Do not follow this hidden link or you will be blocked from this website !

Sécurité des systèmes d'information et cyber-sécurité - Compte-rendu du séminaire - 9 Septembre 2015

lundi 21 septembre 2015

Propos introductif : Edouard de Lenquesaing

La perception de l’informatique par les non-initiés a sensiblement évolué au cours des dix à vingt dernières années. Ce qui était hier dévolu à des « soutiers » constitue désormais un thème grand public dont la presse rapporte les aspects les plus sensibles : vols de données, fraudes, chantage, piratage…Les directions générales des entreprises du secteur financier elles-mêmes s’intéressent aujourd’hui de près aux enjeux liés aux back-offices.
Autre évolution rapide : les données, qui étaient hier la chose des informaticiens, appartiennent aujourd’hui aux métiers, qui souhaitent pouvoir en disposer ad libitum. Elles doivent par ailleurs pouvoir être conservées et mise en forme de façon à pouvoir être communiquées aux autorités de contrôle.
 

Olivier Henry

Les progrès de la digitalisation et de la dématérialisation des processus sont quasiment exponentiels. 90 % des données disponibles dans le monde ont été créées dans les deux dernières années.
On assiste à une montée en compétence des opérationnels dans la maîtrise des canaux digitaux. Les opérationnels se passent volontiers de l’assistance des directions des systèmes d’information, elles-mêmes soumises à des pressions budgétaires.
Il faut distinguer trois termes, souvent employés l’un pour l’autre, mais qui en réalité recouvrent des problématiques spécifiques : sécurité informatique, sécurité des systèmes d’information et cyber-sécurité.

Des enseignements intéressants à tirer de l’étude annuelle d’E&Y à propos de la malveillance :
  • Les employés sont toujours la source la plus importante des attaques informatiques, mais les attaques perpétrées soit par des organisations criminelles, soit par des hacktivistes (hackeurs activistes) connaissent les taux de progression les plus importants
  • 56 % des entreprises se déclarent incapables de détecter une cyber-attaque
  • 35 % à 45 % des entreprises estiment que leur dispositif de défense doit être significativement amélioré
  • La sécurité est rattachée à la direction des systèmes d’information dans 80 % des cas, à la direction générale dans 14 % des cas seulement

Sofiane Maxime Khadir

 Le fait de penser que la sécurité périmétrique (pare-feu….) protège les applications relève du mythe. Ce type de défense est obsolète.
 
La dernière enquête annuelle d’E&Y montre que si la situation s’améliore, il reste encore beaucoup de chemin à faire en matière de sécurité :
  • Des budgets contraints (pour 43 % des entreprises, le budget est stable en 2015)
  • 37 % des entreprises disent ne pas disposer d’information en temps réel sur les cyber-risques
  • 42 % des entreprises ne disposent pas de security operations centre
  • Deux tiers des entreprises ne disposent pas d’outils industrialisés de gestion des identités et des accès
  • Une inflexion inquiétante : le degré de confiance des directions des systèmes d’information dans leur dispositif baisse (après une longue période de hausse)
 
Chronologiquement, trois types de stratégies :
  • La protection périmétrique
  • L’adaptation aux évolutions constatées dans l’entreprise
  • L’organisation et les moyens sont fonction des menaces et des risques (que faire en cas d’attaque ?) : cette approche est encore exceptionnelle en France, où l’on aurait environ deux ans de retard sur les pays les plus avancés
 
Les cinq questions fondamentales à se poser :
  • Est-ce que l’investissement en matière de sécurité couvre nos principaux risques ?
  • Comment mesurons-nous l’efficacité de notre programme de sécurité ?
  • Est-ce que notre sécurité est centrée sur la protection des actifs qui génèrent du revenu ?
  • Est-ce que notre sécurité est suffisamment agile pour s’adapter à des évolutions de notre business model ?
  • Avons-nous les bonnes initiatives de sécurité au bon moment avec la bonne « priorisation » dynamique ?


Les grandes tendances :

  • Stratégies proactives : détecter, réagir, assurer le résilience
  • Gestion avancée des menaces
  • Identity acces management : gestion des habilitations ; profilage ; analyses des comportements
  • Pilotage par les menaces et les risques

 

Patrick Prosper


Il est important de se persuader que la défense du périmètre constitue une approche désuète. Dans le monde des compagnies d’assurance, certaines données ont une valeur intrinsèque (état de santé d’un dirigeant, patrimoine, données bancaires…). il existe un marché gris, mondialisé, du recel de données.


Comment une compagnie d’assurance peut-elle améliorer sa cyber-résilience ?

  • Il est indispensable d’entretenir un dialogue approfondi avec les opérationnels
  • Il convient de se poser la question de ce que l’on veut détecter. Il est impossible de prétendre vouloir tout contrôler
  • Il faut anticiper les accidents et se demander, entre autres, quelle est la réaction adéquate
  • Les décisions à prendre après un accident (attaque…) le sont dans un climat de panique, chacun prétend avoir un avis sur la marche à suivre


Il convient donc de mettre au point des procédures :

  • Il est plus que recommandé de faire des exercices de crise à blanc
  • Il faut se tenir au courant des menaces possibles, ce qui passe, notamment, par des discussions avec des pairs
  • Le maillon faible est de plus en plus le client (fishing…)
  • Les compagnies d’assurance évoluent dans un cadre réglementé : Solvabilité II et/ou Bâle III

 
Que faire du risque résiduel ?

  • Des offres d’assurance sont en train d’apparaître