2018, l’année du célèbre RGPD
2018 sera l’année du RGPD (25 mai) et de la directive SRI (9 mai). Impossible de ne pas en avoir entendu parler. Bien que ces dates semblent lointaines, il est essentiel d’être prêt le plus rapidement possible.
Le RGPD obligera les organisations à évaluer leurs règles en matière de traitement, de sécurité, de confidentialité et d’accès aux données dans son ensemble ; sans oublier l’obligation de signaler les incidents de sécurité. Le temps passe et les entreprises réalisent souvent qu’elles n’ont aucun moyen de cartographier leurs données à caractère personnel – qu’elles soient structurées, non-structurées ou volumineuses – mais également de contrôler leur traitement dans une infrastructure complexe virtuelle, sur site ou dans le cloud. Les équipes de sécurité devront mettre en œuvre une approche stratégique pour intégrer les outils de sécurité dans le cycle de vie des données afin d’éviter une sanction et conserver un avantage concurrentiel en jouant la carte de la confiance.
Si les entreprises éprouvent des difficultés à attirer l’attention des décisionnaires, il suffit de rappeler les pénalités : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global, selon le montant le plus élevé.
Objectif : Sécurité du Cloud
Trois évolutions simultanées vers le Cloud, permettant aux entreprises de maîtriser le rythme de la transformation numérique, sont à constater. Il faut garder et appliquer aux problématiques de sécurité les objectifs premiers d’une évolution vers le Cloud, à savoir la maitrise des coûts opérationnels et l’efficacité.
La première évolution concerne l’adoption de services cloud. Alors que certaines entreprises vont uniquement vers du cloud computing (IaaS), d’autres ont adopté complètement l’utilisation de services de type Software as a Service (SaaS). Il est alors nécessaire d’appliquer certains principes de sécurité avec les fournisseurs de service cloud, qui de manière ultime, sont responsables de la protection des données de ces entreprises. Des solutions comme les Cloud Access Security Broker (CASB), mais aussi les audits de ces environnements cloud (audit de sécurité, qualification des fournisseurs, …) deviennent de plus en plus fréquents et nécessaires pour les organisations.
La seconde est relative à l’utilisation du Cloud par les métiers. Les entreprises doivent déterminer dès maintenant de quelle manière les environnements cloud, mais aussi les individus, peuvent les aider à atteindre leurs objectifs métiers. Ainsi, assurer la sécurité de l’espace de travail des équipes est primordiale et il devient essentiel de tirer parti des pratiques de travail intelligentes. Par exemple, l’IoT pousse le cloud à sa limite et le rapproche des processus et des dispositifs de notre environnement professionnel. Il faut donc accompagner cette évolution en apportant la sécurité nécessaire et en les maitrisant pour optimiser et gérer de manière proactive les individus et les machines.
Enfin, de nombreuses entreprises, dans le cadre de leur transformation numérique, adoptent le principe de DevOps dont il est là aussi nécessaire d’appliquer les principes de sécurité : on parlera DevSecOps. DevOps est une pratique de développement de plus en plus populaire qui permet aux entreprises d’accélérer la production d’applications et de services. Malheureusement, cela entraine parfois des failles de sécurité qui pourront avoir des impacts importants aussi bien au niveau financier qu’au niveau de sa réputation. Dans un monde de plus en plus mobile et ouvert sur le Cloud, il deviendra essentiel d’assurer la sécurité de ces développements. En prenant en compte la sécurité au début du cycle de vie de développement, les organisations économiseront du temps et de l’argent. De plus, même s’il n’est pas toujours évident pour de nombreux professionnels de la sécurité, l’expertise de tierces parties aidera à surmonter la résistance culturelle et à armer les organisations des bons processus et outils automatisés.
L’essor des OT et l’adaptation de la politique de sécurité du secteur industriel
Le nombre d’appareils connectés continuera d’augmenter, en particulier dans les foyers. D’un point de vue « entreprise », les technologies opérationnelles (OT) feront la différence pour les usines automatisées et les infrastructures critiques.
Il devient donc nécessaire de considérer ces équipements au même titre que les périphériques traditionnels et bien les sécuriser pour protéger les personnes mais aussi leurs utilisations dans les cyberattaques à grande échelle. Alors que ces technologies sont de plus en plus déployées et utilisées, la sécurité de ces dispositifs est encore très immature dans bon nombre d’environnements.
Il faut adopter une approche progressive qui adaptera la politique de sécurité pour prendre en compte le contexte des différents environnements industriels et opérationnels. Cela passera par un rapprochement avec les différents utilisateurs de ces systèmes au travers d’audit métiers mais aussi d’architecture garantissant une prise en compte sécurité pragmatique.
Une meilleure préparation à la réponse aux incidents
Les attaques à grande échelle de 2017 ont donné du fil à retordre aux entreprises, les questionnant notamment sur la meilleure façon de répondre à une cyberattaque.
Le rapport Risk:Value 2017 de NTT Security a montré que les entreprises s’attendent à mettre en moyenne 74 jours pour se remettre d’une brèche de sécurité. Des mesures proactives seront étudiées afin de mieux se préparer aux menaces persistantes avancées (APT) et de réduire au minimum les interruptions d’activité. Cela nécessitera un partenariat solide et flexible avec des experts en cybersécurité, qui pourront réagir rapidement à une attaque, le cas échéant.
Au-delà de la mise en place de solutions de manière proactive, il est nécessaire de se préparer à subir un incident de sécurité. Pour cela, il faut au préalable définir différents scénarios d’attaque par niveau de criticité ou encore les points de contrôles et les processus à enclencher en cas d’attaque. Toute cette phase de préparation sera un gain de temps précieux le jour où une attaque sera subie. Cette préparation permet aussi aux différents intervenants d’avoir une compréhension des environnements impactés en avance de phase.
En complément, il faut noter que la mise en conformité GDPR nécessite la mise en place de plans de réponse aux incidents et de mécanisme de détection.
Des périphériques partout mais encore peu sécurisés
Cette année il a fallu constater l’effet des attaques massives de type ransomware qui visaient les différents périphériques (poste de travail, serveurs, …). Au-delà des aspects de sensibilisation, nécessaires pour a minima limiter les infections et la propagation de ce type de malware, il faut prendre en compte la sécurité de ces terminaux au même titre que la sécurité réseau : mettre en place des solutions à même de bloquer des attaques sur une base comportementale. Cette approche doit être étendue aussi bien aux périphériques mobiles (smartphones et autres tablettes) qu’aux objets connectés. Ces derniers sont au cœur des discussions actuellement et on voit clairement les bénéfices métiers : collectes de données ou encore analyses avancées dans différents domaines. Mais comme cela a déjà été le cas par le passé, la sécurité est souvent considérée après coup.
Les entreprises vont commencer à tirer les avantages de ces collectes ou autres analyses afin d’apporter des réponses proactives. Cependant, il y aura des impacts en terme de sécurité dans la compréhension et la sécurisation d’importantes quantités de données impliquant une approche analytique différente.
La cybersécurité ne sera peut-être pas le premier réflexe dans l’analyse d’une sonde ou d’une ligne de production, mais il faut garder à l’esprit que s’il est possible pour nous de voir les données et modifier les contrôles, d’autres aussi peuvent le faire.