Jour 4 RSAC 2023 : Dernier jour d’un événement qui a réuni 40 000 participants

J’ai commencé cette dernière journée sur le sujet des vulnérabilités de la supply chain présenté par William Malik . Pour illustrer son propos, il a choisi l’exemple des ports de commerce qui subissent des attaques cyber, pouvant entrainer des catastrophes sur les navires. L’automatisation des ports se fait en général sans prendre en compte la sécurité, avec le déploiement de capteur qui ont par conception tous une backdoor (ou interface de recalibration). Pour adresser le sujet, il recommande d’utiliser le model « unified kill chain » dans une analyse des risques de la supply chain (risques physiques et logiques). En fin il a rappelé que les utilisateurs sont parfois perçus comme les maillons faibles, mais pour autant ils ne sont pas toujours au courant de ce qui est interdit par l’organisation, des mesures à suivre ni des personnes à contacter en cas de doutes ou de problèmes.

J’ai enchainé sur une présentation un peu polémique de @Brian Markham et Chris Castaldo sur le TPRM (Third Party Risk Management). Leur point de vue est assez disruptif : le futur du TPRM est la transparence. Cette transparence d’un fournisseur vis-à-vis de ses clients en termes de Cybersécurité est la condition pour établir la confiance et donc contractualiser. Ils remettent en cause la pratique des questionnaires à rallonge qui permettent d’avoir de l’information mais qui n’empêche pas l’occurrence d’incidents cyber chez le fournisseur. Il est indispensable pour eux de remettre en cause son programme TPRM surtout s’il ne permet pas de casser des deals. Le but est d’avoir une assurance raisonnable que la Cyber est correctement adressé par son fournisseur. Il s’agit d’identifier les risques mais pas de réaliser un audit cyber. Je ne suis pas d’accord avec leur analyse du marché mais ils admettent qu’il faut un outil pour le TPRM afin d’économiser de l’argent (des deux côtés). Chris Cataldo de Crossbeam va plus loin : Si un fournisseur montre sa transparence en fournissant un rapport SOC 2 Type2, un rapport d’audit cyber sur le service délivré et si son responsable cyber a les bonnes compétences et le bon niveau de reporting dans l’organisation, alors on peut considérer ce fournisseur comme ayant une maturité cyber suffisante sans lui poser des centaines de questions complémentaires. Cependant la transparence n’exclue pas la protection mutuelle juridique apportée par la signature d’un NDA.

La conférence RSAC 2023 s’est conclue par le show de Hugh Thompson, Ph.D. , président du comité d’organisation, sur le thème du Quantum Computing. Shohini Ghose nous a rassuré ( ?) que l’ordinateur Quantique va mettre une dizaine d’année pour être réellement utilisable, en autres pour casser les algorithmes de chiffrement qui sont la base de la sécurité numérique. 10 ans, cela peut paraitre loin mais si on considère qu’il va falloir agir sur tous les composants IT, il est urgent de s’y préparer d’après @Paul Kocher. Hugh Thomson étant un fan inconditionnel de « Retour vers le futur », il a invité @Christopher Lloyd (Alias le Doc). Son témoignage était touchant car il semblait un peu perdu sur l’immense scène à 85 ans passés.