Tendance Cyber n°3 : le RSSI, l’assureur du risque cyber

Tendance Cyber n°3 : le RSSI, l’assureur du risque cyber

Parallèlement à l’intensification de la menace cyber, les challenges du Responsable de la Sécurité des Systèmes d’Information (RSSI) deviennent plus nombreux pour tenter de maîtriser les risques associés.

 

Business focus vs maîtrise du risque cyber

Contrairement au DSI dont la mission première est d’être un business-enabler en fournissant aux différentes fonctions de l’entreprise les outils digitaux les plus adaptés à leurs missions, le RSSI s’inscrit dans un rôle de maîtrise des risques.

En effet, pour la 3ᵉ année consécutive, le risque cyber est le risque numéro 1 redouté par les entreprises (selon le baromètre des risques des entreprises élaboré par Allianz Global Corporate & Specialty). La prévention des risques cyber devient donc un sujet central de la gouvernance des entreprises.

Bien entendu, le déploiement des solutions de cybersécurité nécessite que les deux fonctions travaillent main dans la main. Un nécessaire partage des tâches de sécurité du système d’information s’opère alors, mettant en valeur la nécessité de l’indépendance du RSSI qui est à la fois prescripteur et contrôleur de la bonne implémentation des politiques de sécurité.

Rôle du RSSI :

  • Mesure le risque et les menaces
  • Définit des politiques de sécurité
  • Vérifie l’application de ces politiques
  • Gère des solutions de cybersécurité
  • Détecte et répond aux attaques

Rôle du DSI :

  • Implémente les aspects techniques des politiques de sécurité
  • Sécurise le système d’information
  • Assure le maintien en conditions de sécurité du SI

L’indépendance du RSSI vis-à-vis du DSI est également nécessaire pour permettre le bon arbitrage des priorités en termes d’investissement cyber. En effet, l’impact d’un grave incident de cybersécurité est tel qu’il induit inévitablement un coût pour l’entreprise, qui peut parfois atteindre plusieurs centaines de millions d’euros. Il impose de remonter les décisions d’investissement au comité de direction et n’est pas une simple variable d’ajustement du budget de la DSI.

 

La défense en profondeur et l’approche Zero trust : protéger à tous les niveaux et ne se fier à personne

Il y a quelques années, dans le domaine de la cybersécurité, ne se pratiquait que la sécurité périmétrique (firewalls, DMZ, VPN, IDS/IPS, etc.). Elle ne suffit plus aujourd’hui et doit être soutenue par des dispositifs de sécurité physique (badges, surveillance, caméra, etc.), du réseau (segmentation du réseau, chiffrement, sondes, etc.), des équipements et des serveurs (patch, durcissement, ACL, monitoring/AV/EDR, etc.), des applications (IAM, ACL, MFA, mises à jour, gestion des vulnérabilités, DevSecOps, etc.), des données (crypto at rest, DLP, etc.) et par des politiques et procédures (gestion de la menace, standards, formation, sensibilisation, etc.).

Cette défense en profondeur est d’autant plus nécessaire que la nature multi-vectorielle des menaces permet par exemple l’ouverture d’accès physiques par l’intermédiaire d’une attaque cyber et inversement. Tout est donc à prendre en compte dans chaque donnée, application, à tous les niveaux et tout doit être entretenu en permanence.

La défense en profondeur est aujourd’hui complétée par la notion de sécurité Zero trust, une approche dans laquelle toute notion de confiance disparait totalement. Le mantra est simple : se méfier de tout, tout le temps, ne jamais accorder sa confiance sans contrôle systématique. Une démarche valable pour les droits, pour la légitimité d’un flux, d’un accès, les pièces jointes d’un mail… Il faut tout vérifier.

 

L’Identity Access Management : apprendre à contrôler l’incontrôlable

La gestion des droits, des accès et des identités (ou IAM) est un enjeu à la fois organisationnel et technique de plus en plus complexe. Il ne s’agit effectivement plus ici d’un simple problème de longueur minimale des mots de passe dans l’Active Directory (annuaire d’entreprise), mais de la gestion dans le temps des identités et des droits associés, acquis progressivement sur une multitude d’outils.

Et c’est bien là que réside le véritable challenge pour le RSSI : maîtriser le cycle de vie des droits, des accès et des identités. Bien souvent, si ces cycles de vie ne sont pas maîtrisés, c’est parce que l’on ne sait pas tracer la pertinence et les enjeux des usages associés : est-ce que tel ou tel compte qui existe depuis X années, donnant accès à tels et tels outils et informations, est encore utilisé aujourd’hui ? Combien de personnes y ont-elles accès ? Si l’on supprime tel compte lié à un système industriel ne répondant plus aux normes, ne risque-t-on pas de compromettre les activités opérationnelles en cours, parfois liées à de gigantesques enjeux financiers ? Ces difficultés illustrent bien l’inévitable arbitrage de risque de la part du RSSI, pour limiter les impacts et pouvoir les assumer.

Trop peu de sociétés sont aujourd’hui matures sur le sujet, alors que la professionnalisation de l’IAM est devenue essentielle parce qu’une mauvaise gestion des accès ou une mauvaise segmentation des autorisations intervient dans la plupart des attaques. Avant d’arriver à réaliser cet objectif final, le RSSI va devoir mettre en place progressivement un système mieux intégré et plus concentré. Il devra d’abord s’appuyer sur un Active Directory bien structuré, gérer les comptes à privilèges (comptes qui ont des droits supérieurs aux droits classiques) avec un outillage et des procédures, puis étendre le processus de gestion du cycle de vie des identités et des accès à l’ensemble des utilisateurs et des systèmes informatiques de l’entreprise. Cette démarche itérative nécessite des changements en profondeur à la fois sur le plan organisationnel, technique et en termes de formation et se fait la plupart du temps sur plusieurs années.

 

La protection du Cloud : un nouvel impératif

De plus en plus de données sont hébergées sur le Cloud, sans possibilité d’avoir la main sur la sécurité des infrastructures, avec des services sur étagère plus complexes et de haut niveau : une nouvelle réalité technologique qui engendre l’émergence de méthodes de protection spécifiques (WAF, CASB, sécurité des données, gestion des accès, etc.).

Peu de profils sont formés à la protection du Cloud, et c’est là que réside un autre enjeu : inverser la tendance et recruter ces profils expérimentés.

 

DevSecOps ou SecDevSecOpsSec ? La sécurité de bout-en-bout

Le DevSecOps désigne le fait que le cycle de développement logiciel intègre les aspects sécurité (sécurisation de la chaîne de développement et du livrable). Tout le monde en parle, mais en réalité rares sont les équipes de développement qui ont une véritable maturité sur le sujet et ainsi trop peu de projets du domaine intègrent complètement la notion de sécurité.

Il y a donc un très fort besoin d’accompagnement et de formation des développeurs et des architectes systèmes sur ce sujet (et notamment sur les attaques et solutions pour s’en protéger) afin de limiter et à terme de supprimer l’intégration de failles de sécurité dans leurs codes.

 

« Le DevSecOps doit devenir un élément culturel pour les populations concernées […] » Laurent VROMMAN, Directeur des Practices IT et Practice Manager Cybersécurité ALTEN

 

Trop souvent, les développeurs pensent que la sécurité est le problème du framework de développement, voire des équipes infrastructure : « Le DevSecOps doit devenir un élément culturel pour les populations concernées », assure Laurent Vromman. Et de rajouter : « À titre personnel, je parlerais même de culture SecDevSecOpsSec, pour ne pas laisser penser que la sécurité se gère uniquement entre le développement et le déploiement mais bien de bout-en-bout : tout au long du cycle de vie du logiciel, dès l’architecture et y compris pendant sa vie opérationnelle, car de nouvelles vulnérabilités émergent en permanence et il faut apprendre à s’en protéger en continu ».

Investissement, accompagnement, formation, outillage… tels sont les leviers que va devoir solliciter le RSSI pour amorcer la conduite du changement interne et externe à l’entreprise pour appréhender et maîtriser le risque cyber.

« Véritable jeu du chat et de la souris, avec des hackers qui se professionnalisent aussi vite que les entreprises se préparent à leurs menaces, la cybersécurité n’a pas fini de nous passionner et les mois à venir s’annoncent riches en apprentissages et belles avancées dans le domaine », conclut Laurent Vromman.