Alors que les directions générales prennent de plus en plus le sujet de la cybersécurité en main, notre chroniqueur Michel Juvin revient sur l’intérêt d’un document trop souvent oublié à leur niveau : le plan stratégique cyber.
Régulièrement, et en tout cas en cette période de cyberguerre officielle, il est nécessaire de prendre le temps de repenser son rôle d’expert cybersécurité et l’orientation que l’on doit donner à son entreprise dans la gestion des risques cybers.
Pour être efficace, cette démarche de remise en question nécessite de comprendre pourquoi il faut mener cette réflexion, quels sont les objectifs d’une stratégie de cybersécurité, comment définir le contenu de ce document, sa gouvernance et identifier les sponsors et acteurs des actions cyber et, de quelle manière proposer un planning court et moyen terme à réaliser.
A lire aussi : [Chronique] Responsabilité partagée de la sécurité de l’information : quels rôles ne pas sous-estimer ?
Enfin, il ne faut pas oublier de préparer l’auditoire du document, généralement les membres du Comité de Direction, et bien réussir la communication finale pour être certain de mettre en œuvre ses propositions de réduction des risques. Car, il faut le redire, sans tout cela, la définition de la stratégie cyber de l’entreprise restera le grand chantier oublié de la transformation pour les dirigeants…
Alors, passons en revue ces principales questions à traiter absolument :
Pourquoi concevoir et présenter une stratégie de Cybersécurité ?
Si on vous demande d’établir une stratégie de cybersécurité et que vous ne donnez qu’un plan d’actions, il est fort probable que vos propositions ne soient pas suivies et appliquées. Une stratégie de cybersécurité n’est pas de la cosmétique ni de l’enrobage, il s’agit d’un outil puissant de communication et d’enrôlement d’acteurs qui conduiront l’entreprise dans une bonne direction et une bonne gestion de la protection de son capital informationnel.
Il est nécessaire de s’adapter à son auditoire surtout lorsque l’on veut que ce dernier s’engage dans votre projet. Présenter un plan d’actions sans expliquer pourquoi il est nécessaire de l’appliquer correspond à informer une personne sans l’impliquer. Même par sympathie, il ne pourra pas être un sponsor des actions cyber. Il faut donc enrôler son auditoire à travers l’explication des actions et intégrer des actions dans le plan d’actions respectif de chacun des membres du Comité.
Différentes méthodes existent pour motiver les membres du Comité de Direction. Michel Gérard de Conscio Technologie propose par exemple de les sensibiliser dans une courte vidéo.
Quels sont les objectifs d’une stratégie de Cybersécurité ?
- Réduire les cyber-risques par des actions visant à diminuer l’impact d’une cyber-attaque sur la vie de l’entreprise, renforcer sa résilience et protéger ses employés tout en assistant à la réalisation des objectifs stratégiques de développement de l’entreprise.
- En fonction de l’entreprise, on va aussi démontrer qu’il faut associer la prise en compte de la cybersécurité dans des plans de développement de systèmes d’information qui exploiteraient des lacs de données (data lakes) non-encore valorisés.
Pour cela, il faut :
- Recevoir, écouter et comprendre le plan d’évolution stratégique de l’entreprise et les conséquences sur la gestion de l’information,
- Définir une trajectoire d’accroissement de la cyber-maturité et analyse de risques et des menaces qui pèsent sur l’évolution de l’entreprise en ayant pris soin de valoriser la donnée et les risques,
- Proposer de mettre en place des projets avec une organisation, des procédures et des solutions techniques pour diminuer les vulnérabilités, protéger et aider à gérer les informations et préparer l’entreprise à une crise cyber,
- Accompagner tous les autres projets de l’entreprise pour protéger le capital informationnel et permettre la réalisation de la stratégie de développement,
- Définir un tableau de bords de la cybersécurité composés d’indicateurs sur les solutions techniques et l’efficacité des procédures de cybersécurité avec les trois axes suivants :
à présenter régulièrement au Comité de Direction ; au moins deux fois par an :- L’avancement des actions pour réduire les vulnérabilités identifiées,
- La surveillance de l’exposition aux risques intrinsèques de l’entreprise,
- Les indicateurs de la veille géopolitique et géostratégique du contexte de l’entreprise.
Intégrer le plan d’évolution stratégique de l’entreprise
Cette information est primordiale pour donner de la profondeur au plan stratégique cyber de l’entreprise et elle n’est pas toujours évidente à recevoir pour l’Expert Cybersécurité. En effet, il peut ne pas appartenir au cercle des Directeurs définissant le plan d’évolution à 3 ou 5 ans de l’entreprise et donc ne pas anticiper sur les potentiels risques auxquels sera confrontée celle-ci.
Cependant, l’Expert Cybersécurité peut aussi s’appuyer sur ses pairs et des documents comme le livret-Anticipation 2030 du Cyber Campus[1] pour donner des orientations à son management sur la gestion de l’information dans les années à venir. La garantie pour tous les hackers à rançonner les entreprises de manière impunie[2], l’hyper-connectivité, le changement climatique et les engagements éco-responsable des employés… Autant de contexte dont il faut évaluer les risques et sélectionner les plus impactant.
L’analyse de risques et des menaces
Elle doit prendre en compte tous les risques auxquels est exposé l’entreprise :
- Les risques économiques : compétition, guerre et criminalité,
- Les risques liés au vol de propriété intellectuelle ou d’attaque personnelle (sur les employés),
- Les risques liés aux mouvements idéologiques ou géopolitiques,
- Les risques environnementaux,
- Les risques systémiques,
- Les risques liés à l’absence de cyber-maturité de l’entreprise (procédure, formation),
- Et les risques liés aux vulnérabilités de ses systèmes d’information gérés en interne ainsi que ceux gérés par les partenaires et sous-traitants.
Les risques sont qualifiés, catégorisés et valorisés proportionnellement entre eux grâce sur une même échelle[3] ; puis leur probabilité d’occurrence est estimée pour les représenter sur un même graphe. Les actions visant à réduire ces risques sont identifiées (mitigating factors) pour en calculer le risque résiduel que l’entreprise devra accepter à l’issu des plans d’actions[4].
Définir des programmes et/ou plans d’actions
La mise en place des programmes et plans d’actions pour réduire les risques issus de l’analyse précédente est une combinaison des trois piliers d’un projet : une organisation dédiée, des procédures établies et une solution technique adaptée.
Pour chaque programme/projet :
- la liste des acteurs est identifiée du top management (Process Owner) jusqu’aux équipes en charge de la réalisation (interne/externe et hybride), leur charge de travail et planning de révision du projet sont présentés,
- les procédures de suivi et de maintenance des actions de réduction des risques sont définies ainsi que les moyens de contrôle de l’application de ces procédures,
- enfin, la ou les solutions techniques sont présentées avec un thème relatif à l’acquisition de ces solutions et les risques liés à un éventuel partenariat ou sous-traitant.
Ces projets seront alors présentés dans le document stratégie cyber final avec pour objectif d’impliquer le top management comme ceux qui auront la charge de les réaliser.
Définir un tableau de bords des risques cyber
C’est l’un des éléments clefs de la stratégie Cyber et il n’existe pas de template en matière de tableaux de bords ; il doit s’adapter au contexte et à son auditoire. Cette synthèse d’indicateurs a pour objectif de donner des informations exactes sur l’avancement des projets de cybersécurité ainsi que donner une note globale de la protection du capital informationnel, de sa gestion et une tendance résultant de l’avancement des projets par rapport aux délais définis initialement. Il faut que ces indicateurs soient objectifs et ne montrent pas une fausse sensation de sécurité. Par exemple, la mise en place d’un patch de sécurité doit l’être toutes les machines : 100%, les quelques machines restantes doivent avoir un plan d’actions de remédiation, etc.
Un tableau de bords doit être bidirectionnel. Il est à destination du top management mais aussi actionnable, c’est-à-dire que le top management doit y voir la possibilité de suivre et ou monitorer ses équipes respectives en charge des projets.
Les principaux risques, exposants le plus l’entreprise – par rapport à la vision et la compréhension de l’Expert Cybersécurité-, sont les plus visibles et mis à jour régulièrement[5] en fonction des évolutions contextuels ou l’apparition de nouveaux risques.
Quelles orientations primordiales à donner à l’entreprise pour gérer sa Cybersécurité ?
Face au contexte, les Experts Cybersécurité sont confrontés à des choix stratégiques ou faire des priorités en pariant sur l’évolution des menaces ou sur l’avenir.
Cependant, plus pragmatiquement, certains l’appellent le « good enough », il y a des basiques aujourd’hui à mettre en place impérativement :
- Protéger les postes de travails et autres serveurs ouverts sur Internet avec un EDR (ou XDR) pour détecter au plus tôt une potentielle attaque et remplacer les antivirus qui s’appuyaient sur des listes de signatures connus de virus,
- En parallèle de la solution EDR, il est souhaitable d’avoir un SOC (Security Operation Center) pour confirmer un système automatique de prise de décision,
- S’assurer que les droits d’accès aux systèmes d’information sont correctement gérés ; depuis les administrateurs[6] aux simples utilisateurs en passant par les droits d’accès des sous-traitants ainsi qu’aux données sous-traitées,
- S’assurer que tous les partenaires et fournisseurs de services appliquent le niveau de protection de l’information définit dans la Politique de Sécurité,
- S’assurer que tous les patchs de sécurité ont été appliqués à temps sur tous les OS et middelware, y compris pour les informations sous-traitées en externe,
- S’assurer des tests de backup et recouvrement des environnements informatiques,
- Avoir un plan de gestion de crise avec une cellule de crise et les premières actions prêtes à être appliquées (communication alternative sécurisée) …
Le plan stratégique de Cybersécurité n’est pas un document standard. Il doit être adapté aux enjeux de l’entreprise, son mode de management, son contexte et son évolution. La présentation du document est tout aussi importante que son contenu et l’Expert Cybersécurité devra l’adapter aux attentes du Comité de Direction et de l’activité de l’entreprise.
Mais cet effort en vaut la peine, pour mettre l’entreprise et ses dirigeants sur les rails d’une vision cohérente et engageante de la cybersécurité, qui participera d’autant plus à un meilleur partage des responsabilités en matière de sécurité de l’information, comme je l’expliquais dans mes précédentes chroniques.
[1] https://campuscyber.fr/wp-content/uploads/2022/02/LIVRET-ANTICIPATION-2030.pdf
[2] Autorisation donnée par la Russie et l’Ukraine fin mars 2022
[3] Il est très important de définir sous forme de seuils dans une tableau les critères de valorisation des risques et des probabilités d’occurrence. Ces barèmes peuvent être validés avec le management avant de commencer l’évaluation.
[4] Attention à ne pas anticiper la réalisation des plans d’actions de réduction des risques qui doivent être finis avant de ne retenir que les risques résiduels !
[5] Une mise à jour trimestrielle est souhaitée
[6] Les Administrateurs ont les droits d’accès maximum sur tous les serveurs ; ces clefs doivent être gérées comme celle d’une maison : chaque clef est identifiée et tracée