CISO
Sécurité informatique : la victoire aime la préparation
Share this post:
Le président américain Dwight Eisenhower, l’un des artisans incontestés de la victoire alliée pendant la Seconde Guerre mondiale, soulignait qu’« aucune bataille n’est jamais remportée en suivant le plan, mais aucune bataille n’est jamais remportée sans en avoir un ». Lee Morrison, instructeur de sports de combat médiatisé, résume : « l’attaquant a par définition toujours un temps d’avance sur le défenseur. Pendant une attaque, il ne faut donc pas avoir à se poser trop de questions ». Ces deux hommes et leur point de vue respectifs sur la manière d’aborder la défense peuvent nous inspirer en matière de sécurité informatique.
Face à des phénomènes comme la pandémie de Covid-19, les entreprises se sont adaptées différemment, selon l’influence qu’elles accordent à leur responsable de la sécurité au sein du Comité de Direction. Bien entendu personne ne pouvait prévoir cette crise sanitaire majeure, mais certaines entreprises avaient mis en place des procédures opérationnelles de sécurité informatique en cas d’événement de grande ampleur, à l’instar d’une crise économique ou d’une catastrophe naturelle. Pour les services les plus stratégiques (énergie, transports, télécoms…), c’est parfois une obligation légale.
Cartographier ses risques de sécurité informatique
Pour bien se préparer, il faut identifier et mesurer chaque risque. Chaque entreprise doit se demander ce qui peut l’impacter : une catastrophe écologique ? Un incendie ? Un rappel produit catastrophique ? Une cyberattaque ? Si un problème est statistiquement peu probable, mais qu’il a la capacité de causer de lourds dommages à l’entreprise, alors il faut chercher à s’en prémunir. La maîtrise du risque passe par une cartographie précise des points sensibles de l’entreprise. Un ransomware comme Wannacry peut bien détériorer 1000 ordinateurs au sein d’une institution par exemple, si aucun de ces postes n’est stratégique, la survie de l’organisation n’est pas en jeu. En revanche, si le 1001e poste contient des données sensibles, il faut le savoir et se préparer en conséquence.
Simuler une vraie attaque
Après la prise de conscience, la protection : les solutions sont nombreuses et il convient de les éprouver. Pour connaître l’efficacité de sa protection, une façon simple et pragmatique est d’orchestrer une attaque sous contrôle. Autrement dit, d’engager de vrais hackers qui vont tenter de pénétrer dans le système et d’accéder aux données sensibles – sans réaliser de dégâts. Ces « white hackers », des pirates éthiques qui travaillent au service des entreprises, peuvent rapidement révéler les points faibles du système d’information. Après tout, n’est-il pas préférable de connaître ses faiblesses pour les corriger proactivement, plutôt que de les voir exploitées par des personnes malveillantes ?
Le RSSI dans le comité de direction
Il n’en reste pas moins vrai que pour faire accepter de mener ces exercices de préparation à large échelle et s’outiller des plateformes adéquates, le RSSI doit convaincre le comité de direction, en adoptant le langage métier de ceux qu’il doit protéger. Sans l’aval du comité de direction, cette préparation, hautement nécessaire pour faire face à une attaque cyber, n’aurait aucun sens.
Dans bien des cas, quand ces exercices sont menés avec une portée limitée, ils créent un sentiment dangereux de fausse sécurité. Alex Honnold, l’un des meilleurs grimpeurs du monde, spécialiste des grandes voies sans assurance, dit « je visualise le pire pour rester honnête avec moi-même ; si je ne visualisais que le meilleur, je me mettrais dans un pétrin auquel je ne suis pas préparé. » En cybersécurité c’est exactement la même chose : on fait se préparer l’entreprise pour un risque que l’on cherche au maximum à éviter, tout en sachant que le risque zéro n’existe pas, avec l’idée qu’aucune préparation ne correspondra exactement à une attaque, mais qu’aucune attaque ne se trouvera sans réponse !
Paru dans le JDN
Directeur Business Development – IBM Security France
Intégration par design : la clé de la réussite de la transformation cloud
La transformation cloud est un processus complexe qui nécessite une planification méticuleuse et une exécution soignée pour réussir. Alors que les organisations se lancent dans la transformation du cloud, elles se concentrent souvent sur la migration des applications et des données vers le cloud, négligeant un aspect critique : l’intégration. L’un des défis majeurs que […]
Simplifier les déclarations liées à la CSRD grâce aux nouvelles fonctionnalités d’IBM®Envizi™
IBM a le plaisir d’annoncer la prise en compte de la directive européenne (CSRD) dans le module « sustainability reporting manager » d’IBM® Envizi™. Cette considération aidera les entreprises à répondre aux exigences de reporting de la directive européenne (CSRD). La CSRD impose aux entreprises de fournir des informations et des indicateurs définis via les […]
Comment bien préparer la migration d’un parc applicatif dans le cloud avec IBM Consulting (2/2) ?
Dans notre article « Comment bien préparer la migration d’un parc applicatif dans le cloud avec IBM Consulting (1/2) ? », nous avons présenté les différentes étapes du pré-assessment technique qui consiste à analyser l’ensemble des applications du patrimoine applicatif. Dans cette seconde partie, nous allons détailler l’assessment technique à réaliser pour chacune des applications. Phase […]