{"id":58148,"date":"2021-06-28T12:23:00","date_gmt":"2021-06-28T12:23:00","guid":{"rendered":"https:\/\/www.agglotv.com\/?p=58148"},"modified":"2021-06-28T12:23:03","modified_gmt":"2021-06-28T12:23:03","slug":"faire-face-a-la-cybercriminalite-grace-a-la-conformite-et-larchitecture-de-securite","status":"publish","type":"post","link":"https:\/\/www.agglotv.com\/?p=58148","title":{"rendered":"Faire face \u00e0 la cybercriminalit\u00e9 gr\u00e2ce \u00e0 la conformit\u00e9 et l’architecture de s\u00e9curit\u00e9"},"content":{"rendered":"

\"\"<\/a>Avis d<\/em><\/strong>‘<\/em><\/strong>expert<\/em><\/strong>,<\/em><\/strong>\u00a0p<\/em><\/strong>ar\u00a0<\/em><\/strong>Cyril Amblard<\/em><\/strong>–<\/em><\/strong>Ladurantie, GRC Product Marketing Manager chez M<\/em><\/strong>EGA<\/em><\/strong>\u00a0<\/em><\/strong>International<\/em><\/strong><\/p>\n\n\n

Dans le contexte de digitalisat<\/strong>ion massive, e<\/strong>nco<\/strong>u<\/strong>rag\u00e9e <\/strong>ou <\/strong>provoqu\u00e9<\/strong>e par l<\/strong>es nom<\/strong>breuses externalit\u00e9s de ces derniers mois, notamment sanitaires, la conformit\u00e9 et la gestion des risques ne sont pas souvent l<\/strong>‘<\/strong>angle par lequel les entreprise<\/strong>s abordent leur s\u00e9curit\u00e9 informatique. C<\/strong>‘<\/strong>est pourt<\/strong>ant un point s<\/strong>a<\/strong>il<\/strong>l<\/strong>ant de l<\/strong>‘<\/strong>approche<\/strong> holist<\/strong>ique d<\/strong>e l<\/strong>‘<\/strong>univers des risques.<\/strong><\/p>\n\n\n\n

Des organisations cyber-assi\u00e9g\u00e9es<\/strong><\/p>\n\n\n\n

La s\u00e9curit\u00e9 informatique a d\u00e9finitivement franchi les fronti\u00e8res IT. Elle est aujourd’hui n\u00b01 dans le top 3 des pr\u00e9occupations des dirigeants d’entreprise. La situation mondiale affiche un taux effarant de cybercriminalit\u00e9 (+800 % aux USA selon le FBI*, x4 en France selon l’ANSSI**) conduisant certaines entreprises \u00e0 la faillite (notamment des PME) et repr\u00e9sentant 1 % du PIB mondial en 2020 selon McAfee.<\/p>\n\n\n\n

Exacerb\u00e9e par le t\u00e9l\u00e9travail, l’utilisation d’objets connect\u00e9s, le t\u00e9l\u00e9chargement non autoris\u00e9 \u00e0 partir d’appareils non ou mal s\u00e9curis\u00e9s, la cybercriminalit\u00e9 s’industrialise jusqu’\u00e0 adopter des m\u00e9thodes d’une grande sophistication. Les pirates informatiques comptent principalement sur le risque d’image et de r\u00e9putation pour s’enrichir. Business juteux, entre \u00ab big game hunting \u00bb, \u00ab RasS \u00bb (Ransomware as a service) et \u00ab double extorsion \u00bb, ils n’h\u00e9sitent d’ailleurs pas \u00e0 se retourner directement contre les clients des organismes infiltr\u00e9s pour exiger des ran\u00e7ons de moindre montant mais plus nombreuses en cas de refus de paiement de l’entreprise initiale.<\/p>\n\n\n\n

R<\/strong>\u00e9glementation foisonnante et <\/strong>d\u00e9faut de vigila<\/strong>nc<\/strong>e<\/strong><\/p>\n\n\n\n

Le montant d’une ran\u00e7on et le prix d’une r\u00e9putation ne sont malheureusement pas, pour l’entreprise, les seuls aspects du co\u00fbt d’une attaque informatique. Celui-ci int\u00e8gre en outre les pertes parfois gigantesques de productivit\u00e9 et les co\u00fbts de r\u00e9cup\u00e9ration des donn\u00e9es, ou de reconstruction du SI. Selon l’\u00e9tude r\u00e9alis\u00e9e en 2020 par Ponemon Institute et IBM En moyenne, les entreprises ont mis 207 jours pour identifier et 73 jours pour contenir une br\u00e8che en 2019, soit un \u00ab cycle de vie \u00bb moyen de 280 jours. Il y a aussi le montant de la p\u00e9nalit\u00e9 qui peut \u00eatre exig\u00e9e par les r\u00e9gulateurs si l’entreprise ne peut prouver avoir mis en place tous les moyens n\u00e9cessaires pour se prot\u00e9ger de cyberattaques.<\/p>\n\n\n\n

C’est un co\u00fbt que l’on estime en moyenne \u00e0 3,8 millions de dollars, amende comprise. Mais qui peut aller bien au-del\u00e0 : 57M de dollars pour Google, 20M de livres pour British Airways et 18,6M d’euros pour Telecom Italia, rien qu’au titre de la RGPD ! En bref, le manque de vigilance peut co\u00fbter d’autant plus cher qu’il est mis en exergue \u00e0 l’occasion d’une attaque informatique.<\/p>\n\n\n\n

C’est dire si aujourd’hui les CIO sont pris en \u00e9tau entre la mont\u00e9e de la cybercriminalit\u00e9 et la multiplication des r\u00e9glementations, de plus en plus complexes \u00e0 respecter, nationales comme internationales. Sans compter l’ensemble des standards industriels et les cadres r\u00e9glementaires sp\u00e9cifiques selon les secteurs d’activit\u00e9, les zones g\u00e9ographiques occup\u00e9es et la sensibilit\u00e9 – voire la criticit\u00e9 – des donn\u00e9es trait\u00e9es.<\/p>\n\n\n\n

Vers le Z<\/strong>e<\/strong>ro<\/strong> Trust<\/strong> :<\/strong> or<\/strong>ganisation <\/strong>optimi<\/strong>s\u00e9<\/strong>e <\/strong>et architect<\/strong>ure de s\u00e9c<\/strong>u<\/strong>rit\u00e9<\/strong><\/p>\n\n\n\n

Le vrai challenge aujourd’hui repose donc sur la ma\u00eetrise des r\u00e9glementations applicables. Or, il existe plusieurs milliers de r\u00e9gulateurs, qui n’utilisent g\u00e9n\u00e9ralement ni les m\u00eames syntaxes, ni les m\u00eames protocoles et n’abordent la s\u00e9curit\u00e9 que par leur prisme.<\/p>\n\n\n\n

Le manque d’organisation dans l’application des cadres r\u00e9glementaires exigibles, des tests et contr\u00f4les de leur respect, engendre un surcro\u00eet d’efforts qui se fait au d\u00e9triment de l’activit\u00e9 initiale des soci\u00e9t\u00e9s.<\/p>\n\n\n\n

La\u00a0conformit\u00e9 demande de disposer d’une vue\u00a0compl\u00e8te et\u00a0fiable des\u00a0actifs\u00a0de l’entreprise.\u00a0C’est \u00e0 partir d’une\u00a0cartographie<\/a> compl\u00e8te\u00a0que les \u00e9quipes pourront ensuite s’appuyer sur\u00a0des solutions d’agr\u00e9gations de donn\u00e9es de contenus r\u00e9glementaires. Ces solutions ont pour int\u00e9r\u00eat principal de mutualiser\u00a0les efforts de conformit\u00e9\u00a0pour plusieurs\u00a0normes simultan\u00e9ment et d’apporter la preuve de la r\u00e9alit\u00e9 de\u00a0cette\u00a0conformit\u00e9.<\/p>\n\n\n\n

Mais pour r\u00e9ussir pleinement et de fa\u00e7on continue ce travail de \u00ab compliance \u00bb, la mutualisation ne suffit pas. Il devient indispensable de penser son architecture informatique sous l’angle de la s\u00e9curit\u00e9 \u00ab by design \u00bb, avec pour objectif de r\u00e9duire le recours \u00ab patch management \u00bb.<\/p>\n\n\n\n

Le processus sous-entend de faire travailler ensemble des d\u00e9partements jusque-l\u00e0 cloisonn\u00e9s : responsables s\u00e9curit\u00e9, architectes d’entreprise, administrateurs, etc. C’est une symbiose qu’il faut rechercher pour aboutir \u00e0 une architecture capable de r\u00e9pondre aux besoins business avec une approche par les risques. La mise en place d’une architecture de s\u00e9curit\u00e9 est cruciale pour l’entreprise. Au-del\u00e0 des outils de s\u00e9curit\u00e9 classiques comme les pare-feux, les antivirus ou les logiciels VPN, l’architecture de s\u00e9curit\u00e9 recouvre le syst\u00e8me global n\u00e9cessaire \u00e0 la protection de l’infrastructure informatique et permet plus largement de d\u00e9finir la mani\u00e8re dont chaque parti-prenante doit ex\u00e9cuter les processus de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Le tiers<\/strong> : le vrai maillon faible<\/strong><\/p>\n\n\n\n

L’ensemble de cette d\u00e9marche de mutualisation est loin de ne concerner que les grandes entreprises. Au contraire, m\u00eame. La grande majorit\u00e9 des attaques informatiques a pour origine une faille chez un partenaire. Prestataires et sous-traitants, petites structures de consulting et fournisseurs sont les cibles privil\u00e9gi\u00e9es des cyber-assaillants. Le tiers fournit un acc\u00e8s in\u00e9puisable vers les grandes entreprises.<\/p>\n\n\n\n

Il n’est pas impossible, d’ailleurs, que demain la mise en concurrence soit conditionn\u00e9e par des attestations de respect de nouvelles normes de s\u00e9curit\u00e9. C’est d\u00e9j\u00e0 le cas avec la l\u00e9gislation europ\u00e9enne DORA, qui s’impose aux sous-traitants des \u00e9tablissements bancaires \u00e0 travers des audits, des questionnaires et un scoring de s\u00e9curit\u00e9 selon la criticit\u00e9 de leurs interventions.<\/p>\n\n\n\n

La s\u00e9curit\u00e9 informatique est v\u00e9ritablement devenue l’affaire de tous : de l’\u00e9quipe dirigeante au collaborateur le plus r\u00e9cent, quelle que soit la taille de la structure et quel que soit son secteur – public comme priv\u00e9. Surtout parce qu’on sait que les incidents d’origine cyber sont \u00e0 95% caus\u00e9s par des erreurs humaines. Il appartient autant au comit\u00e9 de direction qu’aux CIOs de montrer l’exemple. D’une part avec un sponsoring fort pour accompagner la mise en \u0153uvre d’une architecture de s\u00e9curit\u00e9 digne de ce nom. D’autre part, en assumant les enjeux de s\u00e9curit\u00e9 au quotidien dans leur travail, sans passe-droit, avec \u00e9thique et int\u00e9grit\u00e9.<\/p>\n\n\n\n

 A propos de l’<\/strong>auteur<\/strong><\/p>\n\n\n\n

Cyril Amblard-Ladurantie est responsable marketing des produits GRC (Gouvernance, Risque & Conformit\u00e9) chez MEGA International avec plus de 15 ans d’exp\u00e9rience dans le domaine. Avant de rejoindre MEGA, il \u00e9tait manager au sein d’un grand cabinet de conseil (EY), o\u00f9 il accompagnait les entreprises dans leur parcours d’acquisition de solution GRC digitale, depuis l’expression de besoins jusqu’\u00e0 la conduite de changement. Auparavant, il a occup\u00e9 des postes d’avant-vente et de support chez un grand \u00e9diteur international de solutions GRC et de contenu r\u00e9glementaire (Thomson Reuters).<\/p>\n\n\n\n

A propos de MEGA<\/strong><\/p>\n\n\n\n

Fond\u00e9 en 1991, MEGA est un \u00e9diteur fran\u00e7ais d’envergure mondiale reconnu leader international sur le march\u00e9 depuis 12 ans. Pr\u00e9sente sur les 5 continents, l’entreprise travaille en partenariat avec ses clients et les accompagne dans leurs projets de gouvernance et de transformation. MEGA les aide \u00e0 prendre les bonnes d\u00e9cisions pour optimiser leur mode de fonctionnement et acc\u00e9l\u00e9rer la cr\u00e9ation de valeur. <\/p>\n\n\n\n

La plateforme HOPEX connecte et centralise l’ensemble des informations li\u00e9es aux m\u00e9tiers, au syst\u00e8me d’information, aux donn\u00e9es et aux risques dans un r\u00e9f\u00e9rentiel commun tout en s’int\u00e9grant parfaitement dans l’\u00e9cosyst\u00e8me existant de l’entreprise. Les \u00e9quipes Services de MEGA accompagnent et guident les clients dans leurs projets en suivant une approche pragmatique qui garantit un retour sur investissement rapide. <\/p>\n\n\n\n

Particuli\u00e8rement active dans les organisations professionnelles et les organismes de standardisation, MEGA contribue au d\u00e9veloppement de standards internationaux tels que TOGAF et ArchiMate.<\/p>\n\n\n\n

Site web: www.mega.com\/fr<\/a><\/p>\n\n\n\n

*\u00a0Entrepreneur.com:\u00a0FBI Sees Cybercrime Reports Increase Fourfold During COVID-19 Outbreak\u00a0(20\/04\/20)<\/em><\/p>\n\n\n\n

**\u00a0ANSSI\u00a0:\u00a0Cybers\u00e9curit\u00e9,\u00a0faire face \u00e0 la\u00a0menace\u00a0(F\u00e9vrier\u00a02021)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Avis d‘expert,\u00a0par\u00a0Cyril Amblard–Ladurantie, GRC Product Marketing Manager chez MEGA\u00a0International Dans le contexte de digitalisation massive, encourag\u00e9e ou provoqu\u00e9e par les nombreuses externalit\u00e9s de ces derniers mois, notamment sanitaires, la conformit\u00e9 et la gestion des risques ne sont pas souvent l‘angle par lequel les entreprises abordent leur s\u00e9curit\u00e9 informatique. C‘est pourtant un point saillant de l‘approche holistique de l‘univers […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/58148"}],"collection":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=58148"}],"version-history":[{"count":1,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/58148\/revisions"}],"predecessor-version":[{"id":58149,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/58148\/revisions\/58149"}],"wp:attachment":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=58148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=58148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=58148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}