La Cybersécurité par les nombres - Episode 12 - Les 12 Fonctions clés
Plusieurs articles de cette série d’épisode ont mis en évidence quelques clés en termes de gouvernance des risques : le point d’ancrage du Responsable de la Sécurité des SI (Episode 1), les 3 niveaux des politiques (Episode 3-2), les 5 actifs à protéger (Episode 5-1) et les 5 types de menaces (Episode 5-2), les 6 acteurs clés (Episode 6-1) et les 6 niveaux de l’acculturation (Episode 6-2).
Systématiquement la question qui reste en suspens est « que faut-il faire ? » pour gérer les cyber-risques de manière cohérente et efficace en tenant compte systématiquement des 3 dimensions de développement autour de la donnée, du Cloud et de la transformation digitale (Episode 3-1).
La question sous-jacente est alors : « quelle est l’architecture humaine qui permet à l’ensemble de fonctionner ? »
Le RSSI est souvent mis en avant. Or, il est illusoire de penser qu’il est suffisant même dans les petites structures. Tel Hercule et ses 12 travaux, le RSSI cache en définitive 12 fonctions indispensables. Elles caractérisent des activités et un rôle plus qu’un véritable métier : le « quoi », plus que le « qui » ou le « comment » même si la frontière est parfois ténue et le cumul parfois nécessaire !
Les 12 fonctions clés sont sous le pilotage d’un trio incontournable qui dirige une véritable stratégie.
· Le DRO (Digital Risk Officer) : le Directeur des Cyber-Risques est une fonction émergeante au sein des organisations les plus matures et fortement digitalisées. Les dimensions stratégiques, financières et humaines sont prioritaires. La relation aux enjeux « métiers » et le reporting vers les dirigeants sont cruciaux.
· Le RSSI/CISO (Chief Information Security Officer) : cette fonction se transforme et peut désormais être renommé Cloud & Infrastructure Security Officer, en se concentrant sur les dimensions techniques et opérationnelles, au sein d’une Direction des Opérations et/ou du Numérique.
· Le DPO (Data Protection Officer) : le Responsable / Correspondant à la Protection des Données évolue et doit aussi sortir de son carcan juridique pour interagir étroitement avec les projets de transformation numérique et les acteurs de la cybersécurité. Son profil technique doit être complété ou soutenu par de l’expertise juridique.
Ces fonctions « dirigeantes » sont complétées par 3 fonctions « expertes » qui permettent une mise en œuvre cohérente des stratégies, politiques et projets : Architecture, Education, Contrôle.
· Architecture : la cybersécurité est par nature technique et l’architecture représente une fonction cruciale. Il faut l’aborder sous 3 angles : la maîtrise des actifs numériques à protéger (incluant les vulnérabilités sous-jacentes), des techniques d’attaque à contrer (menaces et modes opératoires) et enfin des technologies et solutions à intégrer. Une fonction insuffisamment reconnue…
· Education : c’est un lieu comment de dire que le facteur humain représente le 1er enjeu de la cybersécurité, à la fois sous l’angle des comportements individuels et des compétences requises pour les professionnels. La fonction éducative nécessite une double approche : « intégrée » dans les différentes activités et opérations et « spécialisée » tant l’univers de la cybersécurité est devenu complexe et nécessite une réelle professionnalisation.
Recommandé par LinkedIn
· Contrôle : toute mise en œuvre d’une politique doit être contrôlée et l’enjeu se renforce face au développement des législations et standards nationaux et internationaux, comme au poids croissant des agences de notation « cyber ». Ici, la question est de bien définir les deux premiers niveaux de contrôle : au plan opérationnel (intégré) et au plan régalien (indépendant). L’audit interne (niveau 3) et les organismes externes (niveau 4) jouent leur rôle de manière classique.
Le développement d’une stratégie voire d'une culture des risques numériques doit s’effectuer à de multiples niveaux qu’ils soient individuels ou collectifs, « intégrés » ou « spécialisés » et abordant systématiquement les dimensions organisationnelles, technologiques, juridiques économiques.
Ces 6 premières fonctions sont assistées, complétées ou renforcées par 3 fonctions d’analyse des risques, des menaces et des incidents.
· Risques : point de départ de toute démarche de gestion des risques, cette fonction trouve des champs d’application très variés tout en s’appuyant sur une norme de base (ISO27005) et la méthodologie du FAIR Institute - au niveau de l’organisation dans son ensemble, d’un projet, d’un métier, d’une technologie, d’un système ou d’un service, lors d’un incident, etc. Intégrée ou indépendante, spécialisée ou générale, toutes les options sont ouvertes mais la rigueur d’analyse et la clarté de communication doivent éclairer les décisions…
· Menaces : dans un univers numérique favorisant le cyber criminalité, la connaissance des menaces (acteurs individuels, organisés comme étatiques, réseaux, financements et modes opératoires) nécessite une spécialisation de plus en plus poussée (concept de Cyber Threat Intelligence). La consolidation et l’analyse de données ainsi que le partage d’information s’appuient désormais sur une forte automatisation. Car la gestion du temps reste la clé…
· Incidents : force est de constater que la gestion des incidents « cyber » nécessite des capacités d’analyse de plus en plus inaccessibles pour l’humain (volumes et complexité). Certes, l’Analyste jouera toujours son rôle mais plus pour « préparer » ses outils et ses processus qui lui faciliteront la tâche. Son analyse s’appuie désormais de plus en plus sur le modèle américain du NIST (MITRE Att&ck).
Et finalement, une cybersécurité réelle et effective nécessite plus que tout 3 fonctions opérationnelles : Administration, Evaluation, Investigation.
· Administration : toutes les solutions de sécurité doivent être administrées par des professionnels certifiés au sein des "Opérations Cyber" qui regroupent les 3 plateformes de gestion des « Identités et Accès », de la « Cryptographie » et des « Incidents » (détection/réaction) – cf. Article 10-3, ainsi que la sécurité des infrastructures cependant désormais largement externalisées et opérées dans le Cloud.
· Evaluation (test) : une fonction encore méconnue à ce stade si ce n’est sous l’angle des tests d’intrusion et des scans de vulnérabilités. Or, évaluer la sécurité s’opère de multiples manières, en amont (Critères communs ISO15408, « par conception) et en aval (threat hunting, bug bounty) de la mise en œuvre des solutions et technologies.
· Investigation : une fonction devenue majeure où la coopération « public-privé » est cruciale tout comme avec la sécurité physique, la lutte contre la fraude et l’audit interne au sein des organisations – cf. Article 10-3. Les outils d’enquête numérique se sont renforcés et couvrent un vaste champ de crimes et délits qui dépassent largement le cadre de la cybersécurité.