Le terme «cyber sécurité» est dans toutes les bouches, avec pour conséquence un effet de galvaudage qui s’avère in fine préjudiciable aux organisations qui s’escriment à protéger leurs biens de valeur. Cette présentation vise à prodiguer quelques conseils pragmatiques en termes de gouvernance cyber sécurité, élaborés sur base du retour d’expérience terrain d’ELCA. Elle ne vise pas à introduire quelque concept hyper novateur et miraculeux mais invite au contraire à se reconcentrer sur des principes de bon sens de base curieusement négligés aujourd’hui.
Principes de bon sens pour une gouvernance cyber sécurité efficiente
1. Principes de bon sens pour une gouvernance cyber
sécurité efficiente
Stéphane Adamiste, Information Security Consultant
Fribourg, 6 Septembre 2016
2. ETUDE DE CAS
Critères de sélection
■ Financement
capex vs opex
■ Ressources IT
Développement / intégration /
exploitation / maintenance vs
configuration / contract management
/ service level management
■ Sécurité / Protection de la vie
privée
Gérées en interne vs déléguées
06.09.2016 | 2Événement cybersécurité |
Ce nouveau CRM,
on le met chez nous
ou dans le cloud?
Designfreepik.com
Facteur limitant n°1: Sécurité / Protection de la vie privée
3. FACTEURS LIMITANT L’ADOPTION DU CLOUD EN 2014 – UE28
06.09.2016 | 3Événement cybersécurité |
Risques au niveau de
la sécurité
Incertitudes concernant
les lois applicables, la
juridiction, les
mécanismes de
résolution de litiges
Incertitudes quant à la
localisation des
données
Problèmes d’accès
aux données ou aux
logiciels
Difficultés de se
désabonner ou de
changer de fournisseur
de services
Coûts importants liés
à l’achat de services
CC
Connaissances
insuffisantes sur le
CC
Petites et moyennes Grandes
Source: Eurostat (code des données en ligne: isoc_cicce_obs
70
60
50
40
30
20
10
0
4. POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?
Symptômes
■ Difficulté à atteindre un
consensus - blocage
■ Décision arbitraire
■ Frustration
06.09.2016 | 4Événement cybersécurité |
Boss IT
Finances
Marketing
Sécurité
Lorsqu’elles parlent de sécurité, ces personnes
parlent-elles de la même chose?
5. ■ «La sécurité, c’est la protection contre les attaques informatiques»
Architecte d’entreprise
■ «Cette application n’a pas besoin de sécurité, les données sont publiques»
Chef de projet senior
■ «Pour notre sécurité, nous n’avons pas besoin de nous protéger avec des
murs de 20m. 5m, ça suffit. Nous ne sommes pas une banque»
Chief Technical Officer, membre de la Direction (licencié depuis)
a.k.a. Inventaire à la Prévert
LA SÉCURITÉ, C’EST QUOI POUR VOUS?
06.09.2016 | 5Événement cybersécurité |
6. CONSEIL #1: DÉFINIR «SÉCURITÉ»
■ A, I, C
■ Bonus: Conformité, traçabilité,
non-répudiation, authenticité
■ Management de la sécurité =
gestion des risques qui pèsent
sur le patrimoine informationnel
06.09.2016 | 6Événement cybersécurité |
7. CONSEIL #1BIS: DÉFINIR LE RÔLE DE LA FONCTION SÉCURITÉ
■ La fonction sécurité évalue les
risques
■ Elle propose des mesures de
traitement pour les risques
identifiés
■ Elle évalue le risque résiduel
06.09.2016 | 7Événement cybersécurité |
La fonction sécurité ne prend pas
de décision.
8. POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?
Symptômes
■ Difficulté à atteindre un
consensus - blocage
■ Décision arbitraire
■ Frustration
06.09.2016 | 8Événement cybersécurité |
Lorsqu’elles parlent de sécurité, ces personnes
parlent-elles de la même chose?
Protection des données personnelles
NSA
9. 06.09.2016 | 9Événement cybersécurité |
PROTECTION DES DONNÉES PERSONNELLES EN SUISSE: ENTRE MYTHES ET
RÉALITÉS
[…]
[…]
10. CONSEIL #2: EXPLICITER LES CONCEPTS LIÉS À LA PROTECTION DES DONNÉES
PERSONNELLES
06.09.2016 | 10Événement cybersécurité |
Personnes concernées
Agence nationale de
protection des données
Bénéficient d’un droit d’accès, de
rectification, de suppression de
leurs données personnelles
Traite les données en respect
de la directive EC95/46 (bientôt
du règlement 2016/679)
Tiers
Responsable du traitement
Contrôle l’application de la
directive
Transfert de données vers
un pays assurant un «niveau
de protection adéquat»
Traite les données de façon licite,
conformément au principe de la bonne foi
et de proportionnalité, dans le but qui est
indiqué lors de leur collecte.
11. Avant
LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP
MANAGEMENT
Symptômes
■ Sécurité = FUD
■ Risques acceptés
■ Sécurité perçue comme trop
technique pour le
management
■ CSO = fusible
■ Faible culture sécurité dans
les organisations
06.09.2016 | 11Événement cybersécurité |
12. Changement de paradigme en cours
LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP
MANAGEMENT
06.09.2016 | 12Événement cybersécurité |
Tendances
■ La responsabilité des CEO’s
commence a être prise en
compte
■ Les «cyberattaques» sont
entrées dans les radars de
type «Global risks
lanscape»
■ La législation va bientôt
obliger à annoncer les
brèches de sécurité
■ Les organisations se font
pirater
13. CONSEIL #3: COMMENT ÉTABLIR UN CANAL DE COMMUNICATION AVEC
LE TOP MANAGEMENT
06.09.2016 | 13Événement cybersécurité |
■ La fonction risque rapporte
au CEO / conseil
d’administration
■ La fonction risque sera
enchantée de compléter son
radar
■ Adopter l’échelle de mesure
du risque de la société
■ Agréger les risques pour
leur donner plus de poids
L’Enterprise risk management est votre ami
14. CONSEIL #4 : FAIRE PRONONCER AU TOP MANAGEMENT LA PHRASE «LA
SÉCURITÉ, C’EST IMPORTANT POUR NOTRE BUSINESS»
06.09.2016 | 14Événement cybersécurité |
■ C’est la Direction qui définit
la culture d’entreprise
■ Les employés ont une forte
propension à vouloir plaire à
leur management
■ Si la Direction montre
l’exemple, c’est encore
mieux
15. RÉSUMÉ
Pour une gouvernance sécurité efficiente:
reconcentrez-vous sur les fondamentaux
06.09.2016 | 15Événement cybersécurité |