LES 18 ACTEURS CLES CYBER A BIEN COORDONNER
Anecdote pour introduire le sujet
Lors d’une réunion d’entrepreneurs, autour d’un verre, pour faire des partages d’expériences tout sujet confondu, un Pdg se voit demander par un spécialiste de cybersécurité:
« Et en cybersécurité, vous êtes protégés ? ».
Réponse du PDG, sans hésitation: « Oui, nos données sont stockées sur un serveur sécurisé. Et notre DSI veille à ce que cette sécurité soit la plus solide possible. »
Relance du spécialiste : « Protéger les serveurs, c’est bien ! Mais les pirates ne s’attaquent pas qu’aux serveurs et les failles d’un système de sécurité viennent le plus souvent du comportement des utilisateurs. L’ANSSI le souligne. Vous avez fait aussi le nécessaire de ce côté ? »
Réponse du PDG, sans hésitation : « C’est le problème du DSI et je vous redis que nos données sont sécurisées. »
Cette anecdote montre qu’il est difficile de se comprendre déjà parce que la multiplicité des acteurs clés Cyber n’est pas connue et beaucoup croient que c’est un sujet pour le seul DSI. Alors cet article va vous en donner un aperçu pour clarifier les rôles et contribution de chaque acteur.
Introduction à la Cybersécurité
D’abord un rappel de définition pour cadrer le sujet : La cybersécurité est la pratique qui consiste à protéger les systèmes critiques et les informations sensibles contre les attaques numériques qu’elles proviennent de l’intérieur ou de l’extérieur d’une entreprise.
Ensuite une règle de la présentation ci-dessous. Les acteurs clés Cyber sont présentés de façon logique mais sans ordre de priorité. Car ils interviennent chacun comme un maillon d’une chaîne complète de sécurité. Chacun sait que la solidité d’une chaîne est la solidité du maillon le plus faible. Il n’y a donc pas d’acteur plus important que d’autres. Qu’un seul maillon soit faible ou insuffisant dans son rôle et c’est toute la chaine qui va être affaiblie. A l’arrivée la Cybersécurité sera défaillante.
Les acteurs clés Cyber
« 18 » Retenez bien ce chiffre. Non pas parce que c’est le numéro des pompiers. Mais parce qu’il y a dix-huit acteurs clés Cyber importants dans la chaîne de sécurité. Ce sont donc 18 maillons qui doivent être robustes. La faiblesse d’un seul maillon compromet la robustesse de toute la chaîne. Il n’y a pas de petit maillon ou de petite faiblesse. On dit que le diable se cache dans les détails. Le pirate informatique aussi. Au premier rang se trouvent 10 acteurs qui ont pour point commun d’être à l’initiative d’actions. Ces actions font l’objet d’un autre article pour détailler l’ensemble des mesures, des procédures, des contrôles, des suivis, des textes, des mises en place d’outils, des surveillances et des tests qui les constituent.
1. Le Président
Bien sûr le Président doit veiller à tout dans une entreprise et tous les gros problèmes lui remontent. Mais ce n’est pas un truisme de le mettre comme acteur de la Cybersécurité. En plus de la stratégie de l’entreprise et de ses déclinaisons en moyens d’attaque -offre, choix des hommes, organisation, choix des outils, des méthodes, partenaires, etc. ,le Président veille aux moyens de défense. Cela inclue: Veille concurrentielle, brevets, contrats. La mise en place des moyens de Cybersécurité fait pleinement partie de la mission du Président. Les Cyberattaques sont coûteuses et peuvent détruire l’entreprise. L’organisation de la défense Cyber s’inclut aujourd’hui dans les priorités du Président. L’enjeu est trop fort pour qu’il ne prenne pas le temps de s’approprier le sujet.
2. Le Collaborateur
La mise en place de recommandations, méthodes & outils pour se prévenir des cyberattaques n’a d’efficacité que si les collaborateurs les respectent et s’ils ne font pas d’erreurs de vigilance ou d’attitude dans leur manipulation des outils informatiques. Les pirates informatiques s’appuient sur de petites erreurs comportementales des collaborateurs pour pénétrer les systèmes informatiques et ensuite les polluer. L’attention du collaborateur à la Cyber sécurité dans ses gestes quotidiens doit être constante. Bien sûr, le collaborateur n’a pas la volonté de nuire. Mais il n’a pas toujours conscience que certaines de ses actions, inscrites dans sa routine, introduisent des failles de sécurité. Son niveau de vigilance doit être renforcé. Le collaborateur doit donc être formé aux bons gestes et périodiquement rappelé au respect des bonnes pratiques. La défense Cyber fait maintenant partie intégrante de ses tâches.
3. Le Manager
Le Manager est un collaborateur particulier qui prend des engagements auprès de la Direction Générale et se doit de les tenir. L’engagement Cybersécurité s’ajoute aujourd’hui aux autres engagements du manager et donc à sa charge de travail. « Je n’ai pas le temps » constate-t-il. « Ce n’est pas dans mes priorités » pense-t-il. La cybersécurité étant vitale pour l’entreprise, le Manager doit réviser ses priorités et trouver le temps pour la Cybersécurité. C’est du temps pour lui afin qu’il soit un maillon exemplaire de la chaîne de sécurité. C’est une part de son temps pour ses collaborateurs pour les motiver sur l’importance des précautions à prendre et des règles à respecter. Le manager doit aussi leur libérer de leur temps à eux pour qu’ils se forment. La Manager doit consacrer du temps à l’écoute des remontées d’information sur la Cybersécurité car elles encouragent la vigilance des collaborateurs et permettent l’anticipation des alertes.
4. Le RSSI
Le « Responsable de la Sécurité des Systèmes d’Information » est la personne qui assure le pilotage de la démarche de cybersécurité sur un périmètre organisationnel. Il conçoit et calibre les actions, outils, mesures, démarches, règles tant en prévention, protection, détection, résilience, remédiation. Il en assure la traçabilité écrite. Il veille à son application, s’assure de la mise en place des solutions et des processus opérationnels pour garantir la protection des données et le niveau de sécurité des systèmes d’information. Le RSSI assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte, en particulier auprès des Managers et collaborateurs. Il doit comprendre les informaticiens pour dialoguer avec eux. Mais il doit surtout connaître et comprendre les Managers et Collaborateurs pour leur faire passer les messages indispensables. C’est un coordinateur et non pas quelqu’un sur lequel on se décharge du problème de Cybersécurité.
5. Le DSI
Contrairement aux idées reçues, le DSI -Directeur des Systèmes d’Information- n’est pas l’homme qui a en charge la Cybersécurité. Sa mission est de définir, mettre en place, piloter et contrôler les outils techniques de protection des Systèmes d’Information. Et c’est déjà beaucoup. Il veille à ce que l’ensemble des choix informatiques intègre la contrainte de Cybersécurité que ce soit dans les terminaux, les logiciels, les réseaux, portails sur le cloud. Il achète et déploie les logiciels et matériels nécessaires à la gestion des mots de passe, des identités, des risques, des matériels. Il gère le parc informatique, le configure et le monitore. Il achète les firewalls, les antivirus. Il définit les procédures et moyens de sauvegarde ainsi que de restauration. Il les teste. Il commande les tests de pénétrations et simule les attaques. Le DSI est l’homme clé da la boite à outil technique mais les pirates contourneront son dispositif si le comportemental humain du reste des acteurs clés Cyber ne l’aide pas.
6. Le DRH
Toutes les études montrent que la Cyber Insécurité vient du comportemental humain. Il est évident que la gestion de la ressource humaine est clé en matière de Cyber sécurité. Au niveau du recrutement, les tests de personnalités des nouveaux entrants doivent permettre de rassurer sur leur moralité. Les contrats de travail doivent inclure des obligations de respect des mesures de Cybersécurité de l’entreprise. Pendant toute la durée de la présence du collaborateur dans l’entreprise, le DRH doit mettre en place les programmes de formation au comportement Cyber sécurisé de l’entreprise. Le DRH inclut ce sujet dans les évaluations annuelles. Au moment du départ d’un collaborateur quelle qu’aient été sa forme et sa durée de présence (stagiaire et intérim inclus) le DRH s’assure de la sortie aussi des accès aux outils et aux données.
Le DRH est donc un appui substantiel à la mise en place et au maintien de la politique humaine de Cybersécurité.
7. Le Directeur achats
Ne croyez pas que la responsabilité des achats se limite aux seuls fournisseurs techniques. Les fournisseurs ont aussi accès à des données de l’entreprise qu’ils reçoivent, traitent et renvoient. Ils interagissent le plus souvent par mail. Le niveau de Cybersécurité des fournisseurs doit satisfaire les niveaux d’exigence de l’entreprise. Cela doit être défini par contrat et contrôlé. Le Directeur des achats doit donc négocier la chose qu’il achète et le prix mais aussi le niveau de sécurité demandé. La Cybersécurité devient donc une exigence des cahiers des charges de consultation, des contrats et des modalités de recette les livrables. Le Directeur des achats veille à ce que le risque ne rentre pas par l’extérieur.
8. Le Directeur juridique
Ces dernières années, des clauses « RGPD » ont été intégrées dans tous les contrats signés par l’entreprise. De la même façon des clauses de Cybersécurité doivent être intégrées par le Directeur Juridique dans tous les contrats. Contrats de travail, contrats fournisseurs, contrats clients, contrats de partenariats, conditions générales d’achat. La cohérence de ces clauses entre elles est importante pour qu’en cas d’attaque Cyber et de dommage, la responsabilité puisse être clairement établie. La veille juridique sur la Cybersécurité est aussi nécessaire car la jurisprudence comme les contraintes prétoriales ne sont pas encore pleinement établies.
9. L’Assureur
Tout mettre en œuvre pour se prémunir des risques Cyber ne vous dispense pas d’une bonne protection assurantielle. Avant de faire un devis et de proposer une police adaptée, l’assureur en Cybersécurité demandera à l’entreprise de compléter un questionnaire spécifique sur l’état de protection et les mesures prises contre les Cyber risques. Le courtier en assurance est donc aussi un acteur important qui permettra à l’entreprise de comprendre les exigences externes des grandes compagnies d’assurance et les dispositifs à entretenir pour garantir la couverture des dommages qui seraient subis.
10. Le contact ANSSI
Si vous êtes victime d’un acte de Cyber malveillance, vous souhaiterez naturellement prendre contact avec l’Agence Nationale de Sécurité des Systèmes d’Information pour trouver des réponses à des questions très variées. Quelle déclaration dois-je faire ? Quelle prestataire peut m’aider ? Comment conduire un premier diagnostic ? Il est donc prudent de prendre connaissance des arcanes de cette structure gouvernementale avant tout attaque. Vous connaîtrez ainsi leur approche (pédagogique vis-à-vis des entreprises) et disposer d’un nom d’interlocuteur à appeler en cas de crise. Les conseils de l’ANSSI sont précieux avant la crise pour se protéger au mieux et pendant pour limiter les dégâts.
Au second rang se trouvent encore 8 acteurs importants qui interagissent avec les premiers sur un périmètre plus délimité mais qu’il faut impérativement impliquer.
11. Le gestionnaire de réseau
Les entreprises ont toujours deux réseaux. Celui qu’elles promeuvent et qu’elles protègent de firewall et d’outils logiciels dont les mots de passe -réseau local sur site, réseau distant intersites ou en accès à des portails extérieurs-… Et celui qu’utilisent les collaborateurs. Ces réseaux sont moins protégés voir carrément dangereux -Wifi public, Bluetooth, Internet grand public etc. Le gestionnaire de réseau sécurise les réseaux choisis et dissuade d’utiliser les réseaux dangereux. Il a donc un impact fort pédagogique sur l’utilisation vertueuse des réseaux et le respect d’un comportemental sans faille des collaborateurs.
12. Le fournisseur de matériel terminal
Fournir un matériel -ordinateur, téléphone mobile, pieuvre, routeurs, casques- c’est aussi le configurer pour qu’il ne serve qu’à sa destination prévue et ne permette pas des utilisations malveillantes. Le recensement de tous ces matériels, leur attribution à un utilisateur ou à plusieurs partagés, leur désattribution, l’évolution de leurs releases, le suivi de leur configuration font du fournisseur de matériel terminal un des maillons incontournables de la chaîne de sécurité.
13. Le prestataire informatique
Le prestataire informatique, éditeur de logiciel ou SSII, fournit des logiciels qui inter agissent avec vos données. Ces logiciels sont attaquables par des pirates qui constamment recherchent leurs faiblesses. D’autant plus attaquables qu’ils ont été développés en utilisant des compléments de logiciel gratuits. Informez-vous sur les logiciels « Open source » Le respect des normes -Iso notamment- de sécurité par les logiciels est une obligation du prestaire informatique qu’il délivre un logiciel entièrement développé ou un progiciel à simplement paramétrer. La robustesse et traçabilité des constituants de sécurisation de ces outils constituent une obligation à respecter par le prestataire informatique.
14. Le prestataire de test
Se protéger sur le plan comportemental ou sur le plan technique, s’assurer que tous les dispositifs et la vigilance nécessaires sont bien mis en œuvre ne dispense pas de faire pratiquer des tests. Pensez notamment aux tests d’intrusion -Pentest- par un fournisseur extérieur. Ce prestataire doit être compétent pour pratiquer avec efficacité ces tests mais aussi d’une moralité irréprochable pour ne pas chercher à tirer un avantage financier des faiblesses qu’il aura détectées. Le prestataire de test est donc le dernier rempart d’alerte contre les démarches malveillantes.
15. Le fournisseur autre
On ne cambriole pas un lieu en rentrant par la porte blindée mais par une porte dérobée dont le niveau de sécurité est moins élevé. Les fournisseurs qui échangent des données avec l’entreprise interagissent à ce titre avec le système de Cybersécurité. Le fournisseur autre doit donc se révéler fiable et présenter les dispositions qu’il prend pour protéger l’entreprise. Ce sont ses propres accès, matériels et comportements. Ses mots de passe, ses antivirus, ses firewalls et sa gouvernance de la Cybersécurité qui doivent être au moins au niveau de ceux de l’entreprise qui les emploie. Sinon, ils sont une faiblesse du dispositif de Cybersécurité.
16. Le client
Que ne ferait-on pas pour avoir et garder un client ? Souvent, on ne veut pas faire courir un risque à son apport de clientèle par des contraintes qui ne sont pas, pour lui, prioritaires. Le client aussi doit se révéler fiable et présenter les dispositions qu’il prend pour protéger ses propres accès, matériels et comportements quand il interagit avec l’entreprise. Ses mots de passe, ses antivirus, ses firewalls et sa gouvernance de la Cybersécurité doivent eux aussi être au moins au niveau de ceux de l’entreprise qui les emploie. Sinon, ils sont une faiblesse du dispositif de Cybersécurité. Lui présenter ce qui est nécessaire peut faire l’objet d’une mise en avant commerciale. Ce peut être aussi un facteur de différenciation positif d’avec des concurrents moins exigeants en Cybersécurité.
17. Le contact mail
Que de mails échangés dans une année ! Tous ces contacts peuvent représenter une menace. Pas forcément volontaire certes mais bien réelle. Depuis l’email qui n’est pas envoyé à la bonne personne car vous avez validé l’adresse mémorisée par le système dès qu’il a reconnu un prénom et…ce n’était pas le bon nom. Jusqu’aux emails d’inconnus qui se présentent sous une adresse similaire à celles que vous validez habituellement pour vous trompez et vous télécharger des virus. Le contact mail est donc, à chaque fois, une prise de risque, même mineure. Il ne faut pas le banaliser mais rester vigilent. Certaines entreprises en viendront à mettre en place des listes positives avec des validations formelles pour les nouveaux noms.
18. Le contact sur Internet
Les nouveaux contacts sur les réseaux sociaux paraissent tous sympathiques et bien disposés. Mais si le réseau social, LinkedIn par exemple, est utilisé pour faire de la prospection commerciale, il peut tout aussi bien être utilisé pour faire de la prospection de cibles pour des Cyberattaques. La validation d’un contact, quel qu’il soit, doit rester un acte réfléchi sur son rapport « utilité/risque » car le contact sur Internet reste une entrée publique facile à la malveillance..
Conclusion
En conclusion de cet article, la formule « Père, gardez-vous à droite ! Père, gardez-vous à gauche » est d’actualité en matière de Cyber sécurité. Il faut regarder partout et tenir compte du moindre détail. C’est certes chronophage mais inévitable. Ce qui est évitable, c’est que les efforts de 17 acteurs soient invalidés par les faiblesses d’un seul. Donc ayez à cœur d’impliquer dans votre démarche de Cyber sécurité TOUS les 18 acteurs clés Cyber.
Pour augmenter votre maîtrise de la Cybersécurité, lisez le livre blanc : « Les prérequis de la CYBERSECURITE »
Et si vous avez besoin d’un 19° acteur pour vous aider, WebCyber est à votre disposition. Contactez-nous.
Ces acteurs vont déployer des actions coordonnées pour la Cybersécurité. Un autre article de WebCyber présente les risques ainsi que les 12 types d’actions clés de la Cybersécurité.
