Archives par mot-clé : cesin

Cybersécurité, Entreprise

Les enjeux du cyber rating : transparence et développement d’acteurs européens selon le CESIN

Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) soulève une controverse autour des acteurs du cyber rating, mettant en évidence les limites des agences de notation quant à l’évaluation fiable de la maturité des entreprises en matière de cybersécurité. L’association demande une transparence totale des méthodes et des algorithmes utilisés par ces agences, ainsi que le développement de leaders européens dans ce domaine crucial. Cet article examine les questions entourant le cyber rating et explore les appels du CESIN en faveur de la transparence et du développement d’une norme européenne.

L’essor des agences de notation privées dans le domaine de la cybersécurité fait écho à celui des agences de notation financière. Ces acteurs sont chargés d’évaluer le niveau de maturité des organisations en matière de sécurité informatique. Cependant, alors que la demande de visibilité sur le marché est croissante, se posent des questions quant à la capacité de ces acteurs à évaluer de manière impartiale les entreprises. Quelle est la fiabilité des méthodes d’évaluation utilisées et quels sont les impacts sur les organisations ?

Dans un contexte de crises cyber de plus en plus fréquentes, les services de cyber rating sont de plus en plus sollicités. Ils sont utilisés dans le cadre de contrats d’assurance, de contrats de sous-traitance ou encore pour évaluer l’exposition publique des organisations. À ce jour, n’importe quel acteur se prétendant spécialiste du cyber rating peut évaluer la cybersécurité d’une organisation sans préavis et sur un périmètre non vérifié. Cette notation peut ensuite être vendue, partagée avec des tiers tels que des concurrents ou des autorités, voire rendue publique. Par conséquent, une entreprise peut présenter une image trompeuse de sa sécurité, affichant une note satisfaisante alors même que ses fondamentaux en matière de sécurité ne sont pas respectés.

« Nous ne disposons d’aucune garantie d’indépendance ni de consensus sur la véritable valeur des notations de risque cyber publiées par l’oligopole des agences américaines », ont alerté Arnaud Martin et Didier Gras, Administrateurs du CESIN (source : Vigile de notre autonomie stratégique, juin 2022).

Mylène Jarossay, Présidente du CESIN, insiste sur la nécessité d’un processus de notation vertueux, générant des progrès. Elle souligne l’importance de partager de manière transparente les méthodes de calcul des scores, tout en prenant conscience des limites des évaluations externes. Cela permettrait de connaître le véritable niveau de sécurité des organisations, c’est-à-dire leur capacité globale à faire face aux risques cyber. Ainsi, les systèmes de notation ne détourneraient pas les organisations de la mise en place de mesures moins visibles, mais essentielles en termes de défense.

Frank Van Caenegem, Administrateur du CESIN, souligne également l’importance d’adopter une approche du risque prenant en compte les vulnérabilités exploit ables et les solutions de notation. Les solutions de notation permettent de suivre les tendances et la réactivité des entreprises par rapport à leur posture en matière de cybersécurité.

Pour éviter les dérives potentielles, le CESIN propose la mise en œuvre d’un référentiel visant à soutenir l’émergence de notations claires et transparentes. Ce référentiel serait basé sur des méthodes et des critères qui reflètent fidèlement et de manière reproductible le niveau de maturité des organisations en matière de cybersécurité. Cela garantirait la compétence des analystes et favoriserait l’application du principe d’amélioration continue de la cybersécurité. De plus, le CESIN suggère la mise en place de normes et de mesures standardisées afin de rationaliser la communication avec les comités exécutifs et les conseils d’administration. Cette démarche faciliterait également le développement de sociétés de cyber rating en Europe, renforçant ainsi l’autonomie stratégique du continent dans le domaine de la cybersécurité.

En conclusion, le CESIN soulève des préoccupations légitimes concernant les acteurs du cyber rating et leur capacité à fournir des évaluations impartiales et fiables de la maturité des entreprises en matière de cybersécurité. La demande croissante de transparence et l’appel à développer des leaders européens dans ce domaine soulignent l’importance d’une approche rigoureuse et standardisée de l’évaluation de la cybersécurité. En adoptant un référentiel transparent et des normes communes, il serait possible de garantir des évaluations plus précises et de promouvoir une culture de la sécurité informatique renforcée au sein des organisations européennes.

Cloud, Cybersécurité, Entreprise

Cloud : 10 recommandations pour maîtriser les risques

Face à l’adoption massive des offres Cloud, le Club des Experts de la Sécurité de l’Information et du Numérique se mobilise et entend diffuser quelques bonnes pratiques avant de « confier les clés ».

Le Cesin a mobilisé 130 de ses membres, soit la moitié de ses adhérents autour de la thématique du Cloud et des bonnes pratiques en matière de sécurité. Face à l’explosion du phénomène d’externalisation des données, il est fondamental pour le Cesin d’adopter une gestion des risques et de sécurité adaptée pour continuer d’assurer une protection efficace et cohérente des données de l’entreprise.

Selon les résultats du baromètre Cesin-OpinionWay 2016, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l’émergence des offres disponibles sur le marché, le Cesin met en garde les dirigeants d’entreprises contre certaines dérives. L’association a confronté ses membres et un panel de spécialistes, dont l’Anssi, la CNIL et des juristes spécialisés, afin d’élaborer 10 recommandations issues de la réflexion et du partage d’expériences.

Longtemps cantonné aux recours ponctuels à des services SaaS, parfois directement par les métiers sans passer par la DSI, les grandes décisions désormais d’actualité en matière d’externalisation massives de données dans le Cloud entrainent une profonde évolution du SI de l’entreprise et des métiers qui le gèrent. Une des grandes tendances constatées ces derniers mois par le Cesin, concerne les projets de migration vers Office 365. En cas de recours à l’option Cloud, cette migration pose des interrogations cruciales puisqu’elle modifie à la fois les usages, une partie de la stratégie de la DSI, les politiques de sécurité des systèmes d’information (PSSI) et leurs modes de contrôle.

Alain Bouillé, Président du Cesin, indique que : « L’arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l’entreprise car les données concernées sont bel et bien des données cœur de métier. »

Les débats ont amené plusieurs pistes de réflexion portant sur la localisation des données, qui se heurte aux réglementations européennes, leur protection liée à une exposition nouvelle dans des clouds publics, le niveau de sécurité proposé par l’éditeur pas toujours à la hauteur des enjeux des plus exigeants, la perte de maitrise en matière de traçabilité des actions, la négociation des contrats avec les géants de cette industrie, qui nécessite une véritable expertise, les difficultés voire l’impossibilité d’auditer les solutions, ou encore les risques d’enfermement et donc l’irréversibilité de certaines solutions. Même si l’effet Snowden s’efface des mémoires avec le temps, il est utile de rappeler les risques pour certaines entreprises liées aux obligations des entreprises américaines vis-à-vis du Patriot Act.

Charles Schulz, membre du bureau de la politique industrielle à l’Anssi évoque les travaux en cours sur le référentiel «secure cloud» qui aboutira à la certification des offreurs libres d’en faire la demande. Quant aux accords commerciaux, il précise : « Si vous êtes dans une société multinationale évitez les contrats locaux et négociez un contrat global groupe, cela donne plus de poids à la négociation ; en outre exigez un contrat rédigé en français et signé dans un pays européen. Les phrases du type « seule la version anglaise fera foi » n’ont pas de valeur légale et doivent être supprimées. »

La version publique du référentiel de l’ANSSI et les recommandations pour maîtriser le Cloud est prévue pour le second trimestre 2016.

Garance Mathias, Avocat à la Cour, ajoute que : « l’externalisation reste un choix stratégique pour les entreprises et les administrations, et qu’il convient d’être accompagné dans la mise en œuvre de ce choix. » En effet, indépendamment de la négociation des contrats, les réglementations sectorielles doivent être intégrées, et les bonnes pratiques juridiques opérationnelles prises en compte dès le début du projet (localisation des données, politique de sous-traitance, quelle protection de la propriété intellectuelle, du patrimoine informationnel ? Quelles sont les mesures de protection des données personnelles ?…). Garance Mathias, précise en outre qu’ « Il est important d’évoquer la sortie du contrat, terme ou résiliation, avec les impacts opérationnels ainsi que le traitement des données personnelles. A la suite de la conclusion du contrat, ce dernier peut, compte tenu de l’évolution des textes ou du secteur d’activité, faire l’objet d’avenant, comme à la suite de l’invalidation du safe harbor. »

In fine, un contrat ne doit pas rester figé, il doit refléter l’accord des parties tout au long de son éxécution, d’autant que sa durée peut être longue, notamment dans le cadre des renouvellements par tacite reconduction.

Les 10 recommandations pour maîtriser ses projets Cloud
Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.
S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la DG le principe de leur externalisation.
Evaluez le niveau de protection de ces données en place avant externalisation.
Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offre en fonction du résultat du point 1.
Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l’utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.
Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.
A la réception des offres analysez les écarts entre les réponses et vos exigences.
Négociez, négociez.
Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.
Faites un audit ou un test d’intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l’offre dans le temps.

Cybersécurité, Emploi, Entreprise, Mise à jour, Propriété Industrielle

Les moyens humains des entreprises françaises ne sont pas suffisants face aux cybermenaces

Afin de mieux cerner la perception de la cyber-sécurité et de ses enjeux au sein des grandes entreprises françaises, le CESIN met en place son premier baromètre annuel. Le Club dévoile aujourd’hui les résultats d’une grande enquête menée auprès de ses membres, Responsables Sécurité des Systèmes d’Information (RSSI) de grands groupes français.

Quid de la réalité de la cyber-sécurité dans les grandes entreprises ? Le sondage OpinionWay pour le CESIN a ciblé 235 membres de l’association, les résultats de l’étude portent sur un échantillon de 125 répondants. Les grands comptes ont fort heureusement tous intégré l’importance de la sécurité du numérique dans leur organisation car 81% d’entre eux confirment avoir fait l’objet d’attaques aux cours des 12 derniers mois. Cependant face aux menaces grandissantes, les moyens alloués à la cyber-sécurité se révèlent encore peu satisfaisants, en particulier les moyens humains (seul 31% des entreprises les jugent suffisants). Nombre d’entre elles envisagent d’augmenter les ressources techniques, financières ou humaines dédiées à la cyber-sécurité, et elles sont également nombreuses à envisager de souscrire une cyber-assurance (40%). La dépendance humaine et les vulnérabilités résiduelles sont jugées les plus préoccupantes pour la sécurité du patrimoine informationnel des entreprises. Les nouveaux usages du numérique au travail posent quant à eux de nouveaux défis en matière de cyber-sécurité. Le Cloud en particulier, en plus de nécessiter des outils spécifiques selon 93% des responsables sécurité interrogés, continue d’inquiéter pour des raisons de confidentialité des données surtout vis-à-vis des fournisseurs eux-mêmes.

En outre 58% des entreprises estiment que les outils actuellement disponibles sur le marché sont peu adaptés à la situation en matière d’usages du numérique. Même constat concernant les attaques où l’inquiétude demeure quant à la capacité concrète à faire face à leur augmentation pressentie sur le court et moyen terme. Ces 12 derniers mois, la palme du type d’attaque constaté revient aux demandes de rançons (ransomware) à hauteur de 61%, 44% pour les attaques virales, 38% pour les dénis de services et 35% pour les attaques ciblées. Selon l’enquête, les RSSI estiment que les enjeux prioritaires de demain seront plutôt humains, que techniques. Il en ressort un impératif criant de donner toute son importance à la cyber-sécurité dans l’entreprise en y allouant suffisamment de ressources et en lui donnant sa juste place dans la gouvernance. Il est par ailleurs nécessaire de travailler autour des usages, de sensibiliser les utilisateurs et de s’adapter à l’évolution des pratiques.

Alain Bouillé, Directeur de la Sécurité des Systèmes d’Information du Groupe Caisse des Dépôts et Président du CESIN, déclare : « On savait que la cybercriminalité était un phénomène en pleine expansion. Ce premier baromètre du CESIN permet de mieux comprendre comment concrètement les entreprises françaises font face à ce phénomène. » Jean-François Louâpre, Vice-Président du CESIN Responsable sécurité des systèmes d’information CNP Assurances : « Le baromètre annuel du CESIN propose une vision terrain de la réalité de la cyber-sécurité en France. S’il conforte certaines tendances, il remet également en perspective certains points comme le positionnement des RSSI en entreprise ou l’écart entre menaces redoutées et incidents subis » Le sondage a ciblé les 235 membres de l’association (CAC40, PME, Ministères).