Restitution atelier n 1 du congrès CESIN 2020
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Restitution atelier n°1
du congrès CESIN 2020
Zero Trust Architecture, ou comment le monde d’après
va devoir appréhender le travail en mobilité
« Comment la gestion de la menace interne », parent pauvre de la
cybersécurité, va devoir devenir un axe de cette démarche ?
Co-animation par Christophe Cavrot (Informatique CDC) - Loïc Guézo (ProofPoint) & Fabrice Delouche (CrowdStrike)
1
ZERO TRUST (source : ANSSI)
Principes du Zero Trust : une remise en cause de la Plusieurs axes d'effort sont envisageables pour
« confiance implicite » accordée dans le modèle intégrer à un SI « traditionnel » les principes du Zero
périmétrique Trust
1. Une gouvernance améliorée de l’identité ;
1. L’accès aux ressources doit être accordé sur la base du besoin
2. Un cloisonnement des ressources plus granulaire et dynamique
d’en connaître;
3. Une utilisation des moyens d’authentification à l’état de l’art
2. L’accès doit être donné sur la base du plus faible niveau de
4. Un renforcement des moyens de détection ;
privilège nécessaire pour réaliser la tâche;
5. Une configuration à l’état de l’art quant à la sécurité des services
3. Les demandes d’accès doivent être contrôlées de la même
6. une conduite du changement à ne pas délaisser.
manière quelles que soient leurs origines (le périmètre
«intérieur» ou «extérieur» de l’entité);
→ Cette transformation doit être progressive et maîtrisée
4. La politique d’accès aux ressources doit être dynamique et
prendre en compte un large nombre d’attributs (identités de
l'accédant et de la ressource accédée, sensibilité des ressources Le Zero Trust: de nouveaux risques pour le niveau global de
sollicitées, analyse comportementale de l'utilisateur, horaires
sécurité
d'accès, etc.);
5. L’entité doit veiller à la sécurité de tous ses actifs à l’occasion Le Zero Trust , s’il est interprété de manière à rompre avec le modèle périmétrique
des demandes d’accès et de manière récurrente durant l'usage; traditionnel, est susceptible d’accroître les vulnérabilités (recours à des solutions
6. Les authentifications et autorisations d’accès aux ressources logicielles nouvelles …)
doivent faire l'objet de réévaluations régulières.
L’approche «tout en un » des fournisseurs de solutions commerciales Zero Trust peut
sembler attractive, or elle ne dispense aucunement d'une réflexion autonome sur
l'état de l’art de toutes les déclinaisons possibles de la démarche.
2
Réponse au sondage
Le modèle Zero Trust exerce un attrait croissant car il est promu comme une garantie d’accès sécurisé aux ressources
informatiques dans les contextes d'usages mixtes (télétravail, BYOD/AVEC) et fait l'objet d'un engouement de la part
d’éditeurs de solutions technologiques et de sécurité qui y voient la perspective de nouveaux gains (source ANSSI).
Avez-vous un projet Zero Trust ?
3
Situation : la compréhension de la problématique
▪ Zero trust = nouveau paradigme et nouveau cadre de référence
▪ Zero Trust Architecture:
– Comment le monde d’après va devoir appréhender le travail en mobilité ?
– comment la gestion de la menace interne doit s’intégrer dans cette démarche ?
→ Back to basics, parmi les 6 piliers décrits pas l’ANSSI
→ Une partie est et/ou devrait être en place
→ Besoin d’en connaître
→ Moindre privilège
→ Sécurité de l’ensemble des actifs
→ Authentification et habilitation aux ressources revues périodiquement
→ D’autres nécessitent un travail complémentaire
→ Contrôle d’accès quelles que soient les origines
→ Politique d’accès aux ressources dynamiques et granulaires
4
Complications : Identifier les problématiques
qui impactent la situation
Buzz words du marché qui complexifient la compréhension et donc l’adoption d’une démarche ZT
AAA (Anywhere, Any devices, Anyone), ZTNA, SIEM/SOC, SASE, CASB, BYOD, PRA, SOAR, EDR…
→ Zero Trust (ZT) nouveau buzz word ou nouvelle approche ?
Problématiques
▪ Accélération de la transformation numérique (cloud, nouveaux outils collaboratifs, SAAS,…)
▪ Multiplicité des technologies présentes
▪ Augmentation exponentielle des menaces cyber
▪ Gestion du legacy
▪ Manque de visibilité sur les actifs et les accès au SI existants
▪ Mobilité des utilisateurs
– Patching difficile
– Authentification « moins » facile à vérifier (que lorsque l’utilisateur est dans les locaux)
– Problématique d’accès aux applications
5
Implications : que se passerait-il si on fait
ou on ne fait pas ?
• Si on ne fait pas ?
– Dans le cadre de la transformation le modèle de sécurité doit évoluer pour éviter l’explosion du
risque cyber
– A-t-on le choix ? À priori, non
– Si on ne fait pas, on ne fait que reculer l’échéance face à la transformation numérique et au
legacy
• Si on fait ?
– Rationalisation des usages internes/externes
– Simplification de l’accès aux ressources pour les utilisateurs, et donc satisfaction
– Agilité sur l’administration du SI
– Adéquation des technologies aux nouveaux usages
6
Positions : Les participants se positionnent
▪ Frein des équipes techniques à lever pour accepter ce nouveau modèle
– Le réseau interne n’est plus considéré par construction de « confiance »
– L’interne devient équivalent à l’externe
▪ Les utilisateurs des métiers sont plus faciles à convaincre et voient très bien les
bénéfices (facilité d’usage, rapidité d’accès, levée de certaines contraintes…)
▪ A date, l’offre ZT est illisible et difficile à vendre au management
▪ Discuter avec les acteurs déjà en place dans l’entreprise (évidemment les équipes IT
mais également les fournisseurs de solutions)
▪ Il va falloir gérer les changements et les réticences au changement
7
Actions : les attentes pour changer les choses
▪ Identifier les solutions déjà existantes
▪ Définir une cible globale, avec des jalons intermédiaires et faire valider par le
COMEX
▪ Positionner un framework de référence pour évaluer son niveau de maturité
▪ Amender la cartographie des risques avec le framework
▪ Tolérer une phase transitoire pour les utilisateurs
▪ Mettre en place une approche par phase (en excluant certains métiers au
démarrage)
8
Bénéfices pour 2021 et suivantes
▪ Simplicité opérationnelle, détection, réaction et orchestration
▪ Maintien en condition opérationnelle facilité
▪ Contrôle de conformité plus simple (et moins chronophage) pour les auditeurs /
régulateurs
▪ Confort pour les utilisateurs
▪ Visibilité globale du SI (actif, identité, sensibilité des données,…)
▪ Gestion des identités simplifiée (comptes à privilèges)
▪ Les prestataires doivent fournir des solutions facilement interopérables
▪ Accélérer la prise de décision sur le traitement des menaces
9
Les trois idées à faire partager
1. Opportunité d’aligner les démarches sécurité sous un brand name Zero Trust
- Par étape
- Stratégique et tactique
- Clients et fournisseurs
2. Interne = Externe
- Evolution de l’internet/intranet d’entreprise
3. Faire aimer la sécurité aux utilisateurs
- Simplification de l’authentification, de la connexion aux ressources de l’entreprise
- Accès depuis n’importe où
10Restitution atelier n°2
du congrès CESIN 2020
L'explosion des outils collaboratifs
La crise a accéléré le déploiement des outils collaboratifs. On a rendu les
utilisateurs autonomes sans les rendre responsables. Comment regagner
de la maîtrise et assurer l’intégrité de ces environnements clés ? Avec
quels outils ? Quelle gouvernance ? Quel rôle de l’utilisateur ?
Co-animation par Sylvain Lambert (Pôle Emploi) – Jérôme Soyer (Varonis) & Christophe Auberger (Fortinet)
11Situation : la compréhension de la problématique
• La crise sanitaire a accéléré le déploiement des outils collaboratifs.
• On a rendu les utilisateurs autonomes sans les rendre responsables.
• Comment regagner de la maîtrise et assurer l’intégrité de ces environnements clés ?
• Avec quels outils ?
• Quelle gouvernance ?
• Quel rôle de l’utilisateur ?
.
. . .
.
. .
6 .
. 6 . 6 .
. Responses
Responses Responses
. . .
.
. .
.
. . .
Nouveaux Extensions Oui Non Oui Non
12Complications : identifier les problématiques
qui impactent la situation
• C’est l’usage qui drive le SI et non plus la DSI, ni le métier
• Les modèles d’analyse de risque ne sont plus adaptés
• Risque de perte de contrôle des données
• Développement du Shadow IT
13Implications : que se passerait-il si on ne fait pas
• Perte de contrôle des données (Divulgation, Compromission, etc..)
• Perte de confiance envers la SSI (SSI déconnectée de la réalité)
• Les utilisateurs restent livrés à eux-mêmes
14Positions : Les participants se positionnent
• Les changements sont durables
• La SSI doit s’adapter aux nouveaux usages et proposer des mesures de sécurité en
adéquation
• L’analyse de risque doit être maintenant dynamique et itérative
• Sécuriser au mieux les usages des utilisateurs
15Actions : les attentes pour changer les choses
• Culture et sensibilisation des utilisateurs
– Inscrire la sécurité dans les process d’embauche et de formations
• Fournir les outils de sécurité aux utilisateurs pour qu’ils maitrisent leur
environnement de travail collaboratif
• Fournir les outils à la SSI pour contrôler les usages des utilisateurs en observant ce
qui passe sur le net et le darknet
16Bénéfices pour 2020 et suivantes
• Décrire les positions / actions qui sont recommandées par le groupe. Décrire une
situation claire et quantifiable
• Le SI évoluent avec les usages dans l’air du temps tout en gardant un niveau de
sécurité acceptable
• En responsabilisant l’utilisateur sur ses usages on renforce la sécurité du SI
• On revient au principe de la sécurité périmétrique en faisant de chaque utilisateur
un maillon de la chaine de sécurité.
17Les trois idées à faire partager
• Positionner l’utilisateur en tant qu’acteur et non en tant que consommateur des
services
• Changement durable mais pas seulement dû à la crise sanitaire, qui a juste été un
accélérateur
• Intégrer dans la politique de sécurité une thématique traitant des outils collaboratifs
pour y intégrer les spécificités
18Restitution atelier n°3
du congrès CESIN 2020
Le new deal du télétravail
pour les prestations de cybersécurité externes
Prestations de services managés, prestations d’audit, de conseil et d’ingénierie,
de développement, etc.,. La gestion de ressources humaines, l’encadrement
engageant par le fournisseur auprès des clients, autant de facettes du nouveau
paradigme pour la profession.
Co-animation par Fabien Malbranque (Les Ministères Sociaux) - Laurent Besset (I-Tracing) et Damien Eschbach (CybelAngel)
19Situation : la compréhension de la problématique
• Une situation Contrainte externe forte (1er confinement)
inédite
Puis une géométrie plus variable
Présence à l’international, multiplicité des cadres
• Un problème posé
à toute la sphère
AT/Régies, pilotage par le client
professionnelle,
nos/vos Projets aux forfaits, possibles contraintes « on-prem »
prestations
externes Services managés, pilotage par le prestataire
comprises
20Complications : Identifier les problématiques
qui impactent la situation
• Le groupe a identifié les problématiques suivantes:
– Comment assurer le suivi et le pilotage des prestataires et prestations dans un contexte de
télétravail ?
– Comment s’assurer de la sécurité des prestations rendues en télétravail ?
– Comment appréhender le cadre réglementaire applicable aux prestations rendues en télétravail ?
Qui est-responsable de quoi ? Qu’est-ce qui est interdit ?
– Que sera le « monde d’après » i.e., quand les obligations/contraintes liées à la crise sanitaire
seront levées?
Des risques positifs aussi : accélération d’adoption du MFA, du VPN
Always-on, accès simplifié à certaines ressources expertes, etc.Implications : que se passerait-il si on fait
ou on ne fait pas
• Le groupe a identifié les possibles impacts suivants :
– Complexité de l’intégration d’un prestataire/du lancement d’une prestation
– Usure/Bore-out/Démotivation
– Complexité de réalisation de certaines prestations traditionnellement on-prem (ex. tests
d’intrusion interne)
– Difficulté de l’encadrement et du suivi au fil de l’eau de la qualité des prestations
– Risque de ne pas capter ou/et fidéliser les meilleurs profils (évolution tendancielle vers des
modes de travail plus autonomes/indépendants de l’entreprise, envie/besoin de télétravail)
– Accroissement de certains risques (moindre maîtrise du terminal et du contexte de connexion)
– Augmentation du décalage entre le contexte réel et les exigences de sécurité imposées aux
prestataires (la sécurité physique est-elle morte?)
22Positions : Les participants se positionnent
• Ici sont listés les opinions des participants sur les changements nécessaires qui
doivent être réalisés.
– Tout le monde s’accorde pour dire qu’il va y avoir beaucoup de changements nécessaires mais
personne n’a de certitude sur leur nature/priorité
– Tout le monde s’accorde pour penser que la réponse doit être holistique/adresser le sujet sous
tous les angles d’attaque:
• Humain
• Social
• Managérial
• Technique
• Cybersécurité
• Réglementaire
• Etc.
23Actions : les attentes pour changer les choses
• Le groupe recommande de :
– Suivre attentivement l’évolution de la situation (fin des contraintes, ce qui se fait ailleurs, etc.)
– Préparer le retour des collaborateurs, prestataires inclus
– Travailler sur des processus d’onboarding distants des nouvelles ressources/parcours
d’intégration
– Définir de nouveaux modèles de PAS prenant en compte le contexte de télétravail
– Faire évoluer les cadres contractuelles pour prendre en compte l’évolution des modes de travail
(travail indépendant, free-lancing, etc.)
– Définir et mettre en œuvre les solutions techniques permettant de sécuriser la connexion depuis
des réseaux ou/et terminaux non contrôles, les accès distants réseaux et applicatifs…
– Organiser le télétravail : maîtrise des horaires, planning de présence, critères objectifs
d’acceptation ou de refus, etc.
24Bénéfices pour 2020 et suivantes
• Le groupe attend pour l’avenir:
– Des prestations mieux maîtrisées/plus sûres dans un contexte de télétravail total ou partiel
– Des responsabilités clairement définies et contractualisées autour du télétravail, entre client et
prestataire
– Des prestations au moins d’aussi bonne qualité, indépendamment du mode d’intervention
– Des prestataires (et des internes) motivés, efficace et à l’aise avec leur contexte d’intervention
– Un monde de la cyber en phase avec son temps/les évolutions de la société et du monde du
travail
25Les trois idées à faire partager
• A retenir:
1. Gros sujet à venir sur l’organisation du télétravail des prestataires mais pas la maturité pour
savoir quoi proposer dès maintenant (adhérence avec des transformations plus profondes et
pas encore survenues/abouties du monde du travail)
2. Trouver la bon équilibre entre Confiance et Contrôle
3. Le terminal devient (encore plus) clé dans un contexte de connexion « hostile ».
approches de sécurisation du terminal du prestataire : s’affranchir du terminal (VDI) vs
renforcement des exigences contractuelles (PAS)
26Restitution atelier n°4
du congrès CESIN 2020
Défendre et maitriser son budget après la crise
La crise sanitaire a eu de nombreux impacts et notamment des impacts financiers
pour toute nos organisations. Les budgets ont été gelés ou réduits. Dans plusieurs
cas le budget Cyber a été impacté. Pour d’autres, la crise a pu être une opportunité
de voir ses budgets augmentés. Comment protéger son budget et quels arguments
pour y parvenir ? Que peut-on se permettre de réduire voire de sacrifier ? Comment
envisager la planification budgétaire dans les années à venir ?
Co-animation par Eric Vautier (ADP) - Benjamin Leroux (Advens) et Guillaume Vassault-Houlière (Yes We Hack)
27Situation : la compréhension de la problématique
,
• Quelle évolution du budget cyber suite à la crise COVID ?
,
,
,
,
,
Responses
,
– Impacts contrastés selon les activités des entreprises ,
,
,
,
Il a baissé Il a stagné Il a augmenté
– Métiers parfois impactés mais budgets Cyber globalement sanctuarisés
– Réorientation des budgets suite à mise en pause ou abandons de certains chantiers désormais
inutiles (NAC, téléphonie fixe par ex.)
– Accélération de certains sujets pour supporter les nouveaux usages (comme notamment le
télétravail) ou permettre de nouvelles activités Métier (click&collect, téléconsultation)
– Sollicitation de la Cyber plus tôt dans le cycle de vie des projets
28Complications : identifier les problématiques
qui impactent la situation
• Le COVID est-il vraiment la problématique qui a impacté la situation ? Non mais il a été un
catalyseur !
• Conjonction de plusieurs facteurs impactant le budget Cyber et/ou la préparation de celui-ci
– Augmentation de la menace
– Prise de conscience des dirigeants
– Risque sur la supply-chain & augmentation des interconnexions entre les fournisseurs
– Nouveaux périmètres à protéger (ex : OT)
– Exigence accrue de la part des clients
29Implications : que se passerait-il si on fait
ou on ne fait pas
• Les priorités ont évolué
– Internaliser ou externaliser ? Avec les risques sur la supply chain la question se pose. Le risque peut
conduire à faire soi-même.
– Rationnaliser ? On a empilé des technologies, sans toujours en évaluer l’efficacité globale. Les
fournisseurs doivent valoriser leurs solutions et en démontrer toutes les capacités, pas uniquement les
nouveautés !
– Consolider ? La période du confinement a permis dans certains cas de « se poser » pour consolider des
fondamentaux, les traiter jusqu’au bout et revenir aux basiques.
– Build ou run ? Si les budgets sont contraints, on se concentre sur le run, sachant qu’il faut toujours
faire un peu de build… qui doit être fait par les équipes de run si les effectifs sont réduits.
30Positions : Les participants se positionnent
• Nous avons identifié quelques positions…
– Le budget doit être présenté par rapport aux risques, en s’appuyant sur des scénarios de risques
qui parlent aux décideurs (s’appuyer sur le Top de la cartographie des risques de l’entreprise et
ne pas multiplier les risques trop ciblés, trop pointus)
– Il faut chercher une certaine forme de flexibilité, en partenariat avec les fournisseurs. On peut
honorer un engagement pluriannuel sur les prestations pour réduire les coûts… mais on va
chercher un paiement annuel pour mieux contrôler la trésorerie
• Mais surtout beaucoup d’actions !
31Actions : les attentes pour changer les choses
• Mieux travailler la planification budgétaire
– Identifier au plus tôt les exigences et le modèle de contractualisation et de financement
– Travailler en collaboration avec les fournisseurs
• Aller jusqu’au bout des projets (« start finishing ») et démontrer que la promesse initiale a été
atteinte
– Mesurer précisément le déploiement et prouver que les projets sont clôtures
• Trouver des nouveaux appuis et /ou de nouveau sponsors
– Travailler par exemple avec la direction des risques ou la direction de l’audit pour construire et
présenter le budget
32Actions : les attentes pour changer les choses
• Consolider et suivre le budget
– Choisir un modèle de suivi adapté à l’organisation (budget Cyber centralisé ou décentralisé ?)
– Outiller si besoin le suivi budgétaire (Excel, outil de BI)
– A terme, mettre en place un processus de mesure de l’efficacité puis d’automatisation /
d’industrialisation du suivi budgétaire
• Connaitre tous les leviers disponibles pour le RSSI pour défendre le budget
– Conformité
– Maitrise des risques
– Rationalisation
– Maturité
– …
33Bénéfices pour 2020 et suivantes
• Tenir ses engagements face aux « clients » internes et externes
– Être capable de tenir sa roadmap
– Répondre aux attentes du COMEX
– Répondre aux attentes des tiers comme les CAC ou les régulateurs
• Mesurer et démontrer l’efficacité des dépenses
– Evaluer l’apport sur la maitrise des risques
– Se positionner par rapport aux concurrents ou au secteur d’activité
• Valoriser ses travaux et faire de la Cybersécurité une valeur immatérielle de l’organisation
– Développer le « marketing » de la sécurité et en faire un argument concurrentiel
– Développer la confiance pour maitriser le risque systémique
34Les trois idées à faire partager
• 1 : La crise COVID a été un catalyseur et a permis de rebattre les cartes
• : Il est clé de se doter d’un modèle un budgétaire, adapté à l’organisation
(centralisé ou non, orienté prévention/détection/réaction, etc.) et calquer sur les
risques de l’entreprise
• : Il faut suivre l’allocation de ce budget, mais aussi et surtout l’efficacité des
dispositifs mis en place et la finalisation des chantiers lancés suite à l’obtention de
budget.
35Restitution atelier n°5
du congrès CESIN 2020
Souveraineté et dépendance
Le new deal ne nous incite-t-il pas à une cybersécurité plus souveraine? La crise
Covid n'a-t-elle pas aggravé notre dépendance aux GAFAM? Qui surveille les
gardiens du temple ?
Co-animation par François Xavier Vincent (RSSI Oodrive) – Hervé Liotaud (SailPoint) et Giuseppe Brizio (Qualys)
36Règles du Jeu
• S’exprimer librement par rapport à ses connaissances et ses expériences
• Il n’y a pas de mauvais commentaire et/ou de mauvaise opinion/question
• Être disciplinés afin d’assurer que tous les participants puissent s’exprimer
• Contribuer à créer une ambiance constructive et au plaisir d’être ensemble
• Donner nos contributions et les assembler au profit de la communauté du CESIN
• Tout le monde est engagé…
• Nous les animateurs on facilitera l’atelier et on préparera le compte-rendu
• Vous serez en “duo” pour faire une restitution devant les participants des autres ateliers
Allons-y… tout le monde est sur le pont !
37Philosophie proposée pour aborder notre sujet
Souveraineté et dépendance
➔ Au-delà des fantasmes et des postures
➔ Nous voulons éclairer, présenter des faits et des éléments d’interprétation objectifs
➔ Afin que chacun puisse faire ses choix de solutions en toute transparence,
conscience, et connaissance
➔ En fonction de son contexte et de son propre appétit au risque
38La méthode SCIPAB
• Situation : la compréhension de la problématique
• Complications : Identifier les problématiques qui impactent la situation
• Implications : que se passerait-il si on fait ou on ne fait pas
• Positions : Les participants se positionnent
• Actions : les attentes pour changer les choses
• Bénéfices pour 2021 et suivantes
• …
• Les trois idées à faire partager
39Souveraineté : de quoi s’agit-il ?
« Souveraineté = rester maîtres de notre destin. Ça n'est pas la fermeture aux
partenaires non européens. Mais la règlementation applicable doit être européenne »
Guillaume Poupard, Directeur général de l’ANSSI, Assises de la Sécurité 2020
40Les réponses au sondage
• Quel % de votre budget IT (hors Cloud) est-il dédié aux acteurs FR ou EU ?
– Moins de 15 %
– 15 à 30 %
– 30 à 60 %
– 60 à 100 %
• Quel % de votre budget Cloud est-il dédié aux acteurs FR ou EU ?
– Moins de 15 %
– 15 à 30 %
– 30 à 60 %
– 60 à 100 %
41Les réponses au sondage
• Parmi les critères pouvant rentrer en ligne de compte pour le choix d'une solution,
merci de prioriser les critères suivants (de 1 à 5, 1 étant le plus important)
– Fonctionnalités
– Total Cost of Ownership
– Pérennité du prestataire
– Nationalité du prestataire
– Positionnement magic quadrant ou équivalent
• Par rapport à un service non souverain, êtes-vous prêts à préférer un service
souverain « un peu moins bon et un peu plus cher », même temporairement ?
– Non
– Oui si surcoût < 20%
– Oui si surcoût < 30%
– Oui si surcoût < 40%
– Oui, quoi qu'il en coûte ☺
42Quel % de votre budget IT (hors Cloud) est-il dédié aux acteurs FR ou EU ?
40,00%
35,00%
30,00%
25,00%
20,00%
Responses
15,00%
10,00%
5,00%
0,00%
Moins de 15 % 15 à 30 % 30 à 60 % 60 à 100 %
43Quel % de votre budget Cloud est-il dédié aux acteurs FR ou EU ?
70,00%
60,00%
50,00%
40,00%
Responses
30,00%
20,00%
10,00%
0,00%
Moins de 15 % 15 à 30 % 30 à 60 % 60 à 100 %
44Parmi les critères pouvant rentrer en ligne de compte pour le choix d'une solution,
merci de prioriser les critères suivants (de 1 à 5, 1 étant le plus important)
4,5
4
3,5
3
2,5
Score
2
1,5
1
0,5
0
Fonctionnalités Total Cost of Ownership Pérennité du prestataire Nationalité du prestataire Positionnement magic
quadrant ou équivalent
45Par rapport à un service non souverain, êtes-vous prêts à préférer un service souverain
« un peu moins bon et un peu plus cher », même temporairement ? (pour citer G.
Poupart à l’Université d’été du CESIN)
50,00%
45,00%
40,00%
35,00%
30,00%
25,00%
Responses
20,00%
15,00%
10,00%
5,00%
0,00%
Non Oui si surcoût < 20% Oui si surcoût < 30% Oui si surcoût < 40% Oui, quoi qu'il en coûte J
46Un contexte riche et dynamique
• De nombreux événements et initiatives autour de souveraineté et dépendance
– Club des IT50
– Stratégie nationale pour le Cloud / Cloud de Confiance
– SecNumCloud
– RGPD
– Cyber Security Act / EUCS (cybersecurity certification scheme for cloud services)
– Gaia-X
– Invalidation du Privacy Shield
– Cloud Act
– FISA
– USA Patriot Act
– …
• Cf. back-up slides pour plus d’infos
47Situation : la compréhension de la problématique
• Synthèse de l’expression de la problématique à l’ouverture de l’atelier telle que
formulée par les participants
– Souveraineté pour être (seul) maître de son destin, mais ce n’est pas du protectionnisme
– Dépendance : à prendre en compte pour ne pas devenir captif et ne plus avoir le choix
– Une approche européenne est souhaitable, plutôt qu’une approche fragmentée par pays, qui
limiterait les chances de succès
– La réglementation européenne et son application cohérente assureront l’harmonisation
nécessaire
– Le marché IT est beaucoup plus consolidé (moins de souveraineté & plus de dépendance)
– Le marché cybersécurité est plus fragmenté, davantage de solutions disponibles et offrant de
réelles alternatives
48Complications : Identifier les problématiques
qui impactent la situation
• Ici sont listées les conséquences qui résulteraient selon que les complications sont
ou ne sont pas traitées.
– Réversibilité : pas toujours facile avec des durées de contrats entre 3 et 5 ans
– Manque de compréhension holistique des risques des décideurs (top management) qui conduit à
des choix qui enferment
– Dépendance aux solutions IT inévitable, d’où la nécessité de choisir consciemment de qui on veut
dépendre…
– La confiance n’est pas absolue (suite à l’étape contractuelle) mais devrait être maintenue par des
contrôles réguliers
– Constat général d’absence de Security by design / built-in
49Implications : que se passerait-il si on fait
ou on ne fait pas
• Les participants doivent identifier les problématiques critiques, les risques et les
opportunités qui jouent un rôle sur la situation telle qu’exposée.
– Effondrement potentiel si tout le monde utilise la même solution (risque systémique)
• "On a construit sur des sables mouvants des châteaux de cartes dont nos vies dépendent"
• « Il reste à inventer le béton armé numérique"
– Solange Ghernaouti
– Standardisation et normalisation au niveau européen deviennent impératives
• Pas seulement des certifications mais aussi des choix politiques (dont législation) à la hauteur des
enjeux
– Financement par l’Etat de start-ups (via BPI) qui finissent par s’expatrier hors Europe
– Risque accru de cyber-espionnage en l’absence d’alternatives souveraines
50Positions : Les participants se positionnent
• Ici sont listés les opinions des participants sur les changements nécessaires qui
doivent être réalisés.
– Promouvoir des COE (Centres Opérationnels d’Excellence) sur le modèle du Campus Cyber
• Toutes les parties prenantes sont représentées : Etat, privé, startups, ETI, utilisateurs finaux, écoles…
– Favoriser des fonds d’investissements souverains privés
– Faire évoluer le Code des Marchés Publics en rendant légale la préférence nationale ou
européenne
– Améliorer la compréhension de l’intelligence économique des décideurs en termes de risques
liés à la souveraineté et à la dépendance
51Actions : les attentes pour changer les choses
• Les animateurs doivent impliquer les participants sur les questions principales à
prendre en compte : utiliser des verbes d’action (faire, sensibiliser, interdire, etc.)
– Éducation cybersécurité des décideurs mais aussi « éducation populaire » pour infuser le grand
public dès le plus jeune âge
• En insistant particulièrement sur les risques / conséquences des choix impliquant des dépendances
– Centraliser et consolider les achats publics au niveau national, voire européen (pas de réelle DSI
de l’Etat !)
– Gestion des compétences internes en cybersécurité pour développer significativement la filière
• Upskilling, reloading, formation continue…
52Bénéfices pour 2020 et suivantes
• Décrire les positions / actions qui sont recommandées par le groupe. Décrire une
situation claire et quantifiable.
– Devenir véritablement maître de son destin
– Plus de concurrence = meilleurs services, plus de choix, au juste prix
– Plus de latitude dans le choix grâce à la réforme du Code des Marchés Publics
– Réduction de probabilité de risques systémiques
53Les trois idées à faire partager
• Lister les trois (ou plus) éléments forts à retenir de l’atelier et à faire partager aux
participants des autres ateliers.
– Opportunité de reprendre le contrôle : plus de souveraineté et moins de dépendance
• La fenêtre de tir se réduit
• Le temps de l’action c’est maintenant !
– Approche par les risques, avec les conséquences des choix, mettant en évidence menaces mais
aussi les impacts business
– Prévoir la réversibilité dès l’origine (y compris le coût) pour éviter la dépendance
54Atelier n°5
Souveraineté et dépendance
Backup slides
55Club des IT 50
• Le club des dirigeants qui s'engagent :
– A investir plus de 50 % de tout nouveau budget IT d'investissement ou de fonctionnement auprès
d'acteurs français ou européens
– A contribuer via un budget ETD - European Technology Development (à l'instar du budget RSE) à
la création d'écosystèmes et de réseaux d'entreprises innovants
– A retenir dans tout appel d'offre un minimum de 50 % d'acteurs européens
– A produire des communications de références européennes et permettre aux pépites
technologiques européennes de les communiquer
56Stratégie nationale pour le Cloud / Cloud de Confiance
• La stratégie nationale présentée le 17 mai 2021 oblige les administrations à passer au Cloud pour leurs
services numériques, avec un Cloud labellisé « Cloud de Confiance » (et c’est fortement recommandé pour
les entreprises privées, en premier lieu les OIV et OSE)
• Pour recevoir ce label « Cloud de Confiance », qui sera délivré par l'ANSSI, il faudra satisfaire aux 2
conditions :
– Avoir la qualification SecNumCloud
– Ne pas être soumis à des juridictions extra-européennes
• Un modèle de licences est prévu pour permettre de bénéficier des technologies américaines en les
hébergeant sur des Clouds français ou européens
– Si cela répond au critère de souveraineté, il faudra néanmoins que l'offre complète soit qualifiée SecNumCloud pour
prétendre au label Cloud de Confiance
57SecNumCloud
• Selon l’ANSSI, le référentiel SecNumCloud « permet au commanditaire de disposer de
garanties sur les compétences du prestataire et de son personnel, sur la qualité de sa
prestation et sur la confiance que le commanditaire peut accorder au prestataire » ;
• Le respect des exigences du référentiel SecNumCloud est un moyen efficace de garantir un
niveau de sécurité optimal, s’assurer que tout incident sera détecté en temps réel et qu’il
aura des conséquences très limitées pour les entreprises, s’assurer que les données sont
chiffrées et cloisonnées, etc ;
• Ce label reconnu par l’Etat est un gage de confiance qui permet aux fournisseurs Cloud de
prouver concrètement qu’ils adhèrent au plus haut niveau de sécurité du secteur et qu’ils
ont adopté les bonnes pratiques requises ;
• En outre, grâce à une coordination entre la CNIL et l’ANSSI, la qualification SecNumCloud
assure le respect des exigences de sécurité du RGPD.
58EUCS (cybersecurity certification scheme for cloud services)
• Adopté en juin 2019, le Cyber Security Act a donné pour objectif à l’ENISA (l’agence
européenne de cybersécurité) de définir un cadre européen de certification de
cybersécurité ;
• Le schéma européen de certification sécurité des services Cloud (EUCS) comportera 3
niveaux de confiance croissants : Basique, Substantiel, Elevé
– Le niveau elevé correspondra largement à SecNumCloud
59Gaia-X
• Association européenne (franco-allemande à l’origine) visant à développer des
référentiels et des labels pour un cadre de confiance qui garantissent réversibilité,
interopérabilité et portabilité des offres Cloud ;
• L’ambition de Gaia-X a été récemment clarifiée par des membres du chapitre
français :
– Il s’agit d’aller au-delà de l’interopérabilité des infrastructures, pour insister aussi sur la sécurité
et la souveraineté
– D’où le fait qu’être membre de Gaia-X ne devrait pas garantir une labellisation de son offre
(particulièrement pour les membres non européens)
60Invalidation du Privacy Shield
• À l’été , la cour de justice européenne a jugé que les droits des citoyens
européens ne sont pas protégés de manière adéquate aux US
– Outils de surveillance, et bien sûr CLOUD Act, Patriot Act…
61CLOUD Act
• “Clarifying Lawful Overseas Use of Data Act” ;
• Permet à la justice américaine de contraindre les fournisseurs de services établis sur
le territoire des États-Unis à fournir les données stockées sur leurs serveurs, même
situés dans des pays étrangers ;
• Ainsi c’est la nationalité du fournisseur (ou de sa maison mère) qui permet de les
obliger à fournir les données qui leur ont été confiées par leurs clients, sans que
ceux-ci n’en soient même informés ;
62FISA
• “Foreign Intelligence Surveillance Act”;
• Cette loi présente un risque majeur pour la souveraineté des données européennes car :
– S’applique spécifiquement aux fournisseurs de services Cloud
– Ne cible que les données situées en dehors des États-Unis et appartenant à des personnes non-
américaines
– Supprime certaines contraintes qui empêchaient jusque-là de réaliser une surveillance électronique
permanente et à grande échelle, et de récupérer tout type de données.
• Si le fournisseur de services Cloud se décidait à informer les autorités européennes sur la
mise en œuvre d’un tel dispositif, il serait passible d’outrage au tribunal fédéral relatif au
renseignement étranger ;
• De plus, cette loi, tout comme le Patriot Act, peut s’appliquer secrètement à toute société –
même européenne – à partir du moment où elle a une activité commerciale sur le sol
américain.
63USA Patriot Act
• “Uniting and Strengthening America by Providing Appropriate Tools Required to
Intercept and Obstruct Terrorism Act” ;
• Dans la pratique, cette loi autorise les services de sécurité américains à accéder aux
données informatiques détenues par les particuliers et les entreprises, sans
autorisation préalable et sans en informer les utilisateurs ;
• Toute entreprise américaine doit fournir les données demandées par
l’administration fédérale, même si celles-ci sont stockées en Europe.
64Restitution atelier n°6
du congrès CESIN 2020
Les plans de continuité post Covid-19
A l'heure de l'expansion du télétravail, les plans de continuité d'activité vont devoir
s'adapter avec ces nouveaux usages comme nouvelle norme. Plusieurs questions
structurantes se posent alors et notamment : Comment intégrer et adapter et faire
évoluer le volet cybersécurité dans les plans de continuité d'activité ? Comment
accompagner et contrôler la généralisation du travail à distance et au final de
l'entreprise étendue ? Comment appréhender le phénomène de "sur incidents"
Co-animation par Fabrice Bru (Dir Cyber Les Mousquetaires) - Eric Antibi (PaloAltoNetworks) et François Ehly (Almond)
65Atelier 6 - Des questions pour ouvrir sur deux moments
Vos plans de continuité ont-ils fonctionné en mars / avril 2020 ?
90% 10%
Avez-vous changé vos plans de continuité depuis mars 2020 ?
52% 48%
66Situation : la compréhension de la problématique
• Paradoxe sur la perception des chiffres paradoxaux de réponse aux questions :
– Oui, les plans ont été déclenchés et ont permis la continuité,
– Mais le chemin emprunté n’a pas été perçu comme fonctionnel par les acteurs (Nb > au ratio de
non des votants)
• De manière générale, les intervenants ont vécu en grande partie une situation de
crise, et non une situation incidentielle, la nécessaire scalabilité et les
problématiques de supply chain étant apparues comme insuffisamment couvertes
par les plans historiques.
• Les différences de maturité entre les organisations ont accentué les problématiques
classiques de préparation et d’appréhension des risques et de la continuité.
• Le cloud et les technologies permettant travaux distants et collaboratifs ont permis à
beaucoup d’obtenir des félicitations du COMEX.
67Complications : Identifier les problématiques
qui impactent la situation
• De nouveaux risques ont concomitamment été introduits ou maximisés
– Confidentialité & usage d’infos à domicile,
– Données non structurées disséminées dans des espaces non maitrisés,
– Dépendance à quelques acteurs,
– Accentuation des problématiques autour du poste de travail,
– De manière générale, il a fallu accepter une dégradation partielle de la sécurité,
fonctionnellement plus que techniquement.
• Des macro-risques étaient non adressés volontairement & historiquement
(« penser l’impensable »)
• Des contextes pays pour les organisations distribuées ont complexifié le traitement
et le maintien de la continuité, voire ont maintenu les structures en crise aigue au
gré des mouvements de la pandémie.
68Implications : que se passerait-il si on fait
ou on ne fait pas ?
• Ne pas se préoccuper de la continuité de l’activité en amont revient à faire la
négation de l’objet que l’on sert : il faut rester au service de l’activité, de la gestion
de la crise à la résilience techniques
• Disposer de seuls PCI/PRI, et non de PCA/PRA, rend la prise en charge d’évènements
impensés extrêmement complexe mais non impossible
• L’impréparation reste le facteur clé d’échec
• Ne pas traiter les nouveaux risques systémiques correctement est susceptible
d’emmener les organisations à des situations de continuité impossible (répétition de
cas types COVID avec scalabilité ou approvisionnements impossibles)
69Positions : Les participants se positionnent
Faut-il changer les plans de continuité, quels seront les plans de continuité après le
COVID ? Voire à 5 ans ?
– Non, il faut ajuster les plans de continuité, mais pas nécessairement la méthodologie.
– Les bonnes pratiques (alignement Risque / mesure / contrôle, BIA, ISO 22301, etc.) sont apparues
pertinentes, que ce soit en amont de la crise, ou dans les premières révisions / ajustements
70Actions : les attentes pour changer les choses
• Il faut réviser pour optimiser (profiter de la visibilité du sujet par les COMEX, tirer les leçons
du test COVID, refaire ses BIAs pour identifier les risques) ;
• Il faut ajuster marginalement les façons de penser pour maintenir le pragmatisme ;
• Il faut s’assurer de renforcer la sécurité autour de l’utilisateur et du poste de travail
(fondamentaux : aller au-delà de l'AV, sécuriser le endpoint, faire du CASB, du ZT, SOC SIEM
CERT…) ;
• Il faut investir dans le PCA en renforçant et testant les activités autour de la crise ;
• Il faut éduquer l'utilisateur car la sensibilisation reste, comme pour la sécurité, essentielle
pour mitiger le risque et former toutes les parties à la continuité d'activité ;
• Il faut investir sur les managers pour avoir des relais humains et un maillage fort autour de
la continuité ;
• Il faut dans l'autre sens appréhender le risque que représente la continuité pour l'utilisateur
(i.e. pression du numérique et souffrances humaines avec l’arrivée du numérique pro à
domicile).
71Bénéfices pour 2020 et les années suivantes
• Toutes les entreprises ont pu, avec plus ou moins de douleur, mettre en place et
maintenir leur activité grâce à des approches structurées comme empiriques
• La problématique est venue confirmer la validité des approches passées
• Les enseignements de la période COVID que nous traversons ont permis d’obtenir
sponsorship et levées des verrous sur des scénarios et des évènements inabordables
jusque-là.
72Les trois idées à faire partager
• Veiller à maintenir le sponsorship COMEX obtenu au passage du COVID
• Penser l’impensable, adresser les risques systémiques et les dépendances (i.e.
Clouds publics et imbrications), approche par Whatif pragmatiques
• Assurer une couverture holistique (écosystème, surincident) puis préparer, tester,
améliorer, itérer, déclencher
73Restitution atelier n°7
du congrès CESIN 2020
La crise a-t-elle eu et/ou aura-t-elle un impact
sur les exigences SSI réglementaires ?
Nouvelles exigences, niveau renforcé, calendrier… le télétravail, du moins la capacité au télétravail de
masse, va-t-il devenir une obligation, lorsque le métier s’y prête bien sûr ? Comment limiter l’impact
économique d’une telle autre crise grâce au télétravail ? Quelles responsabilités pour le télétravailleur,
l’employeur, les équipes SI/SSI ? Le scénario « pandémie » va-t-il devenir un incontournable des
exercices de crise ? Comment les missions sensibles des OSE/OIV peuvent-elles sortir des murs ?
Co-animation par Eric Singer (Schneider Electric) - Guillaume Jolicart (Digital Security) et Philippe Le Mestreallan (SentinelOne)
743 questions #1 75
3 questions #2 76
3 questions #3 77
Situation : la compréhension de la problématique
La Crise COVID-19 a entrainé :
• Des arrêts d’activité
• Des changements brusque d’habitude de travail (télétravail ou rotation)
• Une augmentation de la surface d’attaque (migration cloud, télétravail)
• Une explosion des attaques (ransomware, usurpation d’identité sur les outils collaboratifs…)
et a démontré la dépendance aux SI et leur vulnérabilité = prise de conscience
La crise COVID-19 influence-t-elle ou influencera-t-elle (accélérateur, prise en compte de nouvelles
thématiques) l'évolution des exigences SSI réglementaires (législateur, contrats fournisseurs,
salariés…) ?
78Complications : Identifier les problématiques
qui impactent la situation
• Complexification et monétisation des attaques qui changent la donne
– Affaires Solarwinds, Colonial Pipeline
• Les entreprises mettent en œuvre de nouvelles manières de travailler qui sont plus
digitales
– Accélération vers le Cloud (problématique USA, localisation des données)
– Mise en exergue de la chaine de dépendance entre acteurs qui fragilise l’écosystème
– PME/PMI pas mature
• Nouvelles réglementations qui risquent d’avoir un impact à court ou moyen terme
– SCHREMS2 : invalidation du Privacy Shield (août 2020)
– CMMC Cybersecurity Maturity Model Certification (à venir)
• Il faut penser PCA, plutôt que PRA
79Implications : que se passerait-il si on fait
ou on ne fait pas
Si on ne fait pas:
– Fragilisation du business
• Shadow IT, Déploiements Cloud/SaaS accélérés par les métiers, sans aval sécurité,
• Accroissement des vulnérabilités,
• Difficultés à mettre en place des nouveaux modèles de travail,
– Désorganisation, manque de cohésion/cohérence de la réponse aux attaques dans l’esprit de
coopération par secteur dans la lutte contre les cybermenaces
– Baisse du niveau de sécurité pour répondre aux urgences
• Ouverture d’accès au SI non-contrôlée
• Réglementations et politiques inadaptées : contournement, blocage
– Risque juridique, image, condamnations
Si on fait :
– La sécurité devient un élément stratégique indispensable et facilitateur du business
80Positions : Les participants se positionnent
La crise a-t-elle eu et/ou aura-t-elle un impact sur les exigences SSI réglementaires ?
Oui, la crise a eu et aura un impact sur les exigences SSI réglementaires
• « a eu » : au niveau des règlements internes et contrats,
– pression des prescripteurs (client, autorité, management)
• « aura » : NIS , DORA, CER, CMMC…
– La cyber oriente l’évolution de la réglementation
Renforcement du positionnement du CISO :
• Pré COVID : le RSSI est assimilé à la qualité,
• Pendant le COVID : le CISO devient un acteur incontournable, opérationnel et business
• Post COVID : il devient stratège rattaché au board
81Actions : les attentes pour changer les choses
• Réglementation
– Besoin d’une harmonisation des pratiques :
• Certification
• Exercices de crise coopératifs
– Seule la réglementation peut assoir ces initiatives
• Process
– Politiques – changement des chartes d’utilisation
– Règlements internes / clauses
– Nouveaux modèles business et opérationnels
82Actions : les attentes pour changer les choses
• Outils
– Solutions alternatives aux acteurs US
– Solutions verticales métier Cloud
– Nouveaux outils (Ubuntu, nouvelles approches SI)
– Nouvelles mesures de sécurité – EDR, VPN, Fwl ….
– Souveraineté de la donnée et non plus des data centers
Coopération et cercle de réflexion par secteur (lobbying CISO)
83Les trois idées à faire partager
• Conséquence de l’évolution réglementaire : Favoriser le partage des bonnes
pratiques, alertes, IOC/retex, TTP (Technique, Tactique, Procédure)
• Travailler sur des communautés d’intérêts verticaux par secteurs d’activité pour
influencer sur les réglementations
• Repositionnement du CISO en tant stratège et utiliser la réglementation comme
levier de business
84Vous pouvez aussi lire
