La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients

Transcription

1 n 31 La Lettre Sécurité Édito Cybersécurité, l État investit! Pourquoi les entreprises n en font-elles pas autant? L État prend actuellement à bras le corps le sujet de la cybersécurité. La loi de programmation militaire concrétise ces initiatives en apportant des changements importants dans la posture de l État, en particulier en imposant de nouvelles obligations aux opérateurs d importance vitale (OIV) ou encore par une orientation franche vers la lutte informatique défensive. En parallèle, l État se donne les moyens de ses ambitions, malgré des budgets serrés. Les plans de recrutement en sont une illustration, tant au niveau de l ANSSI que du Ministère de la Défense au sens large. Cela démontre une chose : le sujet de la cybersécurite prend une importance cruciale au niveau national. En regard, les grandes entreprises adoptent une approche encore trop timorée et réductrice face à l évolution des menaces. Et si certaines ont su avancer, c est bien souvent après avoir été durement touchées par un incident. Il est aujourd hui temps que les directions générales prennent conscience de la situation et des menaces qui pèsent sur leur entreprise et qu elles aussi fassent de la cybersécurité une priorité pour leurs investissements. Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information Comment démystifier les risques du Cloud computing? La sécurité est un sujet récurrent lorsque l on parle de Cloud, à tel point qu elle est devenue pour de nombreux fournisseurs un argument de vente. La question de la protection des données transmises, traitées et sauvegardées apparaît notamment comme cruciale. Ces points préoccupent aujourd hui les experts techniques, les managers d information, et parfois même les directions des entreprises. Le Cloud est-il sûr? Que risque-t-on en l adoptant? Comment y assurer la sécurité de ses données? Un service moins cher n est pas forcément moins sécurisé Il faut voir les risques liés au Cloud comme proches de ceux existants sur l externalisation et la virtualisation avec en particulier la perte de contrôle de ses données et les risques liés aux technologies utilisées (virtualisation des systèmes et des réseaux, automatisation d un certain nombre de tâches, etc.). Pourtant, de manière générale, nous constatons en France que le niveau moyen de sécurité des services Cloud est au-dessus du niveau moyen de sécurité des entreprises. Plusieurs facteurs expliquent cela. Le fait de fournir un service informatique à l état de l art (et donc sécurisé) est le métier des acteurs du Cloud. Chez la plupart d entre eux, la mise en place et le respect des procédures de sécurité fait l objet d une attention particulière. Par ailleurs, ils proposent un service industrialisé à de nombreux clients : les bonnes pratiques exigées par l un peuvent souvent être appliquées à tous. Ces fournisseurs sont, enfin, plus exposés que la moyenne des entreprises, et ont de vrais enjeux en termes d image : la découverte de faiblesses de sécurité amène en général à une correction rapide. Inversement, si un mécanisme de sécurité n est pas offert par un fournisseur (de base ou en option), il sera malheureusement difficile de l obtenir : en sécurité comme pour les autres fonctionnalités, les offres Cloud manquent souvent de souplesse. Attention cependant, contrairement à une idée répandue, toutes les offres Cloud ne se valent pas : de véritables différences peuvent exister d un fournisseur à un autre. Suite en page 2 DÉCRYPTAGES P4 Loi de programmation militaire : de réelles avancées pour la cybersécurité P6 La sécurité de l information, au service de la relation clients

2 Décryptage Des outils dédiés existent pour évaluer ses risques de sécurité D un point de vue sécurité, la démarche est celle classique de l analyse de risque. Le but est ici d accompagner les projets de mise en œuvre ou de migration vers le Cloud, et pas de les interdire. Dans le cas du Cloud, un outillage spécifique commence à apparaître pour réaliser cette analyse. En France, l ANSSI (Agence Nationale de la Sécurité des Systèmes d Information) a publié un guide pour accompagner les démarches de type Cloud computing. Au niveau européen, l ENISA (European Network and Information Security Agency) fournit une analyse générique mais complète des risques liés au Cloud. Outre-Atlantique, l association Cloud Security Alliance regroupant les acteurs majeurs du Cloud a mis au point son outil Cloud Controls Matrix3, qui permet de comparer de nombreux fournisseurs sur des critères de sécurité très précis. Si elle est basée sur les seules déclarations desdits fournisseurs, cette matrice peut néanmoins s avérer utile. Les comparaisons théoriques ne suffisent pas Il est parfois difficile de distinguer ce qui est présenté de ce qui est réellement fait en termes de sécurité. Plusieurs critères permettent d évaluer les fournisseurs. Ils peuvent tout d abord se prévaloir de différentes certifications : ISO (très adoptée et quasiment obligatoire aujourd hui) et ISAE 3402/SAE 16 (très adoptées également, requises pour les groupes cotés aux États-Unis, dans la ligne de SoX). Des démarches spécifiques existent aussi dans certains domaines, comme pour les données de santé en France, ou PCI-DSS pour les données de cartes bancaires. Pour autant, ces certifications ne sont pas toujours une assurance d un niveau de sécurité adapté. Lors de la phase de choix des fournisseurs ou durant le projet, il apparaît nécessaire de poser des questions très précises, sans laisser de place à des réponses trop larges ou ambiguës. Un certain nombre d acteurs du Cloud accepteront d ailleurs de fournir des détails sur le fonctionnement de leur solution, après signature d un accord de non-divulgation. Des visites de datacenters sont aussi toujours très instructives, et permettent parfois de se forger un avis sur la maturité du niveau de sécurité de l offre proposée. Certains fournisseurs sont réticents à fournir des informations très précises préalablement à la signature du contrat, ils peuvent alors proposer l ajout d une clause permettant de dénoncer le contrat ultérieurement. Mais attention à ce mécanisme, une fois la mise en œuvre démarrée, faire marche arrière est presque impossible Enfin, la possibilité de contrôler le prestataire Cloud est un critère intéressant. Sa capacité à accepter un audit diligenté par ses clients est en effet une preuve de transparence, voire de confiance en son propre niveau de sécurité. Les risques d accès aux données sont réels, depuis longtemps Si l actualité récente a fait éclater l affaire PRISM, la réalité des accès aux données est pourtant connue depuis de nombreuses années. Les quelques années de recul et d expérience sur le Cloud montrent que les craintes quant à l accès aux données hébergées à l étranger sont justifiées. L exemple le plus souvent cité est celui du USA Patriot Act : sur requête du gouvernement américain et après contrôle par un juge, toute entreprise américaine, ou située sur le sol américain, ainsi que tout citoyen américain (où qu il soit), se doivent de fournir aux autorités un accès aux données auxquelles ils ont accès. Dans le cas d une entreprise de droit américain, l obligation s étend en dehors du territoire national : si ses infrastructures sont situées en Union Européenne, la loi s applique. 2 La Lettre Sécurité N 31 octobre 2013

3 Le Syntec Numérique a publié un éclairage intéressant sur le sujet en avril On y précise notamment qu un contrôle par un juge peut être réalisé avant la divulgation des données Ou après, donc trop tard pour l empêcher. Cette loi pose donc en théorie le problème de la confidentialité des données. Dans la réalité, ces craintes se justifient principalement si les données manipulées ont un niveau de sensibilité très élevé : étatiques (administrations, défense, etc.), stratégiques pour l entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc. Pour autant, et c est un aspect moins connu, la majorité des gouvernements mondiaux disposent de prérogatives équivalentes. Le cabinet d avocats Hogan Lovells a publié une étude à ce sujet en 2012, incluant notamment un comparatif des législations de 10 grands pays sur l accès aux données Cloud : beaucoup (dont la France) disposent de prérogatives similaires, parfois plus larges et moins contrôlées. Pourquoi alors se focalise-t-on généralement sur le USA Patriot Act? Principalement car les acteurs majeurs du Cloud sont aujourd hui américains, donc soumis à la législation américaine. Cependant, ne considérer que l aspect strictement légal est encore trop réducteur : l entreprise doit également se demander si le pays sur le sol duquel ses données critiques sont hébergées a des intérêts allant dans le même sens que les siens. Dans tous les cas, les conseils de juristes spécialisés sont indispensables pour avoir une position précise et adaptée. Les fournisseurs français de Cloud computing, solution du problème? Sur le papier, stocker ou traiter ses données chez un prestataire de droit français sur le sol français semble la solution idéale en théorie seulement. En effet, de nombreux fournisseurs français ont des centres de traitement et de stockage dans le monde entier. Même si vos données n y sont ni stockées ni traitées, ceux-ci pourraient être connectés aux centres situés sur le sol français (et donc permettre d y donner accès à distance). Au-delà des données, se pose la question des équipes décentralisées : un Cloud hébergé en France, mais dont les équipes d administration sont situées aux quatre coins du monde (par exemple pour fournir un support 24/7) doit également faire l objet d attentions. Une fois encore, tous ces risques sont à relativiser : ils ne concernent que les données réellement sensibles. Entre protections juridiques et solutions techniques, la bonne parade reste encore à trouver Un moyen de se protéger des divulgations indésirables pourrait consister en l ajout de clauses contractuelles interdisant à son fournisseur de le faire. Malheureusement, ce dernier risque de ne tenir aucun compte desdites clauses lorsqu une demande officielle de son gouvernement lui parviendra. Pire, dans le cas des lois américaines, il peut lui être interdit d avertir le propriétaire des données que celles-ci ont été transmises (il s agit du principe de gag order). Dans certains cas, il est possible de prendre des précautions très spécifiques. Nous conseillons parfois à nos clients de demander l isolation de leurs données dans le datacenter du fournisseur, dans une salle sous alarme dont seule l entreprise détient la clé. Là encore, cela n empêchera pas un accès aux données, mais permettra au moins à l entreprise d en avoir connaissance. Une véritable solution pourrait provenir de la technologie : un chiffrement adéquat des données permettrait de s assurer que même en cas d accès aux données, celles-ci sont correctement protégées. Cela nécessite des technologies de chiffrement de confiance (par exemple en France, qualifiées par l ANSSI), afin que les données soient sécurisées sur tout leur parcours : pendant leur transmission sur le réseau, au moment de leur utilisation, et lorsqu elles sont stockées dans le Cloud. À ce titre, le chiffrement dit «homomorphique» constitue une perspective d avenir intéressante. Chadi Hantouche, manager chadi.hantouche@solucom.fr octobre 2013 La Lettre Sécurité N 31 3

4 Dossier Décryptage Loi de programmation militaire 2013 : de réelles avancées pour la cybersécurité Gérôme Billois, senior manager gerome.billois@solucom.fr Le projet de loi de programmation militaire a été présenté au Conseil des ministres le 2 août. En attendant de disposer du texte complet, un dossier résumant les points clés a été publié par le Ministère de la Défense. Ce dernier est plein d enseignements sur les évolutions à venir en matière de cyberdéfense et de cybersécurité. Il met en particulier l ANSSI au cœur de la future stratégie de la France dans ce domaine en renforçant ses pouvoirs et sa capacité d action. La majorité de ces points étaient connus ou envisagés depuis la publication du livre blanc Défense et Sécurité nationale 2013, mais ce document donne plus de détails sur les moyens déployés et les orientations à venir. Les opérateurs d importance vitale (OIV), sous le contrôle rapproché de l ANSSI Le texte prévoit que le Premier ministre, avec l aide de l ANSSI, puisse imposer aux OIV, sur leurs périmètres sensibles, la mise en place de mesures de sécurité, la qualification des systèmes de détection et la réalisation d audit par l ANSSI. Comme prévu, la notification des incidents est intégrée au texte. Elle se définit par l obligation de fournir «des informations sur les attaques qu ils peuvent subir». Au delà du guide d hygiène informatique qui pourrait être la base des mesures imposées, l ANSSI travaille actuellement sur d autres référentiels, par exemple sur les systèmes industriels ou sur le Cloud. En cas de non-respect de ces obligations, des sanctions pénales sont prévues. Il se posera alors la difficile question des moyens à disposition pour respecter ces obligations. Aujourd hui, même si la sécurité est souvent préservée des coupes budgétaires, les budgets alloués sont souvent trop faibles au regard des enjeux et des risques. Espérons que cette réglementation, au-delà de paraître «intrusive», aura des vertus pédagogiques et fera prendre conscience aux dirigeants des OIV des réels enjeux de sécurité et permettra le déblocage de ressources. La lutte informatique défensive dans le champ d action de l ANSSI Le récent rapprochement «géographique» entre le CALID (centre d analyse en lutte informatique défensive) du Ministère de la Défense et le COSSI (centre opérationnel en sécurité SI) de l ANSSI le laissait présager : Il y a aujourd hui une volonté de renforcer les capacités de lutte informatique défensive au sein de l Etat. L ANSSI sera ainsi en mesure «d accéder à un serveur informatique à l origine d une attaque afin d en neutraliser les effets». C est une première dans ce domaine. Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1, 2 et 3 du code pénal qui répriment des actions de ce type. Le volet militaire n est pas en reste : recrutements et investissements sont prévus. De nombreuses autres évolutions sont prévues, en particulier dans le domaine du développement des capacités de cyberdéfense militaire avec la mise en place d une chaîne opérationnelle unifiée, centralisée et spécialisée. Le projet de loi prévoit la mise en place des capacités défensives mais aussi offensives pour préparer ou accompagner les opérations militaires. Les moyens humains seront renforcés et des investissements sont également prévus en particulier pour mieux surveiller les systèmes critiques. La DGA sera en charge de la composante technique de cette organisation. L Etat investit dans la cybersécurité mais les entreprises restent à convaincre Nous ne sommes qu au début du processus législatif et les débats au Parlement et au Sénat amèneront certainement des modifications. Cependant, l orientation est claire et tout cela va dans la bonne direction pour renforcer nos capacités de défense face à des attaquants de plus en plus virulents et pointus. Enfin, ce projet de loi démontre que l État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. Espérons que cela sera un électrochoc pour les organisations privées, aujourd hui en retrait face aux évolutions de la cybercriminalité. 4 La Lettre Sécurité N 31 octobre 2013

5 Décryptage Supply chain : le maillon faible? Le résultat est là aussi sans appel : 75 % des entreprises interrogées ont connu au moins un incident majeur lors des deux dernières années, avec des conséquences parfois dévastatrices. Des solutions de bon sens À l issue de cette analyse, de nombreuses propositions d amélioration sont envisageables : Le recours, autant que possible, à des partenaires locaux. Cela permet en effet une meilleure communication (même fuseaux horaires, facilitation des rencontres) et l élimination des ruptures dues aux incompréhensions. En outre, les temps de transport réduits limitent l impact des ruptures de stock (délais de réapprovisionnement plus courts). Florian Carrière, senior manager florian.carriere@solucom.fr Regroupant tous les acteurs, internes et externes, impliqués dans la production et la distribution, la supply chain est devenue la colonne vertébrale de l entreprise. Quel rôle pour le Risk manager? Dans ce contexte, le Risk manager peut (doit) travailler main dans la main avec le responsable de la supply chain pour sensibiliser le management aux risques encourus (considérés comme «à très faible probabilité», ils sont rarement présents dans le top 10 suivi à haut niveau), et pour apporter aux décideurs L utilisation d un SI partagé entre les différents acteurs de la supply chain, pour faciliter la diffusion de l information à l ensemble des maillons. Une diffusion rapide des prévisions de commandes limite en effet le risque de rupture de stock, et permet de réduire les stocks de sécurité des maillons les plus amont. Au final, le Risk manager et le responsable «75 % des entreprises interrogées ont connu au moins un incident majeur lors des deux dernières années» Rationalisée et optimisée depuis des années, elle est souvent devenue moins apte à résister aux chocs violents : un cas d école pour le risk manager qui doit démontrer que la croissance n a de sens que si elle est durable. Une recherche de performance centrée sur le gain à court terme Pour faire face à un environnement concurrentiel exacerbé, la supply chain a été parmi les premières fonctions mises à contribution pour réduire les coûts, via la rationalisation des canaux de distribution, le sourcing et l offshoring. Avec des résultats indéniablement à la hauteur des espérances et dont la presse économique se fait régulièrement l écho. Mais ce faisant, les supply chains ont insensiblement et progressivement été fragilisées. Ainsi, ces cinq dernières années : 74% des entreprises ont allongé géographiquement leur supply chain ; 70% ont réduit le nombre de fournisseurs sollicités pour une même fourniture ; 63% ont eu recours à des fournisseurs implantés dans des régions à risque, régulièrement théâtres de perturbations majeures (tsunamis, ouragans, guerres civiles, etc.). les éléments poussant à des arbitrages plus équilibrés entre rentabilité court terme et résilience. Ces éléments d arbitrage découlent du plan d action «classique» de maîtrise des risques : Analyse du fonctionnement global de la supply chain pour en identifier les vulnérabilités, et en déduire les scénarios de risque les plus probables et redoutés ; Ajout des informations «risque» (sur l environnement, par exemple) dans le référentiel partenaires, en ouvrant si possible le panel aux acteurs alternatifs potentiels ; Vérification de leurs plans de continuité (participation aux tests dans l idéal, au moins en tant qu observateur) ; Simulation des scénarios de risque, pour évaluer la résistance globale de la supply chain. de la supply chain ont donc une partition à 4 mains à jouer intelligemment, pour mettre ce sujet à l ordre du jour du Comité des Risques et faire en sorte que le prochain tsunami en Asie ne bloque pas nécessairement la production de voitures en Europe! [Article rédigé en collaboration avec Jean- Charles Pezeril] octobre 2013 La Lettre Sécurité N 31 5

6 Décryptage La sécurité de l information, au service de la relation client Amal Boutayeb, manager amal.boutayeb@solucom.fr À l heure du multi-canal, et même du cross-canal, bâtir une relation de «confiance numérique» est un enjeu clé pour les entreprises privées, mais aussi les organismes du service public (déclaration d impôts, espaces personnels sur le site de Pôle emploi ). Ils se doivent de montrer la sécurité de l ensemble de leurs canaux pour accompagner le développement de la relation client sur les médias numériques. La sécurité de l information, un prérequis sur les canaux numériques La protection des données est aujourd hui une préoccupation évidente des clients et usagers. C est ce que révèle un sondage de l Economist Intelligence Unit en 2013, dans lequel 90% des sondés affirment penser que leurs données utilisées en ligne peuvent être volées, notamment pour détourner de l argent. C est également une préoccupation des pouvoirs publics qui renforcent les obligations en termes de sécurité. Attirer les clients sur les canaux digitaux est une nécessité pour beaucoup d entreprises. La sécurité est un prérequis indispensable à cette transition. D une part, Il faut rassurer les clients, et pour cela démontrer de manière visible que des mesures de sécurité existent pour protéger les données critiques et éviter notamment les fraudes financières. Une création de compte, une transaction, un changement de RIB... Une bonne sécurisation, organisationnelle ou technique, peut conforter les clients dans leur confiance dans le canal numérique pour ces actions. D autre part, en cas d incident, la capacité à bien réagir, tant pour résoudre l incident le plus rapidement possible, que pour communiquer clairement et rassurer les clients concernés est un élément clé. L évolution de la réglementation autour de la notification des incidents poussera d ailleurs les organisations à développer ce point. Enfin, il est important de relayer cette position au travers des acteurs de la relation client sur le terrain (vendeurs, conseillers, etc.) en les sensibilisant pour qu ils portent également ces messages en magasins, agences, etc. La sécurité de l information, un facteur de différenciation et de compétitivité Démontrer un réel engagement dans la sécurité de l information peut être un élément différentiant sur le marché. Pour ce faire, des solutions de sécurité avancées peuvent être proposées. Des banques comme Société Générale ou HSBC proposent ainsi un logiciel à installer gratuitement pour renforcer la sécurité du terminal de l utilisateur lorsqu il utilise leur site. D autres, comme Natwest et Barclays mettent à disposition de leurs clients des moyens d authentification renforcés. Au-delà des solutions techniques, certains acteurs vont jusqu à sensibiliser leurs clients et usagers sur l importance du respect de bonnes pratiques de sécurité. AXA a ainsi publié le «Le guide du bon sens numérique» et encore Le Groupe La Poste a communiqué sur des bonnes pratiques à adopter sur les réseaux sociaux. Les services marketing doivent donc travailler en collaboration avec les équipes de sécurité à la fois pour innover et proposer des solutions de sécurité, mais aussi pour écouter et savoir tenir compte des attentes des consommateurs. La sécurité de l information, une offre à part entière? Et si de centre de coûts, la sécurité devenait une source de gains? En étant attentifs aux attentes des clients, différentes entreprises se sont posées cette question et lancent aujourd hui des offres de sécurité en tant que telles... Plusieurs secteurs se sont d ores et déjà lancés : celui de l assurance par exemple. Cyberassurance ou encore protection de l identité numérique, des assurances comme AIG, AXA ou Swiss Life, ont entendu l intérêt que portent leurs clients à la sécurité de l information, B2B comme B2C. Autre exemple, les opérateurs télécoms qui proposent un anti-virus avec les abonnements d accès à internet. Ou encore, d autres opérateurs, d un tout autre secteur, celui des jeux en ligne, mettent à disposition de l authentification renforcée pour leurs clients. Ainsi, au-delà d être un prérequis la sécurité de l information peut devenir un avantage concurrentiel, voire représenter une offre à part entière. C est à chaque organisation de choisir la posture qu elle souhaite adopter! 6 La Lettre Sécurité N 30 octobre 2013

7 Décryptage La pré-production constitue-t-elle la meilleure solution de continuité informatique? Raphaël Brun, consultant senior La mise en place d un Plan de Continuité Informatique (PCI) est souvent vue comme un poste de coût supplémentaire, une forme d assurance pour couvrir des évènements rares. Dès lors, le bon sens conduit souvent à vouloir en réduire les coûts et donc à favoriser le secours sur des serveurs existant «hors production» (développement, recette, qualification, intégration, test, formation, pré-production) et notamment ceux de pré-production (plus proches de l environnement réel). Mettre ainsi à profit des ressources qu on ne juge pas essentielles en cas de crise semble permettre d optimiser leur usage et au final les coûts du PCI. Cette assertion mérite cependant d être confrontée au contexte de chaque organisation. Un tel secours est-il vraiment une source d économie? Réellement plus simple à mettre en œuvre? Éligible pour toutes les applications? Prendre en compte les contraintes applicatives pour évaluer la complexité de mise en œuvre Les environnements «hors-production» peuvent présenter des enjeux aussi forts pour les métiers que leur environnement de production, notamment lorsque : Les applications doivent évoluer rapidement ou régulièrement ; Les incidents applicatifs nécessitant correctifs sont fréquents. Ces besoins métiers entrent ainsi en concurrence avec ceux liés à la mise en place du secours (construction du PCI, recette, tests, etc.). Si le métier est en charge de définir les priorités d utilisation de ces environnements, il y a fort à parier que le planning de mise en œuvre du PCI devra être défini en fonction des plages d usage laissées vacantes par les autres besoins. Autant dire que pour les applications évoluant souvent ou victimes d incidents à répétition, le projet de secours sera complexifié ; les phases de construction et de test du secours ne pouvant être déroulées, le métier exigeant la disponibilité de ces ressources pour d autres besoins plus prioritaires à ses yeux. Contrainte d autant plus forte dans un contexte au sein duquel la mise en production (MEP) ne serait pas complètement industrialisée. Dès lors, la mise en œuvre d un secours sur pré-production ne peut être envisagée sereinement que pour des organisations au sein desquelles la DSI priorise seule l accès et l utilisation des ressources hors-production. Il conviendra alors de privilégier les applications les mieux maîtrisées et les plus stables, afin de réduire au maximum les conflits avec les chantiers d évolution applicative ou de correction de problèmes. Ne pas conclure trop vite à une économie substantielle en évaluant les coûts cachés Si le secours sur pré-production est considéré comme moins coûteux, c est qu il réduit le volume des investissements et la mise en œuvre de serveurs. Mais cette vision apparaît réductrice dès qu on identifie les autres coûts à prendre en considération. En effet, la majeure partie des coûts d un projet de secours informatique réside souvent dans le pilotage, les études, les travaux d infrastructures et le secours des données. Au final, les serveurs ne représentent parfois que 10 à 20% de l investissement total. L économie réalisée n est donc pas nécessairement conséquente. Par ailleurs, le secours sur pré-production peut également impliquer des coûts spécifiques. Bien souvent il s agira de déménager les serveurs de pré-production, en général situés à proximité de ceux de production, et de les mettre à niveau en termes de configuration avec ces derniers. Il s agira également d études techniques complémentaires (ex : comment faire cohabiter des environnements de pré-production et de secours sur un même serveur?) pouvant nécessiter des enveloppes de charges supplémentaires. Enfin, en cas de coordination avec les métiers pour prise en compte de leurs contraintes (application en cours d évolution, correction de bugs récurrents, etc.) des charges de gestion de projet complémentaires sont à prévoir. Autant de points pouvant rendre le secours sur pré-production aussi voire plus onéreux qu une solution dédiée de secours. Il convient donc de bien évaluer son coût en fonction de ces différents paramètres et de le comparer aux coûts des autres solutions envisagées. Ne pas réduire le secours sur préproduction à sa composante économique «La solution du bon sens est la dernière à laquelle songent les spécialistes» citait l éditeur Bernard Grasset. Nous l avons vu, et contrairement à ce que le bon sens nous le laissait imaginer, le secours sur préproduction n est pas une garantie d économie. Cette solution est à privilégier dans des contextes matures (maîtrise forte du processus de mise en production et des environnements hors production par la DSI), pour des applications stables (n évoluant pas ou peu) et des environnements techniques adaptés. Autant d éléments à prendre en compte avant d acter ou non la mise en œuvre de cette solution, notamment à l aide de projets de virtualisation des environnements octobre 2013 La Lettre Sécurité N 31 7

8 L actualité Solucom Événements Les assises de la sécurité (2 au 5 octobre 2013) Solucom sera présent aux Assises de la sécurité. Retrouvez-nous sur le Forum!... Atelier «Cybercriminalité : gestion de crise, cyberassurance et notification clients, think global!» Cybercriminalité, notification des incidents, cyberassurance, détection et réaction face aux attaques Autant de sujets que le RSSI doit adresser dans un programme cohérent de lutte contre la cybercriminalité. L enjeu principal? Impliquer les métiers, de la communication au juridique en passant par la relation client, pour limiter les impacts au maximum. Dans le cadre de notre atelier nous présenterons comment revoir sa gestion de crise et mettre en œuvre une stratégie complète face à ces nouvelles menaces. Atelier animé par Gérôme Billois, Marion Couturier et Christophe Batbedat (responsable de la gestion de crise cybercriminalité chez SFR)... Table ronde PCA et cybercriminalité Continuité d activité, résilience et cybercriminalité : quelles opportunités? Quelles limites? Vol de données, destruction logique de postes de travail, dénis de service La cybercriminalité défraie la chronique avec des scénarios d attaques poussés qui remettent en cause la viabilité et l intégrité du système d information. Ces risques sont dans le radar des Responsables continuité d activité. Mais attention, aujourd hui les mécanismes de continuité habituels peuvent atteindre rapidement leurs limites. Quelles sont-ils? Comment le RPCA / RSSI doit-il positionner ses actions dans ce contexte? Quels engagements peut-il prendre? Et quelle approche innovante adopter dès maintenant? Table ronde animée par Gérôme Billois, avec les interventions de : Emmanuel Adeline, Deputy CISO, Société Générale Pascal Basset Responsable Conformité et Sécurité des SI, PMU Pierre-Dominique Lansard, Directeur Mission Infrastructures Vitales, France Telecom et Président du Club de la Continuité d Activité Plus d informations : Actualités Solucom Pour mieux porter ses ambitions à horizon 2015, Solucom a adopté une nouvelle configuration au 1 er juillet Pour réussir les transformations d entreprise, la maîtrise simultanée des enjeux business et technologiques est souvent indispensable. Solucom a décidé de répondre à cet impératif en combinant, au sein d une proposition de valeur unique, compétences sectorielles et expertises technologiques, faisant notamment émerger 2 practices business transformation tournées vers les premiers secteurs où Solucom a développé son savoir-faire de conseil en management, avec l ambition de devenir le champion de la transformation. Cette offre de conseil est ainsi portée par 6 practices : Business transformation Banque Assurance, Business transformation Energie Transports Telcos, Excellence opérationnelle & IT, risk management & sécurité de l information, Innovation digitale, Architecture des systèmes d information. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Amal Boutayeb, Rapahël Brun, Florian Carrière, Chadi Hantouche, Jean-Charles Pezeril. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr