L’ANSSI n’est pas le seul organisme à produire des guides cyber de qualité en français. Je vous encourage à télécharger et surtout à lire attentivement ce guide belge de la cybersécurité, co-rédigés par l’ICC Belgium, FEB, Ernst & Young, Microsoft et récemment traduit en français. Il s’agit d’un excellent document, très bien écrit, pédagogique et pragmatique dans les constats qu’il décrit et les bonnes pratiques qu’il a le mérite de rappeler.
En effet, il ne faut pas s’attendre à une révolution mais une nouvelle fois à un « Back To Basis », ces fondamentaux de la sécurité qui, en 2014, ne sont toujours pas appliqués dans toutes les entreprises ou administrations.
Ce guide est très complémentaire du guide d’hygiène informatique de l’ANSSI. Le message et le langage utilisé pourra être très utile pour sensibiliser le top management et les chefs d’entreprise. Ce qui est trop rarement le cas. Alors qu’on souhaite tous que la direction s’implique plus dans la démarche de cybersécurité, on ne parle pas assez (ou on ne sait pas ?) aux dirigeants de ce sujet. Il apporte une vision « gouvernance » (non, ce n’est pas un « gros » mot) qui complète parfaitement la vision plus technique du document de l’ANSSI, qui se destine aux responsables informatiques. J’ai particulièrement apprécié les constats qui sont faits en introduction du guide. Y sont relevées les difficultés réelles auxquelles font face les entreprises dans leur lutte contre les cyber menaces :
- Parfois on constate un manque de conscience de ces « nouvelles » menaces informatiques
- Souvent on les connait mais on n’y répond pas de façon adéquate
- L’incertitude règne généralement, on ne sait pas ce qu’il faut faire et comment le faire
- La sécurité informatique ne fait pas souvent l’objet d’un engagement fort de la direction
- Si les actifs physiques sont souvent « bien » protégés, on oublie l’importance de l’actif immatériel, l’information, pourtant actif critique de toute organisation
- Responsabiliser chacun dans l’organisation, mettre en place « une discipline rigoureuse, plutôt que des technologies de protection sophistiquées »
- « La sécurité absolue est une utopie, mais cela ne devrait pas nous empêcher d’essayer de l’atteindre ».
Le guide décrit ensuite de façon synthétique 10 principes clés de sécurité, structurés autour de « 3 domaines de la gouvernance » (la vision, l’organisation & les processus, la culture d’entreprise). Voici quelques extraits :
- Aller au-delà des technologies
La gestion de la sécurité doit être vue comme une combinaison de personnes, de processus et de technologie.
La cybersécurité doit être perçue comme l’affaire de toute l’entreprise, et pas seulement de l’informatique.
Dans une entreprise mature, la sécurité de l’information est considérée comme une exigence métier, alignée sur les objectifs stratégiques, les politiques de l’organisation, la gestion du risque, les exigences de conformité et la mesure des performances. Les dirigeants au sein de votre entreprise doivent pouvoir comprendre comment la sécurité sert l’entreprise.
- Aller au-delà de la conformité
On a souvent tendance à opposer conformité et sécurité. Oui, être en conformité ne signifie pas être sécurisé, surtout quand on ne « joue » pas le jeu et qu’on empile les PSSI et les solutions techniques de sécurité…
Une bonne gestion de la sécurité va plus que probablement contribuer ou même garantir la mise en conformité, tout en satisfaisant simultanément les besoins de l’entreprise.
Les efforts en matière de sécurité devraient être alignés et si possible intégrés aux efforts visant à la mise en conformité ou la réduction des risques. Une telle approche évite que les actions et les responsabilités se chevauchent.
- Traduire son ambition dans une politique de sécurité de l’information
Une politique de sécurité s’assure que la vision de l’entreprise en matière de sécurité est traduite dans la pratique. Cette transposition repose généralement sur une politique de haut niveau, de laquelle découlent des directives et des normes, lesquelles sont intégrées dans les procédures opérationnelles de l’organisation.
- S’assurer le soutien de la direction
Le soutien de la direction « est essentiel pour pouvoir apporter une réponse rapide et efficace aux menaces sécuritaires actuelles et futures ».
L’équipe dirigeante de l’organisation doit comprendre l’importance que recouvrent les mesures de gestion du risque de cyber-sécurité dans la protection de la réputation, du succès et de la propriété intellectuelle de son entreprise.
- Créer un rôle visible de sécurité dans l’entreprise et responsabiliser chacun
Bien que souvent désignés comme le maillon faible lorsqu’il s’agit de sécurité de l’information, il est possible de transformer les membres de votre personnel en votre plus grand atout sécuritaire
- Rester sûr, même en externalisant
Il est dès lors de bonne pratique d’encourager les fournisseurs de services (et en particulier les fournisseurs IT) à respecter au minimum les principes de sécurité appliqués au sein de l’entreprise cliente, mais également d’obtenir l’assurance que les informations et les systèmes d’information dont ils ont la charge sont sécurisés.
Il est également recommandé de s’assurer un accès aux traces d’activités (logs) pour l’ensemble des services externalisés
- S’assurer que la sécurité soit un moteur pour l’innovation
L’aversion aux risques ne devrait pas empêcher l’introduction de nouvelles technologies : il s’agit simplement de s’assurer que les menaces qui y sont associées soient bien comprises, et qu’elles puissent être mises en rapport avec les bénéfices de cette technologie pour l’entreprise.
Le principe de security by design, soit une conception intégrant la sécurité, devrait être appliqué afin d’assurer que la sécurité soit prise en compte dès le démarrage de tout développement ou acquisition de nouveaux outils ou d’applications.
- Savoir se remettre en cause
Les menaces en matière de cyber-sécurité sont en constante évolution. Dans ce contexte, les politiques et procédures de sécurité établies par votre organisation peuvent très vite devenir obsolètes ou tout simplement inefficaces en pratique.
L’exécution d’évaluations régulières du niveau de résistance de l’entreprise aux menaces actuelles en matière de cyber-sécurité et aux vulnérabilités connues, permet de mesurer l’avancement de l’implémentation des mesures de gestion de la cyber-sécurité, et d’évaluer leur adéquation. Ceci peut se faire par des analyses et audits indépendants internes ou externes, tels que des tests de pénétration et scans de vulnérabilités.
A côté de ces évaluations, des interactions régulières avec les entreprises issues du même secteur – et plus largement d’autres acteurs du monde des affaires et du milieu judiciaire – peuvent aider l’entreprise à maintenir à jour son niveau de compréhension des menaces présentes et futures en matière de cyber-sécurité.
- Rester concentré sur l’essentiel
Il est illusoire de vouloir tout protéger. Une analyse de risques est indispensable pour identifier les actifs critiques de l’organisation et les protéger en priorité.
Vos efforts doivent donc se concentrer sur la protection des informations les plus précieuses, celles dont un incident lié à leurs confidentialité, intégrité ou disponibilité pourrait sérieusement impacter l’entreprise.
- Se préparer à affronter des incidents
Dernier principe de sécurité, il se révèle aujourd’hui l’un des plus importants. Il faut se préparer à être victime d’une cyber attaque. Et il faut se préparer à réagir pour ne pas être surpris (car ça arrivera tôt ou tard…) et limiter les dégâts.
L’important n’est pas l’incident en lui-même mais la manière dont on y répond. Dans notre environnement actuel de menaces et vulnérabilités, la question à se poser n’est pas « Si » mais bien « Quand » on sera victime d’un incident de sécurité… et si on y est préparé.
Un bon plan de réponses aux incidents, qui doit comprendre une stratégie de communication interne et externe, peut faire la différence entre une interruption de votre activité de moins d’un jour, ou une interruption complète longue de plusieurs journées ; entre un fait divers de 10 lignes en page 7 et les grand titres à la Une des journaux.
Après ces 10 principes de sécurité, le guide revient sur 10 actions à entreprendre en matière de sécurité (des bonnes pratiques) assez classiques (mais à force de les répéter, elles seront peut-être appliquées un jour #optimisme) :
- Sensibiliser et former les utilisateurs à la sécurité
- Maintenir ses systèmes à jour
- Protéger l’information (chiffrement)
- Sécuriser les appareils mobiles
- Restreindre les accès aux autorités nécessaires
- Appliquer des règles de sécurité pour la navigation sur internet
- Adopter des mots de passe forts et les stocker en sécurité
- Sauvegarder ses données et contrôler les sauvegardes
- Lutter à différents niveaux contre les virus et autres programmes malveillants
- Prévenir, détecter et agir
Le guide se termine sur un questionnaire d’auto-évaluation, toujours très pratique pour une organisation souhaitant réaliser une première évaluation de son niveau de sécurité (à un niveau macro).
S’en suivent 4 études de cas qui explicitent les risques et solutions à mettre en œuvre face une situation donnée.
Enfin, bonne initiative, on retrouve une liste des contacts des organismes publics et associations compétentes en matière de cybersécurité. Evidemment, il s’agit des contacts belges.
Bonne lecture !