Cybersécurité : ce qu’il fallait retenir de la première journée du FIC 2019
Le 23 janvier 2019 |
En tant qu'acteur de la sécurité numérique, Mazars était présent pour cette première journée au Forum International de la Cybersécurité, plus connu sous le nom de FIC. Voici, en condensé, les informations à retenir de cette première journée du forum.
En tant qu'acteur de la sécurité numérique, Mazars était présent pour cette première journée au Forum International de la Cybersécurité, plus connu sous le nom de FIC. Voici, en condensé, les informations à retenir de cette première journée du forum.
4 interventions clés pour ce lancement
Une ouverture du FIC 2019 a été marquée par les interventions respectives :
- Du Vice-Président de la région Hauts-de-France en charge de l'enseignement supérieur et à la recherche ;
- Du Directeur Général de la gendarmerie nationale ;
- Du Secrétaire d'Etat auprès du ministre de l'intérieur ;
- Du Directeur Général ANSSI.
Les problématiques de la souveraineté numérique, de la résilience des citoyens français et des difficultés à trouver le bon équilibre entre sécurité et liberté ont été abordées par les intervenants. Ces derniers ont également salué les initiatives prises telles que la réflexion sur une certification européenne en matière de cybersécurité appelée « Cyber Act European ». Cette certification devrait attester d’un haut niveau de sécurité des services et des produits en matière de cybersécurité.
Ils ont également approuvé les lois et directives qui ont été adoptées ces derniers mois telles que :
- La loi ordinaire et la loi organique visant à lutter contre la manipulation de l'information et à endiguer la diffusion des fausses informations (les « fake news ») ;
- La directive NIS qui devrait aider tous les acteurs à renforcer leur sécurité informatique.
Cette première journée du FIC 2019 a été l’occasion pour les intervenants de présenter leurs dernières offres telles que la sécurité au sein des environnements industriels, la « Cyber Threat Intelligence », l'intelligence artificielle au service de la cybersécurité, le RGPD (Règlement Général sur la Protection des Données ou GDPR en anglais) et les notifications de violation des données personnelles.
Pour ce premier jour, nous avons porté notre attention sur les retours d’expériences liés aux travaux de mise en conformité RGPD. Puis, sur les Centres Opérationnels de Sécurité (SOC) en charge de la détection des cyber-attaques.
RGPD : quel bilan près d'un an après l'entrée en vigueur du règlement ?
Les différentes conférences et tables rondes ont mis en évidence que le RGPD porte ses fruits. En effet, plus de 40 000 organismes ont désigné un DPO (Data Protection Officer) et les citoyens ont réellement pris conscience de la valeur de leurs données. Effectivement, 11 000 plaintes ont été déposées de mai à décembre 2018 par les Français contre 8 000 en 2017.
En termes de notification de violation des données personnelles, il a été constaté que la majorité des déclarations auprès de la CNIL portent sur des erreurs humaines, comme l'envoi de données personnelles et sensibles aux mauvais destinataires. Pour les autres cas de notification de violation des données, il a également été constaté que les entreprises ne sont pas assez matures dans les étapes d'identification et d'investigation suite à un incident de sécurité.
Selon l’Association Française des Correspondants à la Protection des Données Personnelles (AFCDP), 2018 a été l'année « BUILD » pour les entreprises dans le sens où elles ont du recenser et cartographier leurs traitements, désigner un DPO et réaliser des audits.
Les premières difficultés rencontrées par les entreprises sont de différentes natures :
- Juridique, avec par exemple le choix du bon statut : Responsable de Traitement (RT), Sous-Traitant (ST), etc.
- Technique, avec l'absence de solution permettant de réaliser la purge ;
- Organisationnelle, où l'on se pose les questions suivantes : quelle gouvernance mettre en place et à qui attribuer le rôle de DPO ?
Puis, la question du niveau de maturité des entreprises face au RGPD a également été abordé. Les conclusions des audits réalisés sur 2018 montrent que :
- La plupart des grands comptes et des ETI ont débuté ou achevé la période de « BUILD » avec une prise de conscience qui avait débuté en 2016/2017 ;
- Peu de PME ont achevé ou même entrepris la période de « BUILD » ;
- Une grande disparité est constatée auprès des collectivités.
Enfin, nous retenons que la CNIL envisage de contrôler les DPO, notamment sur leur intégration au sein de l'organisation, sur les budgets et les ressources alloués pour la réalisation de leurs missions. L'audit des DPO a, par ailleurs, déjà débuté au Luxembourg auprès des grands comptes.
En parallèle du FIC, la CNIL a sanctionné Google, à hauteur de 50 millions d’euro, pour non-respect du RGPD. Cette première sanction prononcée en France va-t-elle relancer la course à la mise en conformité pour les entreprises, et cela quelle que soit la taille de la structure ? C’est ici la vraie question de cette première annonce du régulateur. Il faut d’ailleurs noter que la sanction porte sur une série de non-conformité – la CNIL a observé ces points par une navigation sur Internet et non pas un contrôle sur site.
Détection des attaques en temps réel au moyen d’un SOC
Face à l’apparition d’attaques toujours plus complexes et rapides, les entreprises doivent aujourd’hui se doter des équipements nécessaires à leur détection.
Un SOC permet la surveillance en temps réel mais aussi l’analyse a posteriori des événements ayant lieu sur le système d’information. Les intervenants soulignent qu’autant sur le plan technologique qu’humain, mettre en place un SOC nécessite une profonde transformation de l’organisation de la sécurité au sein de l’entreprise.
Ils recommandent notamment d’être vigilant sur les points suivants :
- Sensibilisation à la sécurité des acteurs IT et métiers au sein de l’entreprise: il est important d’intégrer les différents acteurs dès le début de ce type de projet ;
- Identification précise des systèmes critiques afin de prioriser les scénarios capables d’avoir un impact sur l’activité de l’entreprise. Le SOC sera alors en charge de détecter toute occurrence de ces scénarios.
- Définition des outils nécessaires aux analyses du SOC : en effet, l’arsenal suffisant pour couvrir a minima tous les scénarios de risques définis n’est pas nécessairement en place (antivirus, concentrateur de logs, Firewall, sonde, etc.). Il est complexe de mener une surveillance applicative du fait de leur trop grande spécificité rendant difficile de standardiser par exemple une analyse de leurs logs.
- Reconnaissance d’un périmètre contenant a minima les équipements critiques : un SOC peut assurer une couverture satisfaisante des risques sans pour autant surveiller tous les équipements présents sur le réseau.
- Analyse de l’activité même en dehors des horaires de travail : cela implique la présence d’analystes capables de remonter les alertes. Mais également d’opérationnels qui soient en mesure d’endiguer toutes attaques détectées en dehors des heures ouvrées.
- Limitation des risques liés au déploiement de nouvelles fonctionnalités du SOC : du fait de son coût, il est difficile pour une entreprise d’avoir un environnement de tests dédié. Il est donc nécessaire d’être prudent lors de la mise en place de changements impliquant des routines capables d’actions invasives.
Un SOC gère en moyenne plusieurs milliers d’alertes par jour. Afin de fluidifier les traitements (ex : lors d’une campagne de phishing), l’automatisation semble être la meilleure option. Toutefois, cela implique de développer des « play book » intégrés au SOC capables d’actions invasives sur le système d’information. Il convient donc de s’assurer que toutes actions automatisées soient réversibles en cas d’anomalie ou de faux positif.
A demain pour le bilan de la deuxième journée du FIC !
Auteurs