by-studio - Fotolia
Cybersécurité : une rentrée sous le signe de la remise à plat
N’en déplaise aux adeptes de discours marketing alambiqués, pour certains, l’heure apparaît plus au retour aux bases de la sécurité informatique. Voire à la réflexion en profondeur sur sa gouvernance.
Serait-ce le signe avant-coureur d’un avis de gros temps pour les équipementiers et les éditeurs ? De fait, plusieurs faisceaux d’indices convergents semblent indiquer une rentrée plutôt délicate pour certains, entre concurrence croissante de Microsoft, retour aux bases, voire refonte de la manière dont est abordée la sécurité dans les grandes entreprises.
Ainsi, Gartner n’est pas seul à voir dans Microsoft un leader de la sécurité du poste de travail – il y a deux ans, il n’était classé que comme challenger. Pour Gérôme Billois, chez Wavestone, c’est tout simplement « le coup de grâce qui signe la fin du marché des éditeurs antivirus “classiques” ». Car c’est bien simple, « il y a un mouvement fort », assure-t-il, observant « nombre de clients partent sur des scénarios Defender + un EDR hors éditeur [d’antivirus] classique ».
Le RSSI Loïs Samain « confirme », soulignant au passage l’impact du système de licences de Microsoft, encourageant les entreprises à déployer les différentes solutions de l’éditeur, conjointement. L’expert au pseudonyme Hash Miser ne cache en tout cas pas son enthousiasme pour Defender : « leur solution est vraiment impressionnante ». Mais ce n’est pas tout.
Il y a peut-être comme une lassitude à l’égard du discours marketing de fournisseurs qui cherchent toujours à (sur- ?) vendre une avance technologique revendiquée. Face à cela, certains renvoient à l’importance des bases de la sécurité, entre gestion des droits, des identités, cartographie, gestion des vulnérabilités, etc. Loïs Samain n’est pas tendre : « un des exemples qui me fait toujours halluciner, ce sont ceux qui se mettent au Bug Bounty sans avoir vraiment mis en place de réelles campagnes de tests d’intrusion ». Alors pour lui, c’est bien simple : « la base est remplacée par l’effet de mode ». Bertrand Carlier, de Wavestone, ne dit pas autre chose : « c’est pourtant exactement ça ! Get the basics first ! »
10 après Pailloux, le travail est effectivement toujours aussi gigantesque. La sensibilisation en moins peut-être. Quoi que. Le plus dur est d'expliquer de l'importance du tout. Une gestion des droits sans gestion des identités... Une carto sans gestion de la vuln...
—(@AHCybSec) September 5, 2019
David Hogue, directeur du centre de sécurité opérationnelle (SOC) de la NSA, rappelait encore, début 2018, à l’occasion de RSA Conference, l’importance de l’hygiène de base. Un message qui résonnait comme écho aux propos que tenait Patrick Pailloux, l’ancien directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), à l’occasion de l’édition 2011 des Assises de la Sécurité : là, il avait appelé à un « retour aux fondamentaux », aux bonnes pratiques, à une « hygiène élémentaire » de la sécurité informatique. Deux ans plus tard, la réalité du terrain pouvait lui donner des airs de prêcheur dans le désert. Mais de nombreuses voix continuent de lui donner raison, même a posteriori.
De sérieuses réflexions sur l’organisation
Et puis l’heure est peut-être moins aux questions de solutions technologiques que d’organisation. De quoi aussi venir ponctionner les budgets. Chez Wavestone, Matthieu Garin constate « depuis quelques mois, de plus en plus de demandes liées à l’organisation de la filière cybersécurité », en interne. Un phénomène « tel qu’on n’en avait pas vu depuis 7 ou 8 ans ». Parce qu’une très large majorité des clients du cabinet sont organisés suivant « des schémas classiques » où des RSSI entités sont rattachés à un RSSI groupe. Et dans de nombreux cas, la fonction RSSI est elle-même rattachée à la fonction DSI.
Las, conseil d’administration ou comité de direction veulent « de plus en plus disposer d’une vision claire de la stratégie et de sa mise en œuvre homogène à l’échelle du groupe », une chose « compliquée » avec de telles organisations très éclatées. Et c’est sans compter avec des facteurs externes comme les recommandations de l’autorité bancaire européenne sur la gestion des risques IT.
Pour beaucoup, le débat reste largement ouvert. Mais dans certains secteurs, notamment industriels, où la sûreté est essentielle, la tentation peut être de rapprocher la cybersécurité de la sûreté, justement, « pour profiter de sa maturité ». Mais si Matthieu Garin a une certitude, c’est que la gouvernance est appelée à être plus contrainte, « avec un renforcement des programmes et des mécanismes de contrôle de leur réalisation ». Et cela aussi en réponse à des besoins d’optimisation financière.
Quentin Bédéneau, consultant indépendant en cybersécurité pour Data Templar, relève de son côté que, si les processus de gouvernance du domaine ont été longtemps alignés sur ceux de l’IT, c’est de moins en moins le cas, notamment dans les grands groupes. Au point que la fonction RSSI apparaît de plus en plus organisée comme un centre de services interne. De quoi aider « à rompre avec l’image de la sécurité centre de coût », mais également venir concurrencer des ESN externes.
Mais s’il y a bien deux points sur lesquels les regards de Matthieu Garin et de Quentin Bédéneau se rejoignent, c’est sur l’objectif d’industrialisation – et avec elle, notamment, l’optimisation financière – et de visibilité complète, cohérente et précise, au plus haut niveau de la hiérarchie.
Jusqu’à la définition des crises
Jérôme SaizOpfor Intelligence
Le regard de Jérôme Saiz, du cabinet Opfor Intelligence, est plus centré sur la gestion des crises. Mais lui aussi pointe dans la direction d’une cybersécurité se détachant de l’IT : « j’observe une prise de conscience du fait qu’une crise cyber n’est pas une crise IT ; que les plans de continuité et de reprise de l’activité historiques n’y sont pas adaptés ». Selon lui, certains « s’en rendent compte dans la douleur », quand d’autres le réalisent en spectateurs de ce que subissent des pairs.
La principale différence tient au fait qu’un PRA traditionnel ne tient pas compte de la présence d’un assaillant : il s’agit de « remettre l’outil informatique debout le plus vite possible », quitte à effacer des traces ou à prendre des raccourcis susceptibles de conduire à une recompromission très rapide. Par exemple, « dans une crise cyber, il faut considérer que l’on n’a plus confiance en ses moyens de communication », avec tout cela peut avoir de vastes implications – or, « les plans de secours informatiques considèrent, implicitement ou explicitement, que les moyens de communication sont accessibles ».
Dès lors, explique Jérôme Saiz, « aujourd’hui, de nombreux clients me demandent de me pencher sur leurs PRA pour prendre en compte une composante malveillante ». Et cela peut aller plus loin : « comment gérer une crise IT sans passer à côté de la crise de cybersécurité qu’elle peut cacher ? »