Business

Maîtriser le risque à l'heure des menaces complexes

Le 20 mai 2014, CIO a organisé une conférence sur la maîtrise des risques dans le contexte d'émergence croissante de menaces de plus en plus complexes et diverses.

PublicitéLa maturité des organisations à l'égard des menaces de plus en plus complexes pesant sur l'IT est tout à fait insuffisante. Il ne s'agit pas seulement de cybercriminalité mais bien de l'ensemble des risques internes et externes pouvant impacter l'IT. Ces risques sont peu, mal voire pas gérés dans de trop nombreux cas. C'est le principal résultat de l'étude CIO dont les résultats ont été divulgués lors de la Matinée Stratégique « Maîtriser le risque à l'heure des menaces complexes » organisée par CIO le 20 mai 2014 au Centre d'Affaires Paris Trocadéro.

La présentation de l'étude en vidéo

Simplifier les tâches face à la complexification des menaces

L'un des problèmes de la complexification des menaces est celle, induite, des tâches nécessaires pour gérer ces menaces. Le coût de cette gestion explose, tout comme le risque d'erreurs pouvant créer des failles dans la sécurité. « Il est indispensable de rationaliser les tâches des administrateurs de la sécurité en les dotant d'une console unique, simple à gérer, et possédant des garde-fous » a martelé Rémi Enjalbert, Ingénieur avant-vente, Mc Afee - Intel Security.

L'intervention de Rémi Enjalbert en vidéo

François Beaume, président de la commission SI de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), confirme : « il y a une accélération des changements ces dernières années, notamment avec le nomadisme qui change le visage des systèmes d'information mais aussi avec les services généraux sur IP : désormais, même les photocopieurs peuvent stocker des données sensibles. » Animateur de la prise en compte des risques par chaque fonction de l'entreprise, dont la DSI, le gestionnaire de risques doit ensuite s'assurer de la bonne couverture de ces risques, éventuellement avec un transfert vers les assureurs quand c'est possible.

L'intervention de François Beaume en vidéo

La cybercriminalité ne doit pas être négligée

Malgré tout, la classique cybercriminalité ne doit pas être négligée. « Les attaques ciblées ont touché toutes les grandes entreprises, être une cible est la norme mais les entreprises ne détectent les agressions que rarement » a regretté Loïc Guezo, Information Security Evangelist pour l'Europe du Sud chez Trend Micro. Il a insisté sur la nécessité d'avoir une réponse globale sur toutes les faces du SI mais sans ajouter une couche de complexité.

PublicitéL'intervention de Loïc Guezo en vidéo

« Toutes les faces » va cependant bien au delà du seul SI au sens strict, même quand on parle de menaces sur l'IT. Il faut en effet inclure les risques associés aux fournisseurs, partenaires et clients, bien entendu ceux qui le sont à la cybercriminalité comme ceux en matière d'Intelligence Economique. C'était le sujet d'une table ronde réunissant Christian Fouquet (Directeur audit et risques du laboratoire LFB), Yannick Kereun (RSSI de Docapost BPO), Philippe Ramon (Chef du pôle sécurité économique et affaires intérieures à la DIIE, Délégation interministérielle à l'intelligence économique) et Didier Sallé (Directeur Achats du Groupe Atalian, membre de la CDAF, Compagnie des Dirigeants et Acheteurs de France).

La table ronde en vidéo

Maîtriser les risques sur ce que l'on ne maîtrise pas

Maîtriser les risques sur ce que l'on ne maîtrise pas

L'une des difficultés pour maîtriser certains risques, c'est qu'ils concernent des infrastructures que l'on ne maîtrise pas, par exemple celles de ses clients, fournisseurs et partenaires. Anne-Sophie Marencic, Sales Manager Enterprise France de l'opérateur Level 3, affirme : « nos infrastructures permettent de corréler les incidents et détecter les attaques avant qu'elles n'atteignent les infrastructures internes des entreprises ».

L'intervention de Sophie Marencic en vidéo

C'est aussi la logique développée par Akamai, connue pour ses seules activités de CDN. « Tout le monde passe chaque jour par des serveurs Akamai et nous avons ainsi une parfaite connaissance de ce qui se passe sur Internet, nous permettant de garantir la performance et la sécurité du monde hyperconnecté ubiquitaire » a expliqué Christopher Wiltberger, Regional Sales Manager d'Akamai. Emmanuel Macé, Senior Solutions Engineer chez Akamai a renchérit : « nous prenons le contrepied de l'attitude classique : Internet n'est pas la menace mais la solution ».

L'intervention de Christopher Wiltberger et Emmanuel Macé en vidéo

Le Grand Témoin de la matinée était Alain Bouillé, Président du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique). Il a, quant à lui, explicité le rôle du RSSI dans cette gestion du risque face aux menaces complexes.

L'interview d'Alain Bouillé en vidéo

Les hommes remplacent les machines

L'une des menaces à prendre directement en compte par le RSSI est évidemment celle de la cybercriminalité. Les attaques avancées sont en moyenne détectées au bout de 243 jours. Cette détection est le point critique. « Derrière les attaques, il y a de plus en plus souvent des humains avec des capacités d'adaptation à vos réponses et plus des robots stupides » a insisté Thibaud Signat, Responsable Avant-Vente de FireEye Europe du Sud. Et ce qui est détecté par FireEye ne l'avait pas été par les autres moyens classiques.

L'intervention de Thibaud Signat en vidéo

Si le risque se réalise malgré tout, il faut donc en assumer les conséquences et, auparavant, les avoir anticipées. Nicolas Hélénon, courtier chez Neotech Assurances, et Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, ont explicité comment l'appréhension juridique et assurentielle des risques pouvait être une réponse à ce besoin.

L'intervention de Nicolas Hélénon et Etienne Papin en vidéo

La nouveauté ne doit pas faire oublier les menaces classiques

Répondre à tous les risques, ou bien accepter de les assumer, est donc bien une nécessité. S'il faut identifier les risques nouveaux, complexes, évolutifs, les bonnes vieilles menaces traditionnelles sont toujours là et leur gestion doit être incluse dans la gestion globale des risques. En conclusion, Philippe Rondel, Directeur Technique France de Checkpoint, a insisté : « méfiez vous des discours 'ça ne suffit plus' ; évitez de les transformer en 'ça ne sert plus à rien' ! Il ne faut pas oublier les fondamentaux. »

L'intervention de Philippe Rondel en vidéo