Les espaces dont les RSSI devraient davantage se méfier
Prestataires, clients, centrale-gouvernance, SecOps, sites physiques…dans l’absolu, toutes les portes d’entrée dans le SI méritent d’être examinées ! En pratique cependant, il semble que la menace plane plus particulièrement sur certaines zones.
Une attention particulière à porter aux filiales
Aujourd’hui, les cybercriminels ont bien compris l’intérêt de ne pas cibler directement les entreprises, mais de passer par des surfaces d’attaque intermédiaires (sous-traitants, prestataires de service…). Le risque semble d’ailleurs avoir bien été identifié, l’ANSSI travaillant actuellement sur un référentiel d’exigences applicables aux PAMS (prestataires d’administration et de maintenance sécurisée).
En revanche, la vigilance semble moindre en ce qui concerne les filiales, alors qu’elles sont tout autant susceptibles d’occasionner des dommages par ricochets. Souvent éloignées, elles sont peu visitées donc facilement oubliées, le phénomène étant accru dans les organisations dans lesquelles la dynamique d’achat et de revente est importante. Que faire lorsqu’une filiale semble particulièrement exposée aux menaces sans pour autant que des moyens soient prévus pour les traiter ?
À notre sens, le RSSI ne dispose que de deux options après avoir présenté la situation à son top management en insistant sur le risque d’une « balle perdue » : demander à couper les liens techniques pour circonscrire les attaques éventuelles ou solliciter des moyens suffisants pour faire remonter la filiale à un niveau de sécurité satisfaisant.
Alerte sur les métiers, les projets et les applications
Si manager sa cybersécurité par la conformité constitue déjà une excellente base pour protéger l’entreprise, la méthode a ses limites. En effet, les référentiels ne couvrent pas tout, et en particulier pas ce qui fait la singularité de l’entreprise, à savoir ses métiers et leur mode de fonctionnement.
Or, cet angle mort peut poser souci, les risques liés au Shadow IT étant très souvent sous-estimés. Dans un tutoriel sur Cloud Discovery, Microsoft donne en effet les estimations suivantes.
- Lorsqu’un administrateur informatique imagine que les différentes applications utilisées par les salariés sont de l’ordre de 30 ou 40, il en existerait en réalité 1000 au sein de l’organisation.
- Sur l’ensemble des applications utilisées, 80% n’ont pas été examinées et peuvent ne pas être conformes à la politique de sécurité
Ces chiffres le démontrent : il y a un véritable intérêt à s’intéresser non seulement aux métiers, mais aussi aux applications qui les supportent. Cela est d’autant plus vrai que les conséquences peuvent être extrêmement lourdes, comme l’illustre l’attaque au ransmoware dont a été victime Altran en janvier 2019. Pour rappel, et comme l’a expliqué le PDG Dominique Cerruti, les attaquants avaient emprunté comme porte d’entrée une application web mal configurée utilisant un mot de passe par défaut. S’en était suivi le blocage de tous les mails, lignes téléphoniques et outils de communication.
Cartographier, la première étape de toute stratégie de cybersécurité
Quel que soit le mode de fonctionnement de l’organisation à laquelle il appartient, le RSSI ne pourra jamais être partout. Faut-il s’en inquiéter pour la sécurité de l’entreprise ? Pas nécessairement, dès lors qu’il dispose d’une vue d’ensemble lui permettant d’allouer les ressources au bon endroit.
À chaque RSSI son framework
Il ressort de l’étude de Forrester commandée en août 2020 par Tenable (L’ascension des responsables de la sécurité alignés sur les objectifs de l’entreprise) que les RSSI manquent encore cruellement de visibilité sur les assets de l’entreprise.
S’agissant des applications, données, technologies de l’information et plateformes de cloud, 70% considèrent avoir une « visibilité élevée ou complète ». Le taux tombe cependant à 60% pour les appareils OT, IoT et mobiles, ainsi que pour les collaborateurs travaillant sur site. Il chute ensuite à un peu plus de 50% dès lors qu’il s’agit des collaborateurs à distance, des prestataires et des partenaires tiers.
Comment comprendre globalement les risques dans ces conditions ? La seule solution consiste à cartographier les risques à l’échelle de l’organisation, pour disposer d’une vue macroscopique. Il s’agit là d’un travail minutieux, voire laborieux, mais absolument indispensable pour ne rien oublier et ne pas traiter les espaces en silos.
Il appartient donc à chaque RSSI de « mapper » tout son écosystème et de se construire ainsi son propre framework. Cette vue d’ensemble servira ensuite de support pour mener la réflexion avec différentes questions.
- Quelles sont les portes d’entrées dans le système d’information ?
- Quels sont les besoins communs aux différents périmètres identifiés ?
- Quels sont les besoins spécifiques ?
- Qu’est-ce qui est partagé avec l’extérieur (données de fichiers, applications…) et avec quel niveau de sécurité ?
Une véritable carte d’état-major
Parce que les ressources humaines et financières se trouvent limitées, la cybersécurité ne peut que reposer sur un principe de protection hétérogène des espaces.En ayant une vue d’ensemble, il devient possible d’identifier les périmètres sur lesquels le risque s’avère le plus important, soit parce qu’il touche directement au business de l’entreprise soit parce qu’il concerne son potentiel créatif (la R&D).
En cela, le fait de cartographier permet de bâtir une stratégie de cybersécurité qui a du sens : le RSSI identifie là où doivent porter les efforts, mais aussi là où le risque peut être considéré comme acceptable. L’exercice présente par ailleurs le mérite de faciliter la communication avec la direction. Sans surprise, il est en effet bien plus facile d’obtenir son adhésion (et des budgets !) en proposant une présentation claire des risques hautement prioritaires et des ressources à prévoir pour les traiter.