8 minute read
QUATRE COMPOSANTES CLÉS
from Le Mag EBRC - édition 2018-2019
by EBRC
Quatre composantes clés de la Cyber-Résilience
Chaque jour nous apporte son lot d’incidents, dont ceux générés par les activités de hacking. Les incidents de sécurité sont de différentes natures. Ils peuvent porter sur la disponibilité des systèmes d’information (tels que attaques Denial of Services), sur la confidentialité des informations (divulgation de données personnelles, atteinte au secret des affaires, au savoirfaire des entreprises, accès à des informations gouvernementales sensibles, etc.) ou sur l’intégrité-même des informations (fake news, manipulations de données, etc.)
Advertisement
ETHICAL HACKING
Identify
Pour identifier les vulnérabilités et les faiblesses des systèmes, les « ethical hackers » d’EBRC opèrent sur base d’un mandat précis, cadré et écrit, selon des règles de déontologie strictes.
Leurs objectifs ? • Identifier les vulnérabilités de sécurité sur un périmètre défini avec le client, ces vulnérabilités pouvant constituer des vecteurs d’attaques pour un hacker depuis l’interne ou via la connexion d’un partenaire ;
Tenter de pénétrer les réseaux et/ou les systèmes d’information en utilisant les mêmes méthodes qu’un hacker malveillant ;
Proposer des contre-mesures permettant de combler les vulnérabilités identifiées afin de mettre en place une protection efficace.
Outre la présentation des résultats sous un axe « technique » (vulnérabilités de sécurité identifiées, proposition de plan d’actions), les consultants EBRC revoient également sous un axe rité identifiées (impacts sur les métiers, le cadre réglementaire du client…).
CERT/SOC
Identify, Detect, Analyse, Respond, Recover
CERT : Également appelé CSIRT (Computer Security Incident Response Team), le Computer Emergency Response Team est un centre de compétences en charge des alertes et des réactions face aux cyber-attaques. Il concentre les demandes d’assistance suite aux incidents de sécurité, traite les alertes, établit et maintient une base de données des vulnérabilités, diffuse les informations sur les précautions à prendre pour minimiser les risques et assure la coordination avec les autres entités telles que les centres de compétences réseaux, opérateurs et fournisseurs d’accès Internet et les CSIRT nationaux et internationaux. En résumé, il accumule la connaissance au bénéfice d’une réactivité et d’une anticipation maximales.
SOC : Le Security Operations Center est un dispositif de supervision des systèmes d’information dont le but est d’assurer la détection et l’analyse des incidents ainsi que de définir la stratégie de « risques » l’incidence des vulnérabilités de sécu-
réponse à l’incident de sécurité. Ses experts analysent continuellement les événements remontés par le système, et identifient les potentiels risques en matière de Cyber-Sécurité.
Son objectif principal est d’assurer une surveillance 24h/24 et 7j/7 du système d’information.
CYBER-RÉSILIENCE : PAR OÙ COMMENCER ?
Téléchargez notre Livre Blanc « Cyber-Résilience vers la Cyber-Reliance » sur https://ebrc.com/en/whitepapers
FORENSIC : analyse post-mortem
Recover
Dans le cyberespace, le risque est certain. Si malgré la prévention une Cyber-attaque a réussi, il est vital :
D’identifier qu’elle ait bien eu lieu et selon quel schéma (collecte des évidences et traçabilité) ;
D’auditer et d’analyser l’attaque. Il s’agit de reconstruire l’attaque, d’identifier les dommages, les risques résiduels, et de récolter les preuves ;
D’avoir les moyens (solution et organisation) de pouvoir bloquer et contenir l’attaque dans les meilleurs délais afin d’éviter sa propagation au sein du système d’information ;
De distinguer, une fois l’attaque contenue, les composantes du système d’information compromises de celles non affectées – afin in fine de rétablir le système d’information.
L’approche d’EBRC repose sur des solutions reconnues juridiquement en ce qui concerne la collecte des informations, l’objectif étant pour le client d’avoir des preuves pertinentes et recevables.
EBRC accompagne le client tant sur le volet technique que sur le volet organisationnel (préparation et exercices en amont afin de s’assurer de l’organisation, des rôles et responsabilités ; et accompagnement dans la gestion de crise le cas échéant).
Les 5 règles de la « Business Resilience » — L’analyse d’impact métier : garantie de la continuité des activités
Christophe Ruppert Senior Consultant I EBRC RÈGLE N° 1
PARTEZ DU MÉTIER POUR ÉVALUER LES IMPACTS
« C’est en considérant le métier que l’analyse doit se construire, en prenant en compte l’ensemble des facteurs qui peuvent nuire à la bonne marche de l’activité, assure Christophe Ruppert. Ces enjeux dépassent de loin la gestion des systèmes. Cela implique de commencer par identifier les activités essentielles à l’organisation, à travers une meilleure compréhension des processus, pour ensuite effectuer une analyse d’impact. Il est important de comprendre quels pourraient être les effets de l’arrêt d’un processus critique dans le temps et sur l’ensemble de l’activité. »
Cette première étape relève du Business Impact Analysis. Elle ne peut être conduite qu’en menant une étude approfondie de l’ensemble des départements constituant l’organisation pour identifier les activités entreprises et la manière dont chacun prend part aux procédures. RÈGLE N° 2
IDENTIFIEZ LES ACTIVITÉS CRITIQUES ET ÉVALUEZ LE NIVEAU DE TOLÉRANCE À L’INTERRUPTION
« À travers les entretiens menés, identifiez les activités critiques, les liens d’interdépendance existants vis-à-vis d’autres départements ou d’acteurs externes, indique Christophe Ruppert. Dans chaque département et direction, challengez les équipes. Au départ d’un framework établi au regard de notre expérience et des bonnes pratiques reconnues, évaluez également les effets d’une interruption de l’activité au niveau de chaque équipe selon différents critères comme le Recovery Time Objective (RTO), le Recovery Point Objective (RPO), le Maximum Acceptable Outage (MAO) ou encore le Minimum Business Continuity Objective (MBCO). A travers ces indicateurs, on relève ce qui est acceptable en terme d’interruption pour chaque département, et ce jusqu’à la capacité réelle de l’IT à supporter les métiers. »
Distinguer
le risque de la menace
Ayant pour objectif la responsabilité sociétale, c’est par une approche du business que l’entreprise doit aborder la continuité et la reprise de ses activités. Pour y parvenir, le Business Impact Analysis (BIA) est crucial. Cette démarche est un préalable fondamental pour l’obtention de la certification ISO 22301, relative aux systèmes de management de la continuité d’activités. Entretien avec Christophe Ruppert, Senior Consultant, Lead Implementer & Lead Auditor ISO 22301, Business Continuity Management Practice Lead au sein d’EBRC.
Le concept de Business Continuity est éprouvé. Apparu dans les années 80, il adressait une partie de la problématique avec les Disaster Recovery Plans. Les efforts portaient essentiellement sur l’informatique, avec la volonté de garantir la disponibilité des systèmes ou permettre leur remise en fonction rapide après un incident. Ce n’est que plus récemment, avec, au début de cette décennie, la publication de la norme BS 25999 et l’établissement de la certification ISO 22301, que le concept a été élargi. « Désormais, les projets relatifs à la continuité d’activités couvrent un spectre étendu. Ils sont portés par le board, en considérant l’activité avec une approche holistique », commente Christophe Ruppert. EBRC accompagne ses clients avec la volonté de les rendre plus cyber-résilients. A ce titre, la continuité d’activités fait partie de ses principaux domaines d’expertise.
RÈGLE N° 3
ALIGNEZ LES BESOINS AU SERVICE DU BUSINESS
Parce que, d’un département à l’autre, les perceptions de ce qui est acceptable peuvent diverger, un des objectifs sera de réconcilier les sensibilités au regard des besoins réels du métier. « Dans la plupart des cas, c’est au sommet de l’entreprise que les arbitrages ont lieu, le top management étant souvent le seul à pouvoir statuer vis-à-vis des risques encourus. Le management rationalise et décide souvent par rapport au niveau d’exposition admissible des affaires, donc du secteur d’activité et de la clientèle de l’entreprise, en cas d’incident majeur, précise Christophe Ruppert. Pour l’obtention d’une certification liée à la continuité d’activités, il est indispensable de réconcilier l’ensemble des besoins des équipes autour d’un processus critique. » RÈGLE N° 4
EVALUEZ LES PROCESSUS AFIN DE RETENIR LES MEILLEURES SOLUTIONS
L’analyse de l’impact business est au cœur de toute démarche relative aux enjeux de continuité d’activités. Elle sera complétée par une analyse des risques. Celle-ci se traduit par l’identification des menaces pouvant conduire à l’interruption d’une activité jugée critique et par l’évaluation de la probabilité de leur survenance. « Considérant l’ensemble de ces éléments, on peut imaginer des scénarii et des plans de reprise de l’activité dans les meilleurs délais selon les différents cas de figure. Prenez les processus, soumettez-les à la menace afin d’envisager les solutions à mettre en place, comme par exemple la relocalisation des collaborateurs ou un plan de redéploiement des systèmes des garanties relatives à la restauration des lignes de télécommunication, sans oublier d’évaluer le niveau de résilience de vos fournisseurs critiques », conseille Christophe Ruppert. RÈGLE N° 5
SIMPLIFIEZ-VOUS LA VIE. TIREZ PARTI DE LA CERTIFICATION ISO 223O1
La certification ISO 22301 a été élaborée spécialement afin de permettre aux organisations de s’inscrire dans une démarche d’amélioration continue : c’est un cadre standardisé idéal pour démarrer. « L’enjeu n’est autre que de mieux protéger l’activité dans sa globalité, par une meilleure compréhension des processus et des risques, et de s’assurer de sa robustesse avec l’ensemble des parties prenantes telles que les clients, les partenaires ou encore le régulateur de l’entreprise, explique Christophe Ruppert. Une telle certification est de nature à rassurer, à garantir la confiance vis-à-vis de la tenue des activités. » EBRC accompagne des institutions actives dans le secteur de la finance, des banques, de l’industrie et de l’assurance pour l’obtention de cette certification.
Auteur : EBRC
Selon Christophe Ruppert, Senior Consultant, Lead Implementer & Lead Auditor ISO 22301, Business Continuity Management Practice Lead, EBRC, beaucoup d’acteurs confondent risque et menace. Il est toutefois important de les distinguer. La menace est un élément bien particulier, une occurrence parfaitement identifiable. Il peut s’agir de la divulgation d’informations, une tentative de corruption, une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente.
Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation, ou encore vis-à-vis des obligations règlementaires. On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter.
