Cybersécurité : le rôle central de la MOA dans la sécurité informatique

Transcription

1 POINT DE VUE Cybersécurité : le rôle central de la MOA dans la sécurité informatique Delivering Transformation. Together.

2 Bertrand Hasnier Senior Manager au sein de l agence Conseil Midi-Pyrénées de Sopra Steria Consulting, Bertrand accompagne nos clients dans l amélioration du pilotage des grands projets et programmes. Il intervient également dans la définition et la mise en œuvre des stratégies de cybersécurité. Certifié ISO Lead Implementor et ITIL, Bertrand participe à l animation du think tank PRISSM qui réunit les professionnels de la cybersécurité en Midi-Pyrénées. bertrand.hasnier@soprasteria.com 2

3 La révolution numérique, par l ouverture du SI aux clients et aux fournisseurs, les nouveaux usages en mobilité, le big data et les objets connectés, offre de formidables perspectives, et va changer considérablement la façon de travailler de beaucoup d entreprises. Protéger le SI et ses données devient donc un enjeu majeur. L ouverture du SI et l augmentation des volumes de données créent en effet de nouveaux risques. La sécurité informatique n est plus uniquement une problématique technique mais un sujet transverse impliquant aussi bien la DSI que les métiers et les utilisateurs. De fait, la maîtrise d ouvrage (MOA), interlocuteur naturel entre les métiers et la DSI, joue un rôle croissant dans la définition de la politique de sécurité et son application. Ayant une bonne maîtrise des enjeux métiers, la MOA se révèle un maillon essentiel pour définir et promouvoir les pratiques de sécurité auprès des utilisateurs. Car face à des métiers qui exigent le zéro risque sans coûts supplémentaires pour des applications toujours plus agiles, ouvertes et communicantes, l arbitrage en matière de sécurité est une question souvent complexe et mal comprise par les utilisateurs. La DSI est clairement en attente d un tel support et de l implication de la maîtrise d ouvrage pour l accompagner dans cette démarche. Pour cela, la MOA doit développer une véritable culture de la sécurité et se réapproprier ainsi la maîtrise des risques informatiques. Elle doit faire monter en compétence ses équipes et intégrer la sécurité dans ses processus de la conception jusqu aux tests. Plus largement, la sécurisation du SI est un véritable projet de transformation où la MOA est un acteur qui doit prendre toute sa place. Voici nos conseils pour réussir l intégration de la maîtrise d ouvrage dans la politique de sécurité informatique. SOMMAIRE Un changement considérable en dix ans Comprendre les grands principes de la cybersécurité Six conseils pour intégrer la MOA dans la politique de sécurité informatique 3

4 Un changement considérable en dix ans Avec l ouverture des systèmes d information, les enjeux de la sécurité informatique ont considérablement évolué : le SI et ses données sont devenus un actif essentiel à protéger. Cela nécessite une nouvelle approche de la part des DSI, mais aussi des métiers et des directions générales. La MOA voit ainsi son rôle grandir dans l orientation de la politique de sécurité. En dix ans, le contexte de sécurité lié aux nouvelles technologies a changé. Les systèmes d information et leurs applications (cloud, big data, mobilité, IoT ) valorisent de plus en plus les données. L «entreprise étendue» offre une meilleure collaboration entre fournisseurs et clients. D autre part, l accès aux réseaux depuis les appareils mobiles confère une meilleure productivité aux collaborateurs. Ces évolutions ont considérablement modifié les usages et apporté aux métiers une véritable valeur ajoutée, au point que le SI et ses données n ont jamais été aussi porteurs de valeur et de promesses pour l entreprise. Ils sont donc devenus aujourd hui des actifs essentiels à protéger. Dans ce contexte, la sécurité informatique a toujours créé des inquiétudes, notamment pour les métiers et la MOA qui ont pu se sentir désemparés face aux enjeux très techniques de la cybersécurité et ont dû s en remettre à la DSI. En effet, pendant longtemps, la cybersécurité est restée cantonnée à ses aspects techniques, gérée directement par les équipes réseaux et infrastructures (firewall, DMZ, antivirus, architecture réseau, contrôle des accès...). Mais la professionnalisation des hackers disposant de moyens importants, le déploiement des nouveaux usages IT et le développement de nouvelles attaques ciblant la «naïveté» des utilisateurs ont rendu cette organisation insuffisante : il faut aujourd hui repenser les démarches de sécurité en termes de données et de processus métiers. Le SI est en effet constitué aujourd hui d un ensemble d applications qui communiquent entre elles, et de plus en plus ouvertes sur l extérieur. Ces applications et leurs données sont utilisées depuis des appareils dont on ne maîtrise plus la sécurité, comme les smartphones et les tablettes personnelles, les réseaux étendus aux sous-traitants et clients, l hébergement dans le cloud... Les utilisateurs ne sont plus limités à un service mais peuvent être des sous-traitants à l autre bout du monde. Ceci a considérablement complexifié la sécurisation des SI. Repenser la sécurité en termes de processus métier et de protection des données Des attaques sophistiquées, mêlant collecte de données techniques et escroquerie classique, se développent rapidement (comme le cyber-rançonnage, l usurpation d identité, les faux présidents, le vol de données ). Nous sommes loin du hacker «sympathique» qui ne cherchait que l exploit technique. Aujourd hui, nous faisons face à des réseaux mafieux disposant d importants moyens techniques et à la recherche de la moindre faille. Raisonner en termes techniques et applicatifs, comme il y a dix ans, n est donc plus suffisant. Un processus métier est aujourd hui couvert par de nombreuses applications et données qui circulent dans tout le SI, voire à l extérieur. Les utilisateurs peu avertis des risques sont souvent le point faible. 4

5 Il faut donc repenser la politique de sécurité en termes de protection des processus métier et des données. Le législateur l a bien compris, car les lois se focalisent aujourd hui sur les notions de «traitement» et de «données». La MOA a ainsi un rôle nouveau à jouer dans la définition et la mise en œuvre d une politique de sécurité. Pour y parvenir, elle doit monter en compétence dans le domaine, et être soutenue par la direction générale. Cela doit s établir dans la continuité grâce à des plans de formation, de support et une adaptation progressive des organisations et des processus internes. L étape essentielle est d en prendre conscience et de démarrer la démarche pour ensuite l améliorer et la faire mûrir progressivement, et ainsi renforcer le niveau de sécurité de l entreprise. La MOA au cœur de la gouvernance et du pilotage La définition et la mise en œuvre d une politique de sécurité moderne doivent faire face à plusieurs défis : 1- Mettre en œuvre une gouvernance de la sécurité efficiente 2- Aligner la politique de sécurité sur la stratégie de l entreprise 3- Proposer des solutions de sécurisation performantes 4- Trouver le juste compromis entre niveau de sécurité/coût/contraintes métiers 5- Faire adhérer l ensemble de l entreprise à la politique de sécurité 6- Maintenir l effort et l engagement après les premières étapes Bien que ce soit très important, le simple fait de trouver des solutions techniques performantes n est qu un des éléments du succès : la sécurité informatique engage tous les acteurs de l entreprise. Une démarche de sécurité est donc un grand projet de «transformation» au sein de l entreprise où la MOA est un acteur essentiel. 5

6 Comprendre les grands principes de la cybersécurité Le nouveau rôle de la MOA dans la sécurité implique une bonne connaissance de ses principes clés. Voici les notions indispensables à connaître et ce qu il faut en retenir. Pour évaluer le niveau d exposition au risque de l entreprise, il faut comprendre les notions de menace, de vulnérabilité et d impact. Les menaces Lors d une étude sur la politique de sécurité, la première question à se poser concerne le niveau de la menace : quelles motivations peuvent avoir les attaquants et de quels moyens disposent-ils? L ANSSI (Agence nationale de la sécurité des systèmes d information) identifie actuellement quatre grands types de menaces, de motivation des attaquants : la déstabilisation de l entreprise : essentiellement issue d «hacktivistes» et de mouvements idéologiques ; le sabotage : par des terroristes ayant pour cible les «opérateurs d importance vitale» ou des concurrents internationaux ; l espionnage, l intelligence économique : par des concurrents ou gouvernements à des fins économiques ou scientifiques ; la cybercriminalité : essentiellement dans un but lucratif via, par exemple, des extorsions ou détournements de fonds, de la revente de données... Il existe des outils pour évaluer le niveau de la menace : la Délégation interministérielle à l intelligence économique propose le Diagnostic d intelligence économique et de sécurité des entreprises (DIESE). Basé sur un questionnaire qui recueille des informations sur l environnement dans lequel évolue la société (concurrence, exposition médiatique, localisation ), il mesure le niveau de la menace sur huit grandes thématiques (atteinte à l image, atteinte financière, système d information ). Autrefois, la cybercriminalité était principalement concentrée sur les entreprises sensibles (banques, organismes de recherche, défense ). Aujourd hui, le niveau de menace a sensiblement augmenté et concerne l ensemble des entreprises. La vulnérabilité Aussi motivé et outillé soit-il pour causer un dommage, un attaquant doit exploiter une faiblesse du système, ce que l on appelle une vulnérabilité. On distingue deux grands types de vulnérabilité : vulnérabilité technique : il s agit de toutes failles d origine technique comme le mauvais paramétrage d un serveur, d un Firewall, un patch sécurité qui n est pas à jour, etc. ; vulnérabilité humaine : maladresse, malveillance, ingénierie sociale, fraude, chantage, usurpation d identité, etc. ; 6

7 Les utilisateurs sous-estiment souvent les risques et la valeur des données, ainsi que les applications qu ils manipulent. Mauvaise gestion des mots de passe, naïveté ou encore manque d «hygiène informatique» sont des exemples typiques. La vulnérabilité ne concerne donc pas que la technique. Les utilisateurs se révèlent être une des «vulnérabilités» les plus souvent exploitées. Les risques et impacts La conjonction des menaces et des vulnérabilités permet de déterminer une probabilité d attaque réussie. Cela ne devient un risque que si l attaque parvient à générer un impact important. La question à se poser concerne donc l impact pour l entreprise d une cyberattaque réussie. Quel est l impact d une fuite massive de données? De la non-disponibilité de mon application pendant plusieurs jours? D une perte importante de données? L équation de la sécurité 7

8 Six conseils pour intégrer la MOA dans la politique de sécurité informatique Nos recommandations pour une participation active de la MOA à la protection du patrimoine numérique de l entreprise. Lorsque les projets informatiques de l entreprise prennent une dimension importante, les métiers ou les utilisateurs ne sont plus forcément en capacité de définir leurs besoins et de fournir à la DSI le support métier nécessaire à la conception et au test de la solution C est souvent une question de charge. Se met alors en place une équipe «maîtrise d ouvrage», composée de personnes souvent issues des équipes métiers, qui va représenter les métiers dans la définition des besoins et la recette fonctionnelle de la solution. Développer une culture de sécurité au sein même de la MOA La «culture de sécurité» est encore peu répandue dans les maîtrises d ouvrage. La première étape est donc de développer cette culture et de renforcer l application des mesures de sécurité pour les raisons suivantes : la maîtrise d ouvrage a souvent un accès privilégié aux données, aux applications, aux documents d architecture, sans avoir toujours conscience des risques informatiques. Elle offre donc une cible de choix pour les attaques ; en tant qu arbitre sur les choix des solutions, leur conception et l orientation des budgets, la MOA doit avoir une culture de sécurité pour comprendre les enjeux associés, pouvoir en discuter avec la DSI et arbitrer en toute connaissance de cause ; au contact des utilisateurs et des métiers, elle doit promouvoir et expliquer les choix et la politique de sécurité. Elle doit, par exemple, être particulièrement vigilante sur les «zones grises», ces applications qui échappent au contrôle de la DSI (applications Excel ou Access qui extraient des données sensibles pour calculer des KPI, utilisation de logiciels externalisés ou sous-traités directement par le métier sans passer par la DSI par exemple). Point faible du système, ces applications respectent rarement la politique de sécurité. Participer à la définition de la politique de sécurité locale Quand la question du niveau de sécurité leur est posée, les non-spécialistes souhaitent naturellement un niveau maximal. Or, dès la mise en œuvre de cette politique de sécurité, ils se plaignent des contraintes imposées et des surcoûts générés. Une bonne politique de sécurité doit être un savant équilibre de mesures de protection efficaces permettant aux utilisateurs de travailler avec des outils performants, tout en restant dans des budgets de sécurité raisonnables. La politique de sécurité de l entreprise donne généralement des directives de haut niveau, des bonnes pratiques génériques difficilement applicables par les équipes locales. Il convient donc de décliner cette politique de façon très opérationnelle, applicable et compréhensible. La maîtrise d ouvrage a tout son rôle à jouer dans la définition et la mise en œuvre de la politique de sécurité «locale» (déclinaison opérationnelle de la politique de sécurité groupe au périmètre de responsabilité de l entité), et doit ainsi se réapproprier la maîtrise du risque informatique. 8

9 La définition d une politique de sécurité locale passe alors par plusieurs étapes : cartographie des processus et des données ; analyse des risques : menaces potentielles vs vulnérabilités du SI vs impacts potentiels ; classification des processus et données par criticité : risque et impact importants ; plan d action : définition des mesures de sécurité par niveau de criticité ; suivi et audits dans une démarche d amélioration continue. A chacune de ces étapes, il est essentiel de s appuyer sur une méthodologie rigoureuse et éprouvée, sans quoi l entreprise court le risque de se lancer dans une démarche trop ambitieuse (qui n aboutirait pas) ou trop simpliste (qui se révèlerait inefficace). Il s agit de définir concrètement les mesures très opérationnelles de sécurité adaptées au contexte et à la criticité des processus. Ce travail demande bien évidement une expertise de la sécurité pour bien évaluer les menaces potentielles, connaître les stratégies d attaque et les bonnes pratiques, mais elle exige également une très bonne connaissance du métier, des processus, des risques et enjeux, et la capacité d arbitrer. Ce travail ne peut donc être assuré par la DSI seule. Il nécessite l implication des métiers et de la MOA pour une meilleure approche du métier, une bonne prise en compte de ses enjeux et le fléchage des budgets de sécurité sur les processus les plus critiques pour l entreprise. Politique de sécurité métier «locale» Décliner une politique de sécurité opérationnelle 9

10 Aligner la roadmap de sécurité et la stratégie de l entreprise Ne nous le cachons pas, les pratiques de la sécurité dans beaucoup d entreprises sont encore insuffisantes. Lorsqu on travaille sur une politique de sécurité, on mesure souvent l écart très important entre les exigences du corporate et les pratiques locales. Paradoxalement, c est souvent une des résistances principales : l effort semble si important que l entreprise y renonce et préfère vivre avec le risque. Mais ceci traduit surtout une difficulté à mettre en œuvre la politique de sécurité. Il est évident que le travail ne se fera pas en quelques jours mais sur la durée. En parallèle de la définition de la politique de sécurité locale (la cible), il est souhaitable de lancer des tests de sécurité (tests d intrusions, analyses des processus, revues documentaires, interviews, etc.) pour connaître l état actuel et identifier les vulnérabilités. Le travail quotidien d une MOA est d étudier et de concevoir fonctionnellement les applications du SI. A la différence de la politique de sécurité suivie en général au plus haut niveau hiérarchique de la MOA, la rédaction des spécifications fonctionnelles et les tests associés sont des activités qui impliquent toute la MOA. D où la nécessaire montée en puissance d une «culture de sécurité» au sein de la MOA, car il est essentiel qu elle s approprie les notions de sécurité ; des concepts assez complexes à maîtriser par ailleurs. Certes, les notions très techniques dans la sécurité informatique resteront toujours du domaine des experts de la DSI. Mais il est important de comprendre comment opèrent les hackers et quelles sont les parades adéquates afin d intégrer les concepts de sécurité, dès la création des applications au niveau processus ou organisationnel. Dans le milieu bancaire par exemple, on retrouve beaucoup de contrôles au niveau des applicatifs et des procédures pour limiter le risque de malversation et identifier les flux financiers suspects (traçabilité des transactions, limitation des droits, processus de double validation, etc.). Il s agit ensuite de définir une roadmap sur plusieurs années, qui soit généralement alignée sur le schéma directeur, et un plan d actions très court terme pour pallier les faiblesses les plus critiques. Le rôle de la maîtrise d ouvrage est ici aussi important par sa connaissance de la roadmap métier et des enjeux associés afin de définir une roadmap de sécurité cohérente. Elle aide également à arbitrer les actions à court terme qui ont souvent un impact métiers, ainsi qu à définir la politique d accompagnement (formation, sensibilisation, support) des utilisateurs. Traiter les aspects juridiques et réglementaires au sein des projets De nombreux secteurs sont soumis à des réglementations spécifiques en termes de sécurité (banque, assurance, défense, aéronautique, santé). Les équipes de sécurité doivent se renforcer avec des juristes Intégrer la sécurité dans le design et le test des applications Les données personnelles, dont la définition est très large, sont également soumises à nombre d exigences (CNIL) sur ce qu on peut en faire ou non, les mesures de protection à mettre en œuvre Un projet de loi européen assez contraignant est d ailleurs en cours de discussion à ce sujet. 10

11 DONNEES PERSONNELLES ET RESPONSABLE DE TRAITEMENT Responsable de traitement : «La personne, l autorité publique, le service ou l organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement» (Art. 3 loi Informatique et libertés). Le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (Loi n 78-17). Le responsable de traitement sera souvent un responsable côté MOA, assisté du responsable technique de traitement côté MOE. A ces exigences viennent s ajouter celles de la politique de sécurité de l entreprise, ainsi que les exigences de sécurité contractuelles avec les clients et fournisseurs. En cas de poursuites dues à une perte de données clients par exemple, les enquêteurs vont chercher à identifier si l entreprise avait oui ou non mis en œuvre une politique de sécurité conforme à ses engagements. L entreprise doit donc être en mesure de prouver qu elle a mis en place une politique de sécurité conforme aux exigences réglementaires et contractuelles. Cela suppose une organisation, des processus de sécurité et un référentiel documentaire à jour. processus métiers dès leur conception. L utilisation de certains types de données étant très réglementée, il faut en tenir compte dans la conception et bien comprendre les limites d usage et les obligations (traçabilité, cryptage, segmentation, archivage obligatoire ou limité, droit de rectification, etc.). Les droits d accès, de retrait et d opposition des données personnelles peuvent par exemple se révéler difficiles à traiter s ils ne sont pas pris en compte à la conception de l application. Dans ce contexte, de plus en plus d équipes de sécurité se renforcent avec des juristes, car ces aspects juridiques ont pris de l importance et peuvent devenir complexes. Etre le relais auprès des métiers et des utilisateurs Enfin, la MOA est un relais important pour diffuser la culture de la sécurité aux métiers. En effet, les experts en sécurité et la DSI sont souvent focalisés sur les aspects techniques et ont du mal à utiliser une approche et un langage compréhensibles par les utilisateurs. Ces derniers sont souvent lassés par les formations et les sensibilisations à la sécurité, car elles sont souvent trop génériques, trop techniques et répétitives. L enjeu est important : par définition, une politique de sécurité ajoute des contraintes pour les utilisateurs. Si ces contraintes ne sont pas comprises et admises, elles risquent de ne pas être appliquées. La MOA doit donc être un relais de la DSI en adaptant le discours technique aux enjeux métiers, en l ajustant au plus près du quotidien des utilisateurs et en intégrant la notion de sécurité dans les communications internes (documentation standard, formation aux outils, aide en ligne, etc.). Il est important que les métiers et la maîtrise d ouvrage soient impliqués sur ces sujets afin de les traiter et les prendre en compte dans les Enfin, et plus globalement, la MOA est la clé pour mettre en œuvre une véritable démarche de gestion du changement auprès des utilisateurs. 11

12 A propos de Sopra Steria Consulting Sopra Steria Consulting est l activité Conseil du Groupe Sopra Steria. Présent dans plus de 20 pays, le Groupe compte collaborateurs et affiche un chiffre d affaires pro forma 2014 de 3,4 milliards d euros. Notre vocation est d accélérer le développement et la compétitivité des grandes entreprises et organismes publics. Aujourd hui, ce sont consultants dans le groupe dont 800 en France qui accompagnent les transformations numériques de nos clients en Europe. Sopra Steria - Direction Communication & Marketing contact-corp@soprasteria.com