques ou celui de la sécurité (physique, ndlr). Ces évolutions n’empêchent pas beaucoup de dirigeants d’avoir l’impression que le sujet de la cybersécurité est extraordinai- rement large et complexe… et que prendre les bonnes décisions est un véritable défi. Comment peuvent-ils s’assurer d’aller dans le bon sens ? Il est certain que le champ des pos- sibles est énorme. Le nombre de scénarii envisageables pour une cyberattaque ne se situe tout sim- plement pas dans un environne- ment « fini ». Intellectuellement, il est donc très difficile de prendre la mesure de ce qui est en train de se passer, de ce que cela représente pour son entreprise, et surtout, de ce que l’on peut faire pour assurer au mieux sa sécurité. C’est d’autant plus difficile qu’en face, les atta- quants sont connus pour savoir s’adapter en permanence. Les variables sont donc nombreuses et on ne les maîtrise pas. C’est une zone d’inconfort absolue  : le risque fait peur, la question de la confiance que l’on peut accorder aux très nombreux « sachants » – internes ou externes – se pose clai- rement… et l’efficacité des moyens humains et financiers que l’on
  9. 9. 9Guidede la cybersécurité Retour sur une année de cyberattaques Pratiques Stuxnet, TV5Monde, Target… Certains noms résonnent encore au cœur des discussions entre spécialistes de la cybersécurité. Au-delà de la ten- tation qu’ont pu avoir certains offreurs de techno- logie de renforcer un « marketing de la peur » en surfant sur la médiatisation croissante des menaces, cette dernière a également contribué à renforcer la maturité de nombreuses organisations sur un sujet qu’elles laissaient auparavant de côté. Une montée en maturité qui sera sans doute encore aiguillée par les nouvelles attaques qui ne manqueront pas de faire la « Une ». Tour d’horizon de quelques évènements qui ont d’ores et déjà fait de 2016 une année cyber mou- vementée. Black-out en Ukraine Les tous derniers jours de l’année 2015 ont donné le ton : plusieurs centaines de milliers d’Ukrainiens ont été plongés dans l’obscurité pendant les fêtes, alors que le réseau électrique du pays était victime d’une série de cyberattaques coordonnées. C’est le cheval de Troie fort à propos nommé Black Energy, déjà connu, qui a été le vecteur principal de cette agression. Celle-ci a souligné une nouvelle fois les liens à risques qui s’éta- blissent de plus en plus entre systèmes industriels et systèmes informatiques de gestion, offrant de nom- breuses opportunités pour les criminels. Casse du siècle au Bangladesh Le 4 février 2016, la Banque Centrale du Bangladesh est victime d’un hold-up d’un genre nouveau, basé sur une approche sophistiquée : une forte expertise technique, associée à une excellente connaissance des usages de la banque, permettent aux attaquants de subtiliser 81  millions de dollars en ciblant l’inter- face entre l’institution et le réseau d’échange inter- bancaire SWIFT. Dans la foulée, la banque empêche 850 millions de dollars supplémentaires d’être détour- nés. Jusqu’alors, SWIFT était considéré comme un système parfaitement sûr. Aux Etats-Unis, le piratage s’invite au cœur de la campagne présidentielle La multiplication des cyberattaques rythme les actua- lités de la campagne à couteaux tirés qui se joue entre Hillary Clinton et Donald Trump, mettant les sujets de la cybersécurité, de la responsabilité des individus et de la cyber-souveraineté au centre des débats. Coup sur coup, le public américain a ainsi pu voir des dizaines de milliers d’emails du DNC (Comité National Démocrate) être piratés, une tentative d’attaque sur les bases de données électorales ou encore la mise sur le marché par un groupe de hackers d’outils informatiques prove- nant de la NSA. Les cyberattaques se banalisent ainsi aux côtés des autres thèmes de la campagne comme l’immigration ou la lutte contre le terrorisme. Qu’en sera-t-il en France ? Des cas de « Retour vers le Futur » Des attaques ayant déjà eu lieu il y a plusieurs années peuvent avoir des conséquences bien réelles sur le présent. En septembre 2016, Yahoo – en pleine opé- ration de rachat par l’opérateur télécom Verizon – publie une alerte sur le fait que les informations (noms, adresses email, téléphones, mots de passe) concer- nant 500 millions de ses utilisateurs lui ont été volées en 2014. Peu de temps avant, c’était Dropbox, la pla- teforme de stockage et d’échange de documents en ligne, qui a reconnu que 68 millions de ses utilisateurs s’étaient fait dérober leurs informations… en 2012. Bien que la valeur des données mises en vente sur Internet décroisse rapidement avec le temps, il n’est pas rare de voir circuler ainsi de nombreuses années plus tard le « butin » de pirates. En cause notamment, le temps mis par les entreprises pour se rendre compte qu’elles ont été compromises : il dépasse encore les 200 jours en moyenne.
  10. 10. 10 Guidede la cybersécurité aventure, avait décidé d’organiser de manière beaucoup plus efficace son système de sauvegarde. Avec son habituel prestataire informatique, elle s’était donc équipée d’une solution proposée par l’éditeur français Wooxoo. Ce parti-pris lui permettra lors de l’incident de reprendre son activité en 36h. A défaut d’avoir les moyens de mettre en place une protection digne des plus grands, la TPE a donc fait le choix de la résilience. Une décision de bon sens, alors que les entreprises de taille modeste ne peuvent tout simplement pas avoir une personne en charge de la sécurité à plein temps. La Fédération Française de Tennis construit sa stratégie Pas de responsable de la sécurité du système d’information non plus du côté de la Fédération Français de Tennis (FFT). Le directeur technique au sein de la DSI, Franck Labat se pose bien la question, mais n’a pas franchi le pas  : «  En tant que fédération sportive, notre cœur de métier est loin d’être l’informatique… et pendant longtemps nous ne nous sommes pas posés la question d’une «  stratégie de sécurité  ». Mais le quotidien des entraîneurs, arbitres, gérants de club… laisse aujourd’hui une place de plus en plus importante aux outils collaboratifs et numériques. Cela change tout ». La TPE renforce sa résilience face aux ransomware Le cas est représentatif de la prise de conscience qu’ont de plus en plus de dirigeants : si certaines affaires « cyber » parmi les plus médiatisées, espionnage, sabotage,détournementdefonds… sont le fruit d’attaques complexes et de technologies perfectionnées, tout un pan de l’économie est touché par une cybercriminalité beaucoup moins élitiste mais pas moins dommageable. TPE et PME, en pleine transformation numérique, se retrouvent au centre de la tempête. Contrairement aux deux tiers des entreprises de toutes tailles confrontées à un problème de ransomware, le Cabinet BME a donc choisi de ne pas payer la rançon demandée. Du fait de la criticité des données prises en otage ou parfois en évaluant que le montant réclamé par leurs agresseurs est relativement faible (le montant moyen des rançons s’évaluent à environ 722 dollars, d’après une étude menée par l’éditeur japonais Trend Micro), beaucoup choisissent encore de céder. Les études spécialisées soulignent cependant que malgré une professionnalisation croissante des cybercriminels, le fait de traiter avec eux n’assure en rien de débloquer son système. De son côté, Véronique Brosseau, après une précédente més- Quelle que soit leur taille, toutes les organisations sont concer- nées par des problématiques de cybersécurité. Le numérique fait en effet aujourd’hui partie intégrante de leur activité, même si l’informatique n’est pas considérée comme leur cœur de métier et les entreprises tentent de faire les meilleurs choix pour faire face aux menaces. Trois d’entre elles décrivent leurs expériences. «  A aucun moment, nous nous sommes dit que nous allions payer la rançon demandée !  » Véronique Brosseau, directrice du Cabinet BME est catégorique. Son entreprise,uneTPEde4personnes spécialisée dans le secteur de la construction de bâtiments, a été ciblée durant l’été 2016 par un ransomware qui a bloqué tout son système informatique. Après 20 ans d’existence, l’entreprise était finalement confrontée à une cyberattaque qui, dans la perception de sa dirigeante, ne la concernait tout simplement pas. « Nous avions bien entendu parler du sujet mais nous avions regardé de loin la médiatisation autour des attaques informatiques. Avec du recul, évidemment, je me dis que le problème n’avait rien à voir avec la taille de notre activité et que nous avons été pris dans quelque chose de plus large, qui ne nous visait pas spécifiquement  » témoigne-t-elle. Prise de conscience et montée en puissance cyber : les entreprises témoignent Pratiques
  11. 11. 11Guidede la cybersécurité en 2017, une montée en puissance généralisée pour augmenter le niveau global de sécurité. De quoi montrer des gains immédiats aux dirigeants, pour les convaincre de l’utilité de la démarche. Implication des instances diri- geantes En la matière, la FFT travaille par exemple avec l’éditeur américain Varonis pour optimiser la gestion et le contrôle des accès à ses données. Le directeur technique explique  : « A l’occasion d’un tournoi comme Roland-Garros, nos effectifs augmentent considérablement et nous devions mieux gérer ces accès saisonniers à nos données, La FFT a donc été confrontée ces derniers mois à une situation que connaissent de plus en plus d’entreprises de taille moyenne : par où commencer pour renforcer sa sécurité ? Et comment couvrir les spécificités de son activité avec des budgets raisonnables  ? «  Le DSI a poussé le sujet au niveau de la direction. Le point de départ a été la conviction qu’il fallait agir. Ensuite, nous avons mené un audit pour, disons le crûment, « secouer le cocotier » et montrer les limites de notre fonctionnement actuel » raconte Franck Labat. A partir de là,lafédérationadûfairedeschoix. En 2016, les réponses tactiques sur les sujets urgents  ; plus tard, tout en en profitant pour acquérir une bien meilleure visibilité sur nos infrastructures, nos usages en tant qu’organisation et ceux de nos collaborateurs, souvent isolés. » Pour monter encore en puissance, la fédération va entamer une politique de communication intensive à l’intention de tous ses collaborateurs. «  Nous savons pertinemment que c’est le maillon le plus faible qui fait casser toute la chaîne de la sécurité. C’est le niveau minimum que nous devons augmenter, en introduisant une hygiène informatique de base et une première approche de la philosophie de la sécurité ». Pour La FFT a pris en main sa stratégie de cybersécurité - CC BY 2.0 Chris Eason
  12. 12. 12 Guidede la cybersécurité « Nous n’avons pas mis cette solu- tion en place pour apporter une réponse immédiate à un problème déjà identifié, comme c’est sou- vent le cas en matière de cybersé- curité » note Frédéric Carricaburu. « Nous sommes dans l’analyse de plus long terme. On est parti du principe que nous étions déjà sans doute compromis d’une façon ou d’une autre. Nous avons donc commencé par une détection de presque tous les évènements, pour ensuite réduire progressivement la sensibilité des alertes  ». Progres- sivement, l’apprentissage auto- matique reconnaît quels sont les « usages » normaux de l’entreprise et identifie les anomalies, signes potentiels d’une attaque. Mais une solution logicielle, aussi bien conçue soit-elle, ne fait pas tout. Le DSI du Groupe SFA entend par ailleurs continuer à augmenter la sensibilité de toutes les parties prenantes de l’entreprise à la diversité des menaces : « Sans se laisser bloquer par la peur, il ne faut pas que l’on puisse se dire que les cyberattaques n’arrivent qu’aux autres. Nous allons donc continuer à sensibiliser, grâce à des moyens innovants comme des serious games, notamment dans nos usines. Et auprès de nos directeurs également, en attirant plus que jamais l’attention sur les risques d’arnaque au président par exemple  ». Une nouvelle fois, le rôle du dirigeant est mis en avant : même dans les plus grandes organisations, il suffit ainsi que l’un d’entre eux soit conscient des enjeux et convaincu qu’il lui faut agir, pour pouvoir rapidement faire naître ces mêmes convictions chez ses pairs.  investissements déjà réalisés. «  Quand on a déjà beaucoup de choses en place, se pose évidemment la question des choix qui seront vraiment utiles pour étendre le niveau de sécurité  !  Il ne s’agit plus, contrairement à ce qui pouvait se faire il y a 10 ans, de choisir un énième pare-feu… » témoigne le DSI. D’autant plus que l’entreprise est confrontée à deux dynamiques qui se croisent. D’un côté, le périmètre de son système d’information s’étend et s’ouvre de plus en plus sur son écosystème. De l’autre, il n’est plus envisageable de bloquer les usages variés des utilisateurs. «  A force de vouloir mettre de la sécurité partout, cela devient rapidement ingérable, on se retrouve avec un chaos contreproductif  » insiste Frédéric Carricaburu, pour qui comprendre finement ce qui se passe sur les systèmes et se positionner dans une analyse proactive est la bonne réponse quand une entreprise commence à avoir un niveau de maturité respectable. L’analyse de long terme pour mieux « se comprendre » Avec DarkTrace, une start-up britannique fondée en 2013 par des anciens de l’univers du ren- seignement et des chercheurs en mathématique, le groupe SFA s’est donc mis à observer l’ensemble de son système en temps réel. L’ap- proche de la jeune entreprise, qui a levé 65 millions de dollars durant l’été et se revendique du système immunitaire humain, s’appuie sur du machine learning et des mathé- matiques bayésiennes pour affiner en permanence la compréhension de ce qui se passe dans l’écosys- tème numérique de l’entreprise. ce faire, c’est un travail étroit avec les dirigeants qui est mené, afin que tout le management montre l’exemple sur les comportements du quotidien  : verrouillage des téléphones mobiles, secret autour des mots de passe, liens permanents avec le département des ressources humaines… «  La direction générale est impliquée de A à Z. C’est essentiel pour assurer une continuité de la sécurité, du point de vue global jusqu’au système d’information lui-même » remarque Franck Labat. «  Pour le reste, il faut trouver le bon équilibre… si je voulais vraiment toute la sécurité du monde, je couperais tous les accès à Internet et j’interdirais Facebook. Et je me retrouverais au chômage le lendemain » plaisante-t-il. Le Groupe SFA veut s’améliorer en permanence L’engagement de la direction est également une constante pour le Groupe SFA. Comptant plus de 1000 salariés, 3 sites de production français et 25 filiales de distribution au niveau monde, cette entreprise industrielle est une ETI qui grandit encore et encore. Elle est également adossée à un groupe de presse avec des publications aussi connues que Challenges ou Sciences et Avenir. Frédéric Carricaburu, son DSI, explique que le sujet de la cybersécurité a toujours été sensible, afin d’assurer la protection des secrets industriels, des brevets, mais aussi des sources des journalistes. Depuis plusieurs années, c’est le directeur général adjoint en charge des aspects informatiques qui s’est fait le vecteur du changement, en poussant le comité de direction à ne pas se reposer sur les
  13. 13. 13Guidede la cybersécurité en ayant emprunté préalablement l’identité d’une de ses connais- sances. Depuis un peu plus d’un an, les entreprises ont notamment été confrontées à la montée en puis- sance notable des ransomware, qui rendent inaccessibles un système en le chiffrant, après qu’un utilisateur ait ouvert une pièce-jointe infectée. Ces prises d’otage numériques ont tout sim- plement explosé. Le phishing, qui renvoie à partir d’une url, à l’allure tout aussi officielle que l’email qui la contient, vers une page web contrefaite, afin de subtiliser des informations personnelles, est également en forte progression. Ces emails n’ont, par ailleurs, pas cessé de voir leur qualité et donc leur efficacité augmenter. En visant n’importe quel colla- borateur dans l’entreprise, ces menaces sont devenues parmi les plus visibles au sein des écosys- tèmes professionnels.  Pour les autres, le même rapport évoque que 93% des compromis- sions de données se déroulent en quelques minutes à peine et que la grande majorité des entreprises seront avant tout confrontées aux deux ou trois types de menaces qui visent leur secteur d’activité en particulier. Ainsi, dans le secteur du divertis- sement, les incidents sont presque exclusivement concentrés sur des attaques par deni de services (ddos), alors que dans celui de la santé ce sont les vols et pertes de terminaux physiques, les utilisa- tions abusives d’accès en interne et des erreurs non-intentionnelles du personnel qui représentent les trois-quarts des problèmes. Dans le commerce de détail, les attaques ddos, celles sur des applications web et les intrusions de points de vente/paiement représentent 9 incidents sur 10. Autrement dit, chaque activité peut déjà identi- fier assez facilement ses propres démons. Des emails au potentiel destruc- teur Toutes catégories confondues, l’email reste cependant l’un des points d’entrée privilégiés dans l’entreprise, que ce soit de manière indéterminée à travers des cam- pagnes qui toucheront au hasard des millions de personnes, ou au contraire de façon extrêmement ciblée, en s’adressant spécifique- ment à un individu, généralement Le mélange entre capacités tech- nologiques et ingénierie sociale rend la variété des attaques pos- sibles sur une entreprise presque sans limite. Retour sur certaines des fragilités les plus courantes dans les organisations. Les points d’entrée dans les systèmes de l’entreprise et la nature informatique des menaces ne sont qu’une partie de l’équation que doivent prendre en compte les responsables dans les organi- sations pour acquérir la vision la plus complète de leur cybersécu- rité. Autrement dit, la notion de cyberattaque est plus large que de mettre face à face une technologie malicieuse et une conséquence malheureuse sur le système d’in- formation : entre les deux, des hommes, des usages, des erreurs, des combinaisons de menaces et de problèmes, contribuent à faire de la protection de l’entreprise un sujet à la fois transversal et loin d’être simpliste. Trois modèles pour une majorité de menaces Ceci étant dit, les attaques les plus insidieuses et complexes, dites « APT » pour Advanced Persistent Threat, ne représenteraient que 0,4% de la totalité des opérations malicieuses, selon le Data Breach Investigation Report 2016 mené par Verizon. Ce « grand espion- nage » vise en priorité les grandes entreprises et notamment les Opérateurs d’Importance Vitale. Vecteurs d’attaques : que surveiller en priorité ? Zoom
  14. 14. 14 Guidede la cybersécurité ESET Pour répondre aux obligations de sécurité des données, utilisez la solution Deslock+ qui permet de chiffrer l’ensemble des supports de stockage, fichiers et emails. Pour protéger les postes et serveurs contre les intrusions, ESET propose ESA, une solution d’authentification à double facteur basée sur l’utilisation de mots de passe à usage unique. Fort de ses investissements dans l’amélioration de sa gamme de produits, ESET a repensé son offre DLP dans le but de la rendre plus accessible. ESET accompagne les entreprises dans leurs démarches de sécurisation IT, autant dans l’appropriation des textes et de leurs contraintes que dans la mise en place de solutions ou de services. Lors des Assises, retrouvez Maître Iteanu sur le stand ESET (N°102) le 06 octobre à 12h pour échanger autour des enjeux du RGPD. législation, les données personnelles sont à manier avec précaution. Des formations pour adopter les bons gestes et respecter les mesures de sécurité sont donc nécessaires. Devant l’ampleur de la tâche, toutes les entreprises doivent anticiper et mettre en œuvre les premières étapes nécessaires à l’application du RGPD.  prendre l’intérêt du texte et connaître toutes les mesures qui per- mettent d’être en conformité avec le RGPD. En cela, consulter un expert juridique tel qu’un avocat est indis- pensable. Il fera titre de conseiller pour accompagner l’entreprise dans l’application et le respect des lois. Les causes de la perte de données en entreprise sont multiples : défail- lance technique, ouverture d’un email vérolé et infection du poste de travail, salarié malveillant ou impru- dent, perte d’un appareil... Les DSI devront alors mettre en place trois mesures de protection pour prévenir ces risques. Outils et recommandations pour une mise en œuvre en toute sécurité Dans un premier temps, le chiffre- ment de l’ensemble des supports de stockage est une première étape pour sécuriser les données sans pour autant perturber le travail collaboratif. Il convient ensuite de renforcer l’accès et le contrôle aux informations et systèmes par une authentification forte, afin de palier la faiblesse des mots de passe (inter- ception ou force brute) et de vérifier l’identité de l’utilisateur (authentifi- cation). Enfin, une solution DLP (Data Loss Prevention) permet de minimi- ser les risques de perte ou fuite de données dus à une erreur humaine puisque cette technique identifie les données sensibles et empêche leur exfiltration. Ces mesures doivent s’accompagner d’un processus de conduite de changement. Il est important de responsabiliser tous les collaborateurs car au-delà de la Un travail titanesque attend les directions générales qui ont 1 an pour se mettre en conformité avec la loi : tour d’horizon des étapes à suivre avec ESET. Réaliser une cartographie des données Les données, aussi diverses soient- elles, renferment des informations au degré de sensibilité différent. C’est pourquoi le CDO doit les recenser avant de débuter la mise en conformité. A partir de là, pour chaque collaborateur, le CDO doit mettre en évidence une cartogra- phie de leurs données et de leurs accès. Après les avoir qualifiés, il faudra attribuer un niveau de sensi- bilité pour chaque information et les prioriser. Cette étape, longue et fas- tidieuse, est néanmoins essentielle car elle permet au CDO de s’appro- prier les données afin de les trans- mettre à une entité juridique qui les confrontera à la règlementation. Un accompagnement juridique nécessaire Il y a une différence entre com- RGPD, une mise en conformité qui n’attend pas Benoit Grunemwald directeur commercial et marketing d’ESET France Conseils
  15. 15. 15Guidede la cybersécurité Les exigences des arrêtés sectoriels vont se traduire par des investissements importants car à travers le déploie- ment de leur PSSI, les opérateurs vont devoir former leur personnel, analyser les risques et les impacts, installer des sondes de détection et des dispositifs de filtrage voire modifier en profondeur les architectures réseaux… Tandis que le monde de l’IT est déjà organisé pour gérer ces contraintes, le secteur indus- triel part de très loin et les compétences en cybersécurité y sont rares. Pour accompagner ses clients dans leur démarche de sécurisation, Schneider Electric propose un ensemble completdeproduits,solutionsetservices dédiés à la cybersécurité industrielle, de l’analyse des risques au maintien en condition de sécurité, en passant par la formation des utilisateurs. Les équipes d’experts Schneider Electric maîtrisent la triple compétence (SCADA, réseaux, sécurité) nécessaire pour réussir le pari de la cybersécurité industrielle.  Le respect de ces conditions est obliga- toire par tout opérateur lors de l’élabo- ration de sa politique de sécurité de ses systèmes d’information. Les 4 points clés des arrêtés sectoriels : • Identifier les systèmes d’informa- tion d’importance vitale SIIV, analyse d’impacts Tout opérateur concerné doit mener une analyse d’impacts sur ses systèmes d’information afin de déterminer leur cri- ticité. L’operateur communique à l’ANSSI la liste de ses systèmes d’information d’importance vitale. • Déclarer les incidents de sécurité L’opérateur a pour obligation de commu- niquer à l’ANSSI les incidents de sécurité sur ses systèmes critiques ce qui implique la mise en œuvre de moyens de détection, souvent inexistants sur les architectures industrielles, et leur exploi- tation par des équipes dédiées. • Procéder à l’homologation de sécurité L’homologation a pour objectif de démontrer que les risques liés aux SIIV sont maitrisés. La procédure d’homolo- gation portera sur l’analyse des risques, leur réduction à l’aide de mesures de sécurité organisationnelles et tech- niques, la justification de l’acceptation des risques résiduels, et l’audit de la sécurité du SIIV effectué par l’opérateur lui-même ou par un prestataire qualifié. • Maintenir le niveau de sécurité Tout au long du cycle de vie du SIIV, le maintien en condition de sécurité doit prendre en compte la veille de vulnérabilité des dispositifs utilisés, la maintenance du système, la gestion de crise, le traitement des alertes, la formation des acteurs... Le projet gouvernemental Industrie du Futur, initié en avril 2015, vise à moderniser l’outil industriel français et à transformer son modèle écono- mique par le numérique. L’usine devient digitale, les frontières physiques s’effacent et les systèmes deviennent hyper connectés. Or, le parc industriel installé est encore bien souvent équipé de systèmes conçus à une époque où la sécurité était moindre, avec une maintenance sous- estimant parfois les conséquences d’une cyberattaque. Ajoutons à cela l’intérêt croissant des hackers pour les systèmes industriels, les conséquences dramatiques d’une attaque sur un SCADA et nous obtenons la recette d’un cocktail explosif. A travers la publication des arrêtés sec- toriels relatifs à la loi de programmation militaire 2014-2019, la France s’appuie sur la réglementation pour mettre en place un dispositif de cybersécurité cohérent pour ses infrastructures critiques. • Les premiers arrêtés, publiés en juillet 2016, portent sur les secteurs de la gestion de l’eau, l’alimentation et les produits de santé. Les suivants, publiés en Août 2016, concernent les secteurs des Transports terrestre, maritime, fluvial et aérien et de l’Approvision- nement en énergie électrique, en gaz naturel et en hydrocarbures pétroliers. • Fin 2016, la législation s’étendra aux autres secteurs d’Opérateurs d’Impor- tance Vitale. Ces arrêtés sectoriels détaillent les règles relatives à la sécurité des systèmes d’information des OIV selon 2 types d’exigences : organisationnelles et techniques ainsi que les délais de mise en application. Cybersécuritédessystèmesindustriels, publicationdesarrêtéssectorielsen2016 Conseils Marc Fromager VP process automation global operations de Schneider Electric « Implanté historiquement sur les sites industriels français, Schneider Electric conçoit des produits con- formes aux exigences de cyber- sécurité nationales et internatio- nales et déploie des services en cybersécurité industrielle, domaine dans lequel la France est un pays pilote pour le groupe. »
  16. 16. 16 Guidede la cybersécurité SYMANTEC Symantec™ Advanced Threat Pro- tection (ATP) permet aux entreprises clientes de : • déceler une gamme complète de menaces sur les postes de travail, les réseaux et la messagerie, avec détec- tion croisée sur les points de contrôle et recherche environnementale • hiérarchiser les menaces en cor- rélant les renseignements collectés sur l’ensemble des points de contrôle locaux avec les informations mon- diales recueillies par Symantec via sa télémétrie étendue • remédier rapidement aux menaces en isolant les terminaux et en bloquant leurs nouvelles instances sur tous les points de contrôle, le tout en un seul clic à partir d’une console centralisée • tirer parti des investissements déjà réalisés avec Symantec. de chiffrement pour éviter l’exfiltration de données confidentielles lors d’éven- tuelles attaques. Cette approche complète et innovante de la protection contre les menaces ciblées entend répondre aux défis actuels et futurs de la cyber-sécu- rité. Elle est d’autant plus nécessaire qu’entreront en vigueur en 2018, dans le cadre du GDPR, de nouvelles obliga- tions drastiques en termes de sécurité et de compliance.  sur l’ensemble des points de contrôle, sans compromettre leur performance. La nécessité d’une sécurité intelli- gente Le caractère innovant de cette straté- giecommenceparlemachinelearning. Celui-ci doit dépasser une approche comportementale en local classique, pour intégrer l’ensemble des infor- mations sur les menaces, notées sur une base installée étendue et sur un réseau de surveillance des menaces puissant, via le cloud. Plus le nombre de fichiers, d’url et de comportements consignés est élevé, plus la détection sera rapide et pertinente. Il faut éga- lement procéder à la corrélation des informations issues de l’ensemble des points de contrôle de l’entreprise, qu’il s’agisse des postes de travail, des emails ou des passerelles, avec celles observées dans le monde entier. C’est là que les dernières capacités d’ana- lyse du Big Data de sécurité s’avèrent indispensables pour hiérarchiser les menaces et y remédier de manière adaptée. Cette réponse est d’autant plus pertinente si le responsable infor- matique a une visibilité globale à la fois des menaces et des points de contrôle potentiellement affectés. Ces capacités de détection et de pro- tection doivent inclure également la possibilité de contrôler et verrouiller partiellement ou intégralement les applications et les systèmes de l’en- treprise, là encore grâce à une vue globale et sans recherche manuelle, pour une gestion facilitée et plus effi- ciente. Enfin, si prévenir c’est égale- ment guérir, cette approche peut être complétée par une couche de préven- tion de pertes d’information (DLP) et Avec la multiplication des menaces ciblées et des cyber-risques en général, il ne s’agit plus de savoir si, mais quand l’attaque aura lieu. Les détecter, s’en protéger et y remédier nécessite une approche réellement innovante et complète, dont les éléments phares sont un machine learning évolué et un Big Data ana- lysable et analysé. Le constat Le dernier rapport sur les cyber- menaces de Symantec indique une évolution constante et croissante de celles-ci : plus d’un million de nouveaux malwares créés chaque jour, hausse de 260% des ransom- wares en France, professionnalisation des cybercriminels et multiplication des vols massifs de données au niveau mondial dressent un panorama certes sombre, mais réaliste et surtout visible du sujet. Ce que l’on voit moins, ce sont les attaques ciblées, dont les campagnes sont toujours plus nombreuses et plus précises, uti- lisant notamment les vulnérabilités zero-days qui ont, elles aussi, plus que doublé l’an passé. Pour se protéger contre la multipli- cité des vecteurs attaques, recourir aux méthodes traditionnelles isolant chaque point de contrôle, unique- ment périmétriques, sans intelli- gence ni analyse, ne suffit plus. La protection passe nécessairement par une approche à la fois innovante et holistique, qui intègre, via un machine learning évolué, le blocage proactif des menaces avancées et des attaques zero-days, utilise le Big Data pour apporter une meilleure visi- bilité en temps réel, détecte, remédie Conjuguer Big Data et machine learning pour faire face aux attaques Laurent Lecroq directeur général de Symantec France Conseils
  17. 17. 17Guidede la cybersécurité doivent faire gagner du temps, pour que l’administrateur puisse se concentrer sur ce qui est essentiel. L’intégration des technologies dans des solutions complètes est égale- ment un gage de simplicité et rend accessible des fonctions de protec- tion avancées, réservées sinon aux seuls grands comptes. Elle permet également de gagner du temps et réduire les coûts, ce qui libère les ressources du Service Informatique pour de nouveaux projets. En matière de sécurité, la simplicité est une vertu cardinale.  sécurité sont bien déployés partout, bloquer les applications indésirables à l’origine de failles de sécurité, mettre en place des accès WiFi sécurisés, tester que les réseaux, les serveurs Web et la messagerie disposent de protections à l’état de l’art et garantir la confidentialité des données sensibles avec la mise en place de chiffrement. Pourtant, la sécurité est souvent négligée car perçue comme secondaire. Le dirigeant peut et doit demander à ses Services Informatiques la mise en place d’une protection étendue, mais surtout des comptes réguliers sur la bonne application de la poli- tique de sécurité. Ceci est particu- lièrement important alors qu’un nouveau cadre juridique se met en place, avec par exemple le nouveau règlement européen sur la protec- tion des données (GDPR). Sécurité complète et simplicité Devant la complexité et l’ampleur de la tâche, le manque de ressources et de temps est souvent à l’origine de défauts de conformité, sources d’intrusions. Beaucoup d’organisa- tions n’ont qu’une seule personne en charge de la sécurité informatique, souvent aussi responsable de toute l’informatique interne. Même dans des structures disposant d’équipes sécurité conséquentes, nombre de fonctionnalités de sécurité avancées ne sont pas déployées car jugées trop complexes. En matière de sécurité, la simplicité est donc essentielle. Les interfaces d’administration doivent simplifier les tâches de gestion pour éviter les erreurs de configuration. Elles La vague d’attaques par ransom- ware de ce début d’année, qui a causé perturbations et pertes de données dans des infrastructures critiques telles que des centres hospitaliers, a mis sur le devant de la scène l’importance de la sécurité à l’ère de l’économie digitale. Anti- ransomware, anti-exploit des failles de sécurité, sandboxing … les innovations ne manquent pas pour répondre à ces attaques. Mais au-delà des réponses techniques apportées par des acteurs tels que Sophos, la sécurité n’est pas seu- lement une affaire de spécialistes et de technologies. Le dirigeant a aussi un rôle à jouer. Culture de la sécurité Le principal risque en matière de sécurité se situe entre la chaise et le clavier, dans les comportements des utilisateurs. Par son soutien actif et affirmé à la promotion d’une culture de la sécurité au sein de son entre- prise, le dirigeant joue un rôle capital dans la réduction de ce risque. Ceci passe par des actions de sensibili- sation, des formations aux bonnes pratiques et une évaluation continue et répétée des collaborateurs face à des simulations d’attaques. Bonne gouvernance et conformité La plupart des attaques réussies auraient pu être évitées par une bonne gouvernance en matière de sécurité informatique. Il faut s’assu- rer que tous les systèmes disposent d’une protection complète et à jour, y compris les postes Mac, les mobiles, les tablettes et les serveurs, vérifier que les derniers correctifs de Répondre aux menaces modernes, telles que les attaques par ransomware Conseils Michel Lanaspèze directeur marketing Europe de l’Ouest de Sophos SOPHOS Sophos est un des rares éditeurs majeurs de la sécurité informatique originaire de l’Union Européenne, avec une expertise étendue aussi bien de la protection de systèmes, que des données et des réseaux: Sophos est ainsi le seul éditeur leader dans les trois Quadrants Magiques Endpoint Protection Platforms, Mobile Data Protection et UTM du Gartner. Entièrement dédié à la sécurité des entreprises, nous démocratisons les technologies avancées de nouvelle génération déployées par nos plus grands clients pour les rendre accessibles aux ETI et aux PME, en portant un soin extrême à la simplicité.
  18. 18. 18 Guidede la cybersécurité ment rapidement une parade à une attaque impose aux fournisseurs de solutions de sécurité de concevoir des systèmes certes performants mais surtout dont la mise en œuvre est facilitée et dont l’utilisation est intuitive voire transparente (ce qui inclut des facilités d’intégration dans le SI existant). La sécurité des systèmes d’information est désor- mais indissociable de l’ergonomie des solutions qui le constituent. Or, il s’avère que le travail sur l’amé- lioration de l’ergonomie générale d’une solution de sécurité est for- tement générateur d’innovation, puisqu’il impacte potentiellement toutes les couches technologiques du système : fluidification des pro- cessus, amélioration des protocoles, évolutions et nouvelles normes de gestion des systèmes cryptogra- phiques, répartition des processus de calculs, conception de nouveaux hardwares dédiés, etc. Concevoir et proposer des solutions de sécurité performantes, toujours plus faciles à intégrer, à déployer et à utiliser, mais aussi extrêmement rapides à mettre en œuvre sont les challenges technologiques de demain.  au personnel à distance ou nomade, ainsi qu’aux divers équipements qu’ils utilisent – ordinateur, tablette, smartphone. La problématique du maintien en condition de sécurité du SI se démultiplie d’autant. Enfin, l’entreprise est désormais la cible d’attaques avérées qui vont de l’APT au déni de service, en passant par l’intelligence économique ou la fuite de données. Dans ce contexte, l’utilisateur au sens large – utilisateur final et admi- nistrateur du SI - revient au centre de la problématique de sécurité : pour l’utilisateur final, la sécurité ne peut plus être contraignante. Les mesures de sécurité contraignantes sont au mieux rejetées, au pire contournées. La sécurité du SI doit absolument aujourd’hui être la plus enfouie et la plus «indolore» possible. L’administrateur, quant à lui, doit pouvoir bénéficier de solutions de sécurité faciles à intégrer dans son infrastructure – y compris dans sa PKI le cas échéant – avec le moins d’adhérence possible ou les plus interopérables possible avec l’exis- tant, faciles à mettre en œuvre et à configurer, faciles à maintenir dans le temps, voire extrêmement rapides à mettre en œuvre dans le cas de réponse à des attaques subites. Il est nécessaire que les solutions de sécurité s’adaptent aux contraintes des utilisateurs et des responsables de l’administration du SI de l’entre- prise. Non l’inverse. Cybersécurité, ergonomie et inno- vation Le maintien en condition de sécurité ou la nécessité d’installer extrême- Après avoir concerné des techno- logies toujours plus complexes et plus performantes, la probléma- tique de la sécurité du Système d’Information se recentre désor- mais sur l’humain - l’utilisateur comme l’administrateur - tant il est vrai qu’une solution de sécurité aussi performante soit-elle ne protège rien si elle est mal mise en œuvre ou si elle est mal (ou pas) utilisée. Les deux dernières décennies ont vu apparaître et se perfectionner des solutions de sécurité de plus en plus performantes et sophisti- quées, qui ont repoussé les limites de la prévention active, du filtrage de contenu, d’analyse des données, de la gestion des identités ou du contrôle des accès. Pendant toutes ces années, le facteur humain était traité en second plan, au profit des avancées technologiques. Il revient au cœur de la problématique de sécurité du SI. Il est vrai qu’une solution de sécurité n’est efficace qu’à partir du moment où elle a été mise en œuvre et bien mise en œuvre – bien installée et bien configurée – et à partir du moment où elle est utilisée et bien utilisée. A contrario, la moindre complexité dans la mise en œuvre, le déploie- ment, la configuration ou dans l’uti- lisation d’une solution de sécurité diminue d’autant son efficacité. Par ailleurs, le SI de l’entreprise ne se limite plus aujourd’hui aux frontières physiques et humaines de l’entre- prise elle-même. Il s’étend désormais aux partenaires, aux fournisseurs, L’ergonomie d’une solution de sécurité détermine entièrement son efficacité Jérôme Chappe directeur général de TheGreenBow Conseils
  19. 19. 19Guidede la cybersécurité même. Les recommandations adressées aux employés peuvent porter sur le bon usage des réseaux sociaux (éviter de donnertropd’informationssursoiouson entreprise)carunorganigrammeenligne ou de simples échanges qui paraissent anodins permettent aux pirates de cibler les bonnes personnes en leur adres- sant un email frauduleux personnalisé. D’autres conseils de bon sens (prendre sontempspouranalyserlecontexted’un email) ou des bonnes pratiques peuvent être partagés: • N’ouvrir les pièces jointes suspectes (fichiers .zip, .xls ou .doc.) que si l’expédi- teur est confirmé. • Supprimer le message d’un expéditeur suspect inconnu sans y répondre. • Refuser de confirmer l’accusé de récep- tion dans le cas d’un expéditeur inconnu suspect. Cela risquerait de valider et diffuser l’adresse email de l’utilisateur à son insu. •Remonterlesspamauprèsdesonservice informatiqueafinqu’ilssoienttransmisaux prestataires chargés de la protection des messageries pour une prise en compte dans leurs technologies de filtrage. Enfin, pour les entreprises elles-mêmes, trois conseils s’imposent : opter pour des solutions de filtrage des emails simples pour les utilisateurs, disposer d’un système de sauvegarde pour être en mesure de restaurer les données et surtoutnepaspayerderançon!Eneffet, payer ne garantit en aucun cas la restitu- tion des données, et pire, cela entretient le business du ransomware.  par un phishing. L’email est donc le canal prioritaire utilisé par les cybercriminels pour piéger les entreprises dans le but de voler des données, ou d’extorquer de l’argent.Dansuneétude,Verizonestimait qu’il ne fallait pas plus de 80 secondes après le lancement d’une attaque de masse pour que les premiers clics sur le lien frauduleux n’interviennent, et que la moitié des victimes de phishing clique- raient sur le lien frauduleux moins d’une heure après le lancement de l’attaque. En d’autres termes, la faille humaine peut aller jusqu’à mettre en péril une entreprise. Alors que le nombre d’entre- prises victimes continue d’augmenter, il est temps d’accélérer la résistance pour ne plus tomber dans le piège. Une juste combinaison entre outils de protection et éducation des utilisa- teurs Pour mieux se protéger, l’éducation et la formation des utilisateurs sont complé- mentaires et indispensables. L’éducation doit permettre une prise de conscience des employés sur leur responsabilité en matière de protection des données de l’entreprise, et la formation permet de leur inculquer des règles de base qu’ils pourront alorss’appropriersimplement. Cette prise de conscience passe par l’organisation de réunions d’information régulièresetpardesformationsillustrées de cas concrets. Changer les habitudes prend du temps, l’exercice mené par le PMU l’an passé l’a démontré. Après avoir mené des campagnes de sensibili- sation sur le phishing, la société a lancé une vague d’emails malicieux en interne. Résultat:lapiècejointecontenantunvirus a été ouverte par 22 % des employés et 6 % ont donné leurs coordonnées per- sonnelles, soit 120 personnes tout de Dans la course à l’adaptation entre cybercriminels et spécia- listes de la sécurité, l’humain reste biensouventledernierrempartfaceaux attaques, à condition d’être préparé. Conscient de disposer d’un business fructueux, mais également de la durée devielimitéedesransomware,lescyber- criminels ont particulièrement travaillé cette année pour perfectionner leurs outils. D’un point de vue technique, les ransomware évoluent rapidement : en quelques mois, se sont succédés, Locky, Petya, ou encore Satana. Le mode de diffusion varie également : les cybercri- minels à l’origine du ransomware Cerber proposent à des pirates volontaires de le diffuser dans leur pays respectif moyen- nant une contrepartie financière. Et on parle à présent de plates-formes propo- santduRansomwareasaService(RaaS). Les éditeurs de solutions de sécurité tentent de suivre le rythme et sont capables aujourd’hui très rapidement, voire instantanément pour certains, de détecter les attaques grâce à un filtrage efficace des emails. Mais toutes les entreprises ne sont pas équipées de ces protections, soit parce qu’elles ne sont pas conscientes d’être une cible, soit parcequ’ellesn’ontpas,deparleurtaille, de département informatique. Dans les deuxcas,l’humainrestel’uniquerempart faceauxattaques,mêmesicelan’estpas sans risque. L’email:leprincipalvecteurdepropaga- tion des attaques dans les entreprises Les ransomware, comme la majorité des attaques informatiques, sont véhicu- lés par des emails de phishing ou spear phishing : le Gartner confirme que 65 % des attaques informatiques sont initiées Face aux ransomware : un peu de technologie, beaucoup de bon sens Conseils Georges Lotigier président directeur général de Vade Secure
  20. 20. 20 Guidede la cybersécurité Quelle est la maturité perçue des entreprises en matière de cybersécurité ? Sondage Quel est le niveau de maturité des acteurs de l’entreprise ? Des disparités importantes en matière de maîtrise des technologies de sécurité Les évolutions réglemen- taires sont connues mais posent encore des difficultés. n faible maturité n début de maturité n bonne maturité n faible maturité n début de maturité n bonne maturité Reste de l’entreprise … mais les autres parties prenantes encore immatures 43% 46% 11% RSSI Des spécialistes de la sécurité au point… Maturité sur les nouvelles réglementations 12% 20% 68% 17% 54% 29% Direction … des dirigeants qui montent en puissance… 26% 52% 22% Près de 80 spécialistes, fournisseurs de solutions et prestataires de services de sécurité, ont accepté de partager leur perception de la maturité des entreprises sur leur marché. Quelques enseignements : Qui doit être le moteur du changement ? N°1 Le RSSI N°2 Le Dirigeant N°3 Le DSI Mention spéciale à la direction juridique Sécurité des applications et des données Mal maîtrisée Sécurité des réseaux et infrastructures Bien maîtrisée Sécurité des usages mobiles Mal maîtrisée
  21. 21. 21Guidede la cybersécurité « Profitez des projets de transformation digitale, ou bien encore des projets DevOps pour intégrerlasécuritéplusprofondément dans votre architecture et dans vos process » Arnaud Cassagne, directeur des opérations, Optalia « En 2017, préparez-vous à… 2018 et l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD) » Laurent Heslault, directeur des stratégies de sécurité, Symantec « Formez les utilisateurs aux bons usages et pratiques en matière de cybersécurité et sensibilisez aux enjeux… encore et encore » Simon Roger, président directeur général, TheGreenBow « Améliorez la gestion des identités : établissez une cartographie complète des données de l’entreprise et des collaborateurs y ayant accès, et gérez les droits au quotidien par des campagnes de contrôles impliquant l’ensemble des métiers de l’entreprise » Moullan Chakir, country manager, 8MAN « Rapprochez-vous de vos RSSI et des besoins métiers » Jean-François Tesseraud, CISO/RSSI, Systemis « Réalisez des tests d’intrusions, renforcez votre détection des incidents, recrutez des compétences pour analyser, réagir et améliorer » Gabriel Leperlier, head of continental Europe advisory services GRC/PCI, Verizon « Assurez-vous que vos responsables sécurité coopèrent au quotidien avec votre DSI » Patrice Denos, responsable département security management, Nedap Quelles devraient être les priorités des entreprises en 2017 selon les prestataires ? Sondage Le secteur vu comme le plus inspirant en matière de cybersécurité Banques Assurances Ceux qui doivent encore faire des efforts importants Tourisme Loisirs Medias Enseignement Collectivités territoriales
  22. 22. 22 Guidede la cybersécurité Annuaire Nous remercions les partenaires qui nous ont permis de réaliser ce guide. Sécurité des réseaux infrastructures Sécurité applicative des données Sécurité mobile Audit recherche Conseil politique de sécurité 6cure Spécialisée dans la réponse aux incidents de cybersécurité, 6cure développe des solutions de réaction aux attaques par déni de service distribué (DDoS). Ces solutions permettent à nos clients d’accroître leur réactivité et leur imperméabilité face aux atteintes malveillantes ciblant la disponibi- lité de leurs services critiques. Contact : Françoise Clerc sales@6cure.com 02 50 01 14 29 www.6cure.com 8MAN Leader sur le marché allemand, 8MAN renforce le niveau de sécurité de l’entre- prise, garantit la traçabilité et l’audibilité pour répondre aux attentes métiers et aux contraintes légales. Eprouvée sur les tech- nologies Microsoft et imaginée d’un point de vue utilisateur, 8MAN facilite la gestion et la mise en place d’une gouvernance des droits d’accès. Contact : Chakir Moullan chakir@8man.com +49 175 322 07 28 www.8man.com/fr Eset Fondée en 1992, la société ESET est spéciali- sée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhicu- lées par l’Internet, ESET est aujourd’hui le leader dans ce domaine et classé 5ème éditeur mondial dans le dernier rapport du Gartner Group. Contact : Benoit Grunemwald benoit.g@eset-nod32.fr 06 38 39 16 16 www.eset.com/fr Nedap France Expert en contrôle d’accès et gestion de la sûreté depuis plus de 35 ans, Nedap protège les données contre les cyberat- taques grâce à sa nouvelle solution « Haute Sécurité de bout en bout ». Alliant sécurité physique et authentification des matériels sur le réseau, cette solution globale, avec lecteur transparent certifié ANSSI niveau 1, a obtenu la certification CSPN par l’ANSSI. Contact : Patrice Denos patrice.denos@nedap.fr 06 47 51 17 61 www.nedapsecurity.com/fr Schneider Electric Schneider Electric est le spécialiste mon- dial de la gestion de l’énergie et des auto- matismes et a réalisé près de 27 milliards d’euros de chiffre d’affaires en 2015. Nos plus de 160 000 collaborateurs répondent aux besoins de clients dans plus de 100 pays en les aidant à gérer leur énergie et leurs processus de manière sûre, fiable, ef- ficace et durable. Des interrupteurs les plus simples aux systèmes d’exploitation les plus complexes, nos technologies, logiciels et services permettent à nos clients d’op- timiser la gestion et l’automatisation de leurs activités. Nos technologies connec- tées contribuent à repenser les industries, à transformer les villes et à enrichir les vies de leurs habitants. Chez Schneider Electric, nous appelons cela : Life Is On (La vie s’illu- mine). Contact : Yann Bourjault yann.bourjault@schneider-electric.com 06 30 65 02 75 www.schneider-electric.fr Sophos Sophos est le premier éditeur européen de solutions de sécurité informatique pour les entreprises. Nos solutions protègent les données, les systèmes, les mobiles, le Web, la messagerie, les réseaux et les données de plus de 200 millions d’utilisateurs dans 150 pays. Contact : Michel Lanaspèze info@sophos.fr 01 34 34 80 00 www.sophos.fr Symantec Symantec Corporation, leader mondial de la cybersécurité, aide les entreprises, les gou- vernements et les particuliers à sécuriser leurs données les plus importantes, quelle que soit leur localisation. Les organisations du monde entier se tournent vers Symantec pour des solutions stratégiques et intégrées afin de se défendre contre des attaques so- phistiquées au niveau des terminaux, du cloud et des infrastructures. De plus, une commu- nauté mondiale de plus de 50 millions de per- sonnes et familles comptent sur les produits Norton by Symantec pour leur protection domestique ainsi que pour celle de l’ensemble de leurs terminaux. Symantec opère l’un des réseaux de cyber intelligence civile les plus étendus au monde, qui lui permet de détecter et de protéger contre les menaces les plus avancées. Pour plus d’informations, retrou- vez-nous sur https://www.symantec.com/ ou sur les réseaux sociaux Facebook, Twitter et LinkedIn. Contact : Aurelia Sauguet aurelia_sauguet@symantec.com 01 41 38 57 52 www.symantec.com TheGreenBow TheGreenBow est un éditeur de solutions de sécurité spécialisé dans la sécurité des communications. TheGreenBow est leader mondial du logiciel Client VPN. Il propose le premier Client VPN certifié et qualifié, ainsi qu’une solution de chiffrement de mails. Contact : Jérôme Chappe sales@thegreenbow.com 01 43 12 39 30 www.thegreenbow.com   Vade Secure Vade Secure est un éditeur spécialisé dans les solutions de protection et de classifi- cation intelligente de la messagerie. Lea- der reconnu de la lutte contre le phishing, spear-phishing, spam, malware et ransom- ware, Vade Secure sécurise plus de 300 millions de boîtes email à travers le monde. L’éditeur français est au cœur de l’inno- vation et a obtenu de nouveaux brevets en 2016 pour ses technologies « Identity Match » pour la détection des usurpations d’identité en temps-réel, ou encore pour ses algorithmes heuristiques spécialement développés contre le spear phishing. Contact : Emilie Ravet emilie.ravet@vadesecure.com 03 20 68 21 21 www.vadesecure.com/fr
  23. 23. 23Guidede la cybersécurité 50 acteurs de la cybersécurité à suivre Le jeune marché de la cybersécurité continue son évolution rapide. Sous la pression des nouvelles réglementations, les Opérateurs d’Importance Vitale (OIV) consentent à des investissements importants. Les PME et ETI, elles, prennent conscience de leur dépendance au numérique et de la nécessité de mettre en place ou d’améliorer leur stratégie de sécurité. Pour répondre à ces besoins variés, de produits et de services associés, c’est une myriade d’acteurs, de toute taille, pure-players ou non, qui se sont positionnés ces dernières années. Le marché attend encore les grandes consolidations qui clarifieront de nombreux pans de leurs activités. Alliancy le mag vous fait découvrir 50 acteurs qui ont répondu à son enquête et qui proposent d’accompagner les dirigeants et leurs entreprises dans leur transformation, en toute sécurité. Un oubli ? Vous souhaitez figurer dans la prochaine liste « 50 acteurs de la cybersécurité à suivre » ? Faites-nous signe : redaction@alliancy.fr Sécurité des réseaux infrastructures Sécurité applicative des données Sécurité mobile Audit recherche Conseil politique de sécurité 6cure @6cure  8MAN @PN8MAN    ACENSI Cybersecurity @acensigroup      Advens @advens      aleph-networks @alephnetworks1    Arbor Networks @arbornetworks    Avencis -     Bitdefender @BitdefenderPro     Brainloop @brainloopinc    Brainwave @brainwave_fr   CDC Arkhineo @CDC_Arkhineo  Cisco @CiscoSecurity      Citrix @CitrixFrance     CS -     DenyAll @DenyAllSecurity   EfficientIP @efficientip     Enki @ENKI_SECURITY      ESET @ESET_France    Fortinet @Fortinet      GBSmith @gbandsmith    Gemalto @GemaltoSecurity      Harmonie Technologies @HarmonieSSI     iGuard @iGuard_france    iTrust @iTrust_France     Kaspersky Labs @karsperskyfrance     KeeeX @KeeeXTwt   Nedap @Nedapfr    Nomios @NomiosFR     NTT Com Security @NTTComSec_FR      OpenMinded Consulting @openminded_c      Optalia @newlode      Orange Cyberdefense @orangecyberdef      Pradeo @Pradeo_France   PrimX Technologies @Itsecurfeed    Schneider Electric @SchneiderElecFR    Siemens @siemens_france   Solucom @risk_insight      Sophos @SophosFrance    Symantec @SymantecEMEA      Systemis @systemisgroup      TheGreenBow @TheGreenBow    ThreatQuotient @threatquotient    Cryptosense ¤ @cryptosense   Trovolone @Trovolone     VadeSecure @Vade_Retro_Tech   Varonis Systems @VaronisFR     Verizon @VZEntreprise      Wooxo @wooxo_     YesWeHack @bountyfactory     Zscaler @zscalerFR     ¤ Prix de l’Innovation des Assises de la Sécurité 2016
  24. 24. Découvrez notre centre de ressources sécurité numérique sur : www.alliancy.fr/ressource/securite- numerique-les-contenus-a-lire-absolument Et pour aller plus loin : WWW.ALLIANCY.FR Quels que soient leur secteur d’activité et leur taille, les entreprises ont aujourd’hui compris que leur compétitivité, leur proposition de valeur et leur pérennité passaient par une transformation de fond avec le numérique. Mais cette transformation peut-elle se penser sans sécurité ? Le bon sens rappelle immédiatement que non. Les problématiques de cybersécurité ont connu ces dernières années une médiatisation qui les a fait sortir du seul domaine des experts. Et pour assurer l’efficacité, l’agilité et la résilience de leurs entreprises, les dirigeants eux-mêmes ont aujourd’hui tout intérêt à monter au créneau, aux côtés de leurs responsables de la sécurité des systèmes d’information. Entre les évolutions de culture d’entreprise, l’intégration de nouvelles technologies dans le fonctionnement quotidien de l’organisation et la pression grandissante des réglementations, les occasions se multi- plient pour aligner vision de la transformation numérique et stratégie de sécurité. Les témoignages d’entreprises et conseils d’experts réunis dans ce guide présentent certaines des pistes les plus inté- ressantes du moment pour accélérer ces changements. Transformation numérique et cybersécurité : quand dirigeants et organisations doivent changer Guide de la cybersécurité 2016 ©2016Alliancy.Tousdroitsréservés.Conception:pouraction.fr-créditsphotos:Fotolia-créationgrapique:JOELIX.com

×