Georges Ataya
La sécurité de l’information était la prérogative des responsables techniques ou des ingénieurs systèmes des très grandes entreprises. Aujourd’hui, c’est une question primordiale pour tout chef d’entreprise responsable et pour son équipe dirigeante.
Plus de cinq cent mille incidents rapportés au Cert.be (l’équipe fédérale d’intervention d’urgence en sécurité informatique). On est aujourd’hui à une croissance de plus de 500% depuis 2010. Récemment et suite à un chantage qui n’a pas été accepté, des milliers de données privées de clients belges d’une entreprise étaient publiées sur le net. Ce mois-ci, plusieurs sites et systèmes de médias belges ont été piratés. Il s’agiit non seulement de modifier les sites, mais aussi d’accéder aux systèmes centraux des entreprises pour les bloquer, altérer les données ou tout simplement paralyant toute activité. Il ne s’agit donc pas de se demander ce que l’entreprise fera en cas d’incident mais ce qu’elle devrait faire aujourd’hui pour augmenter ses chances de mieux réagir. Et pourquoi pas d’être bien plus proactive.
Le contexte de la cyber-sécurité
Les dirigeants des entreprises ainsi que leurs conseils de surveillance, membres du conseil d’administration et des comités qui s’y rattachent, se rendent aujourd’hui compte des risques importants liés à la cyber-(in)sécurité. Plusieurs d’entre eux exigent de recevoir l’assurance que l’entreprise est capable de prévenir et de se défendre contre les attaques potentielles et, par ailleurs, qu’elle possède la capacité de prendre les actions adéquates lorsqu’un incident est détecté.
Les entreprises prévoyantes connaissent leurs capacités internes en termes de gestion de la sécurité de l’information et de la sécurité informatique. Elles analysent leurs vulnérabilités identifiées et les menaces connues qui mettront en danger leur patrimoine informationnel et informatique afin de déterminer quel niveau de protection est nécessaire. Elles définissent leur propre “appétit au risque” et admettent qu’il soit adapté à leurs besoins spécifiques et à leurs objectifs métiers, produits et vulnérabilités propres. Il est défini de manière à ajuster les investissements, en termes de moyens de détection et de protection, à leurs pertes potentielles, financières, matérielles, en réputation, directes et indirectes.
Lorsqu’un incident se déclare, les dirigeants proactifs ne souhaitent pas qu’un temps précieux s’écoule dans l’attente que des actions soient prises, de manière improvisée, par un responsable non averti. Ils reconnaissent que leur action devrait se situer en amont des incidents et non pas en réaction à ceux-ci. Ces actions prennent la forme de budgets adaptés aux objectifs de protection souhaités, de méthodes de travail adaptées, de politiques internes adéquates, de définition de responsabilités ayant autorité pour prendre les décisions adéquates avant, pendant et après un incident.
Développements récents
En décembre 2014, une nouvelle coalition s’est créée en Belgique qui regroupe des entreprises privées, des entreprises publiques ainsi que le monde académique. Un de ses objectifs est de promouvoir la conscientisation et l’échange d’informations entre acteurs privés et pouvoirs publics. Des universités offrent des formations en management de la cyber-sécurité. Des formations en sécurité de l’information sont également enseignées dans plusieurs hautes écoles et universités. De multiples centres de recherche, de par le monde, développent les connaissances techniques et managériales dans ce domaine. Des publications sont régulièrement produites ou mises à jour par des centres d’expertise tels l’ENISA, l’Agence Européenne chargée de la sécurité des réseaux et de l’information, par le NIST, l’institut national américain des technologies et des standards, et par beaucoup d’autres organisations nationales et internationales, universitaires, gouvernementales ou privées.
Compétences managériales requises
Sans vouloir s’attarder, dans le cadre de cet article, sur les différentes spécialités et domaines de compétences techniques, je me limite à énumérer les domaines de connaissances managériales dans les domaines de la cyber-sécurité. Un récent ouvrage sur les fondamentaux de la cyber-sécurité a récemment été publié par l’ISACA, fondation de recherche internationale qui lance aussi la certification de base sur les connaissances en cyber-sécurité. (isaca.org)
L’ouvrage communique le résultat d’une recherche de Booz-Allen Hamilton qui indique que, malgré les 400.000 professionnels en sécurité de l’information, seuls 32% des organisations disposent d’un nombre suffisant de professionnels en leur sein. On estime que le besoin à 4,8 millions d’experts en sécurité de l’information dans le monde en 2018. On risque bien d’être loin du compte si les mesures adéquates ne sont pas prises et les experts formés…
Besoin de compétences
Pour qualifier ces propos, l’ouvrage différencie les compétences en sécurité de l’information de celles de cyber-sécurité. Les premiers traitent de la sécurité de l’information indépendamment de sa forme et de son support (électronique, papier ou verbal). Les seconds sont par contre concernés par la protection des biens électroniques et des données, qu’elles soient véhiculées par des réseaux ou résident sur un dispositif ou du matériel informatique connecté. Il n’est pas rare de rencontrer des entreprises dont les dirigeants ignorent tout ce qui concerne la sécurité de l’information dans leur entreprise et comptent candidement sur leur organisation pour en prendre connaissance et probablement agir.
L’ENISA et le NIST identifient les cinq fonctions essentielles nécessaires pour la protection des actifs électroniques, à savoir :
• l’identification : minimiser le risque en l’analysant et en étudiant son impact sur les biens, les données et les capacités d’action.
• la protection : concevoir des protections pour limiter la survenance et l’impact d’événements non souhaités qui affectent les services et les infrastructures.
• la détection : mettre en place une veille capable d’identifier les menaces et événements malveillants, tout autant que les solutions qui émergent
• la réponse : prendre en charge les événements inattendus de manière adéquate
• la récupération : remettre en service de manière adéquate et, à l’aide d’un plan prédéfini, les capacités et les opérations compromises par l’événement malveillant.
La cyber-sécurité implique plusieurs rôles dans l’entreprise. La gouvernance de la sécurité de l’information et de la cyber-sécurité concerne les dirigeants en charge de la définition des directions stratégiques, de la vérification de l’atteinte des objectifs, de l’obtention de l’assurance que les risques sont bel et bien identifiés et traités, et, finalement, d’un provisionnement suffisant et responsable des ressources permettant d’atteindre les objectifs de protection.
Il n’est pas rare de rencontrer des entreprises dont les dirigeants ignorent tout ce qui concerne la sécurité de l’information dans leur entreprise et comptent candidement sur leur organisation pour en prendre connaissance et probablement agir. On observe, dans de tels cas, que les ressources et les budgets sont exagérément sous-estimés par rapport aux besoins, en tout cas jusqu’au prochain incident grave. Sans savoir si on sera à même de survivre, d’avoir suffisamment de résilience.
Rôles et responsabilités
Le rôle des gestionnaires des risques est de construite et de mettre en place l’organisation nécessaire pour identifier et pour proposer des actions responsables face aux risques identifiés et labellisés comme inacceptables pour leur entreprise. Il n’est pas rare de rencontrer des organisations disposant d’un équipe centrale qui travaille depuis sa tour d’ivoire sans réelle connexion avec les réalités des risques opérationnels et sans capacité à mettre en place des remédiations et des protections optimales. Seuls les responsables-métier sont à même d’estimer correctement le risque.
Il n’est pas rare de rencontrer des organisations disposant d’un équipe centrale qui travaille depuis sa tour d’ivoire sans réelle connexion avec les réalités des risques opérationnels et sans capacité à mettre en place des remédiations et des protections optimales.
Les activités de conformité concernent ceux qui agissent pour assurer l’alignement avec les procédures, règles, réglementations et autres obligations contractuelles ou lois applicables. L’efficacité de cette action est maximale lorsque la totalité de ces acteurs, du personnel de l’entreprise et toutes les personnes indirectement concernées, sont mobilisées pour faire face au risque. Il s’agit aussi des fournisseurs externes, des partenaires commerciaux, voire des clients, par exemple les utilisateurs de système d’opérations bancaires à distance. Toutes les ‘parties prenantes’ devraient être impliquées, y compris les utilisateurs finaux.
Le responsable de la sécurité de l’information, en ce compris la cyber-sécurité, gère les différentes actions et tâches concernées dans une entreprise. Le positionnement de cette personne dans l’entreprise varie selon la taille, le secteur ou tout simplement la culture de l’entreprise et sa sensibilité face au risque.
Il n’est pas rare de rencontrer des entreprises ne disposant de responsable de la sécurité qu’au sein du service informatique. Et pourtant, la majorité des actions de sensibilisation, d’identification, d’évaluation des risques et de mise en place de protections fonctionnelles se situent souvent en dehors de la responsabilité et de l’autorité du service informatique. Par ailleurs, dans quelques entreprises sensibles, le budget relatif à une sécurité de l’information adéquate dépasse celui de l’informatique de ladite entreprise. Il est fréquent de rencontrer des entreprises disposant de responsables de la sécurité de l’information qui ne disposent pas d’un budget spécifique ou, pire, dont le budget est calculé sur base d’approximations ou d’allocations aléatoires de fonds, sans la moindre relation avec une étude de risque et une évaluation des mesures indispensables à mettre en place.
Pour mettre en place les protections et assurer la cohérence de l’ensemble des dispositifs mis en place pour contrer les menaces et pour combler les vulnérabilités, les experts techniques de la cyber-sécurité font partie du personnel ou sont engagés en tant que consultants externes. Vu la rareté des techniciens et des experts dans ces domaines, il n’est pas rare de rencontrer des entreprises négligeant ou remettant au lendemain, par la force des choses, la mise en place des protections les plus urgentes.
Responsabilités du dirigeant
Il est important pour un dirigeant de connaître la position de son entreprise dans les différentes phases du cycle de mise en place d’une sécurité adaptée de l’information. Quels sont les risques les plus critiques, les pires scénarios que l’on ne souhaite pas voir se concrétiser et les tâches urgentes qui ne peuvent plus être omises sans mettre en danger la réputation ou la valeur de son entreprise?
Ces questions ne sont pas celles que se pose le technicien mais celles du dirigeant responsable. Quel dirigeant responsable ne se les est pas encore posées.
Georges Ataya est professeur à la Solvay Brussels School of Economics and Management, en charge des formations en IT Management Education et en Information Security Management Education(solvay.edu/it) Il est aussi associé gérant d’ICT Control s.a., cabinet de conseil en management.
Le dirigeant face à la cyber-sécurité de son entreprise
19 avril 2015