Menu icoMenu232White icoCross32White

Images de la page d'accueil

Cliquez pour éditer

Images de la page d'accueilBandeau avec du texte, des boutons ou une inscription à la newsletter

Cliquez pour éditer
Groupe d'Acteurs de la Protection des Entreprises et de l’Intelligence Économique

Retour
Peynot RICHARD
18 décembre 2020
les 5 dimensions de la sûreté et de la résilience du système d'information

les 5 dimensions de la sûreté et de la résilience du système d'information

De multiples études, y compris et surtout celles de l'ANSSI et du CLUSIF, alertent sur la vulnérabilité des systèmes d'information (SI) des entreprises françaises. La crise sanitaire que nous vivons ajoute aux risques encourus et révèle l'ampleur de certaines faiblesses. Les entreprises devraient faire un état des lieux de leur SI, selon cinq axes, pour répondre à ces questions : est-il robuste, protégé, résilient ?

Quelques constats

Les cyber-attaques ne sont plus une probabilité mais une certitude

Quelques chiffres d'une étude de l'APAVE datée d’octobre 2019 (https://www.apave.com/actualite/surete-malveillance-les-entreprises-doivent-se-proteger) sont éloquents :

  • 66% des entreprises déclarent être confrontées à des problèmes de sûreté.
  • 52% citent les cyberattaques comme leur principale préoccupation.
  • 60% déclarent ne pas être assez armées pour y faire face.
  • 44% se disent être impactées dans leur activité.
  • 41% craignent une atteinte à leur image et leur réputation.

"On parlait autrefois de risque de cyberattaques, aujourd'hui il ne s'agit plus de risque mais de certitude. Aucune entreprise ou organisation, quelle que soit sa taille ou son secteur, n'y échappera. " C'est désormais le message des institutions telles que l'INHESJ (Institut National des Hautes Études de Sécurité et Justice), l’IHEDN (Institut des Hautes Études de Défense Nationale) ou l'ANSSI (Agence nationale de la sécurité des systèmes d'information)".

En particulier les petites et moyennes entreprises qui ne se pensaient que peu concernées, parce qu'elles ne sont pas dans des secteurs stratégiques ou financiers, doivent, elles aussi, adopter les mêmes démarches de protection.

La vétusté du SI altère augmente sa vulnérabilité

En effet, les nouvelles applications et les nouveaux systèmes se sont multipliés à un rythme plus élevé que le désengagement des vieux systèmes. Ces derniers sont peu ou pas maintenus, tournent sur des versions de logiciels que les éditeurs ne tiennent plus à jour, ce qui induit des risques :

  • Les vieilles versions des logiciels techniques (système d'exploitation, bases de données, firewall, antivirus, EAI, serveurs d'application, serveurs DNS, etc) constituent des failles de sécurité, répertoriées et bien connues des hackeurs.
  • La réinstallation est difficile en cas de sinistre majeur (incendie, inondation, cyberattaque massive ...).
  • Le redéploiement vers le télétravail est difficile : postes de travail obsolètes, accès à certaines applications ou tout simplement au SI risqué parce que mal protégé.

Évaluer le SI pour mieux le protéger

Dans ce contexte, les DSI (directeurs/directrices des systèmes d'information) ont une première mission : éablir un diagnostic de leur SI, un peu comme un check-up santé, selon les cinq dimensions présentées ci-après.

1 - Quelle est la dette technique du système d’information ?

On inclut dans la "dette technique" les matériels et les logiciels vieillissants non maintenus, les matériels et les logiciels plus utilisés, les composants (matériels, logiciels, télécoms) qui ne reçoivent plus de patches de sécurité.

On identifie essentiellement trois types de risques :

  • Ces systèmes vieillissants, en particulier OS et firewalls, constituent des failles de sécurité et des portes d'entrée pour des hackeurs. C'est ce qui est arrivé par exemple à Saint-Gobain avec le virus NotPetya que des pirates avaient installé sur des PC en Windows XP.
  • L'absence de dépannage et support.
  • La difficulté voire l'impossibilité de réinstallation en cas de déménagement, de migration vers une nouvelle infrastructure hébergée ou de sinistre. Il faut avoir le courage et l'honnêteté d'établir, à partir de la cartographie du SI, le diagnostic vétusté et le degré de risque induit.

2 - Quel est le plan de continuité d’activité informatique (PCI) ?

Dans des situations telles que bâtiments inutilisables (travaux, inondation, incendie, réparations imprévues, évacuation imposée, etc), épidémie ou pandémie, grèves dures et longues; il devient donc nécessaire d'avoir des moyens de relocaliser du personnel et des postes de travail :

Afin d'anticiper ces évènements, il faut vérifier :

  • Quels sont les moyens de télétravail ? Tout le personnel concerné a-t-il un ordinateur portable ?
  • Les postes de travail sont-ils bien protégés (identification multiple, stockage chiffré) ?
  • La sécurisation des moyens d’accès au SI ? • Les solutions ont-elles été testées ?
  • Dispose-t-on de locaux de secours pour réinstaller du personnel ? Ces locaux sont-ils préinstallés (avec des postes de travail reliés au SI) ou bien faut-il les configurer ?

L'inexistence ou la faiblesse du PCI présentent le risque d'une activité partielle, ralentie, voire bloquée quelques temps.

3 - Quel est le plan de reprise d’activité informatique (PRI) ?

Les risques majeurs sont rares mais lorsqu'ils se produisent, l'absence d'un PRI, ou bien un PRA inopérant, sont catastrophiques. Voici les vérifications à faire :

  • Quel est le dispositif de PRI ? En effet, dispose-t-on de serveurs de secours dans un autre site, ainsi que les moyens de recharger applications et données ?
  • Externalisation du PRI ? Si oui, quel est l'engagement contractuel du prestataire PRI (délai de réaction, périmètre de couverture, services garantis) ?
  • Si l'informatique est externalisée ou partiellement externalisée, s'est-on bien assuré dans le contrat que le prestataire avait son propre PCI. Et son propre PRI pour continuer à fournir ses services à ses clients ? Cela est-il bien rédigé dans le contrat ? Ou encore est-il possible d'auditer le prestataire pour vérifier ses dispositifs ?
  • Le PRI est-il bien documenté et est-il testé régulièrement, au moins annuellement ? Alors que le PRI jamais testé est bien souvent inopérant lorsqu'on a besoin de le déclencher.
  • Un éloignement suffisant du data-center de secours ?
  • Le PRI protège-t-il tous les systèmes critiques ? Permet-il de redémarrer tous les systèmes et applications vitaux pour l'entreprise ? Et sous quel délai ?

4 - Quelles sont les dispositions techniques de sécurité informatique ?

Les systèmes doivent évoluer en permanence car ils évoluent dans une course incessante : leur capacité de réponse aux attaques. On invite donc à vérifier les éléments suivants :

  • Mise à jour permanente des antivirus, sondes et firewalls.
  • Actions de corrélation des logs.
  • Système de surveillance des accès : un SOC (Security Operation Center) externalisé.
  • Tenue à jour et robustesse de l'architecture DMZ et cloisonnement des réseaux.
  • Règles et gestion des accès.
  • Règles de programmation bannissant les failles de sécurité.
  • Anonymisation des jeux de données confiés aux sous-traitants (développement et maintenance d'applications).
  • Tests de pénétration réguliers.
  • Sauvegardes régulières, duplication et stockage dans des sites sécurisés (ce qui constitue souvent une des dispositions du PRI).
  • Chiffrement des données sensibles, sur baies de stockage, disques serveurs, disques des postes de travail.
  • Sureté des accès distants : Par exemple VPN, clés chiffrées, login à plusieurs étapes.

5 - Quelle gouvernance sûreté–sécurité du SI et quelles actions de prévention ?

En effet, les moyens physiques ne sont efficaces que si une réelle gouvernance de la sécurité du SI (protection contre les accidents) et la sureté du SI (protection contre les agressions ou malveillances) les gouvernent. C'est pourquoi on invite à vérifier l'existence et l'efficience des points suivants :

• Nomination d'un RSSI (responsable de la sécurité du SI) ? En effet, une entreprise petite ou moyenne peut avoir recours à un RSSI partagé.

• Organisation de la chaine de sécurité et sureté du SI ?

• Quel budget attribué ?

• Y a-t-il une politique et des directives de classification des données ?

• Y a-t-il une politique et des directives de protection et prévention sur l'usage des postes de travail. Par exemple mots de passe, rangement ou sauvegarde ?

Bâtir et justifier un programme de mise à niveau

Ce diagnostic en cinq axes permet d'identifier les travaux à engager; pour arriver à garantir la protection et la résilience du SI face aux différents risques. Ce sont des projets d'envergure qui peuvent être couteux, dont voici quelques exemples :

  • Campagne d'upgrade (mise à jour) de versions de systèmes d'exploitation, de bases de données et de middleware. Au-delà du projet de migration technique, cela peut avoir un impact sur les applications qui s'appuient sur ces OS. Il faut parfois les réécrire ou les adapter.
  • Opérations de même nature et de même impact avec les upgrades. • Upgrades d'antivirus, firewalls, outils de chiffrement ...
  • Importants travaux d'évolution d'architecture : par exemple séparation de réseaux, isolation de zones, confinement d'applications.
  • Remplacement d'applications obsolètes.
  • Remplacement de serveurs obsolètes et réinstallation des applications.
  • Recrutement d'un RSSI et mise en place d'une politique de sécurité et sureté.

Reste à "vendre" de telles opérations à une DG ou une DAF; alors qu'elless n'ont pas de valeur ajoutée métier tangible. Cela reste un exercice difficile ! Il faut bâtir un argumentaire solide pour justifier l'investissement nécessaire :

  • La valorisation des risques (la perte business) sans cet investissement.
  • Le poids, donc le coût en entretien, de la dette technique.
  • La valorisation de l'amélioration de la performance du SI.

Quel est donc le prix de la résilience et de la performance du SI, une fois tous les ingrédients (sécurité, sureté et robustesse) mis bout à bout ?

Découvrez davantage d'articles sur ces thèmes :
Veille Intelligence économique Protection des entreprises IE SISSE prospective
0 commentaire(s)
Aucun commentaire pour le moment.
Consultez également
Comment avoir un coup d'avance grâce aux "signaux faibles" ?

Comment avoir un coup d'avance grâce aux "signaux faibles" ?

Tous les experts vous le diront : l’ intelligence économique est une aide à la gouvernance...

Sébastien CASTET
27 septembre 2020
Leçons et recommandations

Leçons et recommandations

Jurisprudence AMAZON : Quelle responsabilité pénale des entreprises et des dirigeants face au...

David MARAIS
9 novembre 2020