La sécurité numérique de l entreprise

Transcription

1 11Pierre-Luc Réfalo La sécurité numérique de l entreprise L effet papillon du hacker, 2013 ISBN :

2 Sommaire Avertissement...11 Préambule...13 Introduction...23 Première partie Tout est risque à l ère du numérique...33 Chapitre 1 - Au cœur de la complexité...35 L écosystème des entreprises...35 L entreprise numérique et ses risques...36 Chapitre 2 - Les risques numériques : défis du xxi e siècle...39 Des risques naturels aux risques psychologiques et numériques...39 De Mafiaboy à Zeus, ou l essor des botnets et l avènement des groupes cybercriminels...41 De «I Love You» à Conficker, ou l industrialisation du malware...42 De l infrastructure à l information ou le ciblage de l attaque...44 De Serge Humpisch à Albert Gonzales ou comment l économie de la cybercriminalité impose sa loi...46 Vieille comme le monde : l ingénierie sociale...48 Des perspectives au cœur de la globalisation...49 Chapitre 3 - Au-delà des risques, les réponses juridiques...53 De la protection des données et du secret à la dissuasion/sanction...53 Chapitre 4 - Au-delà des risques et des lois, les réponses du marché...69 Un marché privilégié qui entre dans la crise...69 De l antivirus à l anti-tout À l anti-rien?...71 De l application des correctifs à la gestion des vulnérabilités : une quête sans fin?...72 De la défense périmétrique à la défense en profondeur : les leçons de l histoire...74 De la détection/prévention d intrusion au SIEM : boucler la boucle...76 Des tendances fortes pour un marché à bout de souffle...77 Chapitre 5 - Les dés sont jetés...79

3 6 La sécurité numérique de l entreprise Deuxième partie La fonction sécurité SI : à la croisée des chemins...81 Chapitre 1 - La sécurité numérique au cœur de la sécurité globale...83 Des changements structurels...83 Le concept de sécurité globale...85 La démarche engagée en France...87 Chapitre 2 - Les mutations de l univers de la sécurité numérique...91 Essence de la fonction sécurité SI...91 Une question de pouvoirs...93 Trois axes clés : gouvernance, culture et économie...95 Chapitre 3 - Une fonction désormais reconnue, mais...97 immature et en quête de professionnalisation...97 aux activités très variées et en manque de structuration...98 Aujourd hui incontournable voire stratégique Désormais sous la menace Chapitre 4 - De Doctor No à «Yes we can» S il était un animal, le RSSI serait un caméléon Six enjeux cadrant son champ d action Attraits et dangers de la transversalité et du pilotage Impacts des normes ISO/IEC 2700x sur la sécurité des SI Trop d activités pour pas assez de résultats? S il était un métier, le RSSI serait missionnaire ou médecin Chapitre 5 - Le RSSI un «faux métier» pris en étau Entre menaces et opportunités Intelligence économique et cyberdéfense Conformité et protection des données personnelles Dématérialisation et confiance numérique Des devoirs et des pouvoirs Chapitre 6 - Un pas vers une meilleure gouvernance Stratégie vs opérations Sécurité numérique vs sécurité du business Disponibilité vs confidentialité Troisième partie Que restera-t-il du secret? Chapitre 1 - Confidentialité, secret et vie privée...129

4 Sommaire 7 Chapitre 2 - Retour aux sources L ère numérique : de l âge de pierre à l âge du silicium La science du secret Trois questions clés Distinguer secret et confidentialité La réalité des faits Chapitre 3 - Importance de la sociologie Les trois sphères : professionnelle, privée, publique Les trois générations : baby-boomers, génération X, génération Y Quelle place pour la cyberéthique? Trois invariants : gouvernance, culture, économie Chapitre 4 - Au cœur du management des organisations La transparence comme valeur de l ère numérique? La transparence : symptôme démocratique de l entreprise La tension secret/transparence Chapitre 5 - La législation «secret» et «confidentialité» : entre «trop-plein» et «manque» Définitions Secret bancaire et secret médical Secret des correspondances Les hypothèses d atteintes Quelles perspectives? Chapitre 6 - Normes et référentiels «Sécurité» : un langage enfin partagé? Le poids grandissant des normes La méthode EBIOS Le référentiel général de sécurité L IGI Chapitre 7 - Le secret et la confidentialité en pratique Une boîte à outils à l efficacité incertaine Le chiffrement : pour quels usages? Les atteintes à la confidentialité et au secret De l importance de la réglementation Les questions en suspens Chapitre 8 - Mission impossible? La fin du secret? Gérer la confidentialité Le poids des lois le choc des normes Pas de classification sans acculturation...178

5 8 La sécurité numérique de l entreprise Quatrième partie Acculturation «sécurité numérique» Chapitre 1 - La clé du facteur humain Tout est risque! Et rien n est sûr Sentiment de sécurité et marché de l insécurité, ou l inverse? De la parole aux actes Les trois axes : communiquer, sensibiliser, former De l inconscience à la malveillance Chapitre 2 - Culture et culture des risques Qu est-ce que la culture? La culture du risque numérique Individuel vs collectif Chapitre 3 - État de la culture de la sécurité numérique Critères d évaluation Enjeux majeurs et risques redoutés La culture du pilotage La culture de l action La culture des synergies Les cinq points de la culture des risques numériques Chapitre 4 - Vers un processus d acculturation De quoi parle-t-on? Une boîte à outils complète mais à bien exploiter Gouvernance et pédagogie Évaluation et économie «Best of» de la communication/sensibilisation Implication des pouvoirs publics et des acteurs privés Chapitre 5 - Entre culture des risques et culture de crise Cinquième partie Dépenser moins ou dépenser mieux? Chapitre 1 - Culture du risque et principe de précaution On protège ce qui a de la valeur Une question de professionnalisation Une des clés du futur Marché contre démocratie Chapitre 2 - Création d un nouveau marché Les cinq phases d évolution du marché Les questions clés de l économie de la sécurité numérique...234

6 Sommaire 9 Chapitre 3 - Apports des travaux européens Université de Cambridge Les travaux de l ENISA Les travaux du Cercle européen de la sécurité Chapitre 4 - Connaître ce qu on dépense Pas si simple que cela Le champ de la consolidation Utilité et pertinence des dépenses de fonctionnement Quelle progression des dépenses? Types de dépenses prioritaires en Facteurs d augmentation des dépenses Chapitre 5 - Indicateurs ratios des dépenses Une innovation porteuse d espoir Les ressources humaines de pilotage de la sécurité numérique Les actions d acculturation La protection des postes de travail Pratiques de contrôle et audit Processus de gestion des accès logiques De grandes inégalités face à l achat Une place de marché traditionnelle Chapitre 6 - Impacts économiques des incidents Incidents vécus et quête du risque zéro Analyse d impact économique Le rôle limité de l assurance Chapitre 7 - Trois évolutions structurelles Pression croissante sur le marché L impact du cloud computing Trois processus de gestion de la sécurité numérique Au-delà de la politique sécurité Conclusion - Que restera-t-il de la sécurité numérique? Annexes - Associations et groupes de travail Bibliographie Remerciements Index...291