| Gouvernance, risques et conformité

PAROLE D’EXPERT : GRC, LPM, CyberScore ou encore NIS 2… Raphaël vous explique tout !

Interview de Raphaël Beltrame, consultant senior GRC

parole-experts_Raphaël

Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?

Avec plaisir ! Je suis consultant depuis bientôt 7 ans, et je fête tout juste ma première année chez Synetis. Issu d’un parcours initialement généraliste, j’ai, dans mes premières missions, eu des fonctions de PMO (Project Management Office) dans des systèmes d’information (SI) au sein du secteur de l’énergie.

J’étais principalement en charge du portefeuille budgétaire, d’assurer le suivi des plannings, des audits des commissaires aux comptes ou la coordination des équipes pour des applicatifs assez critiques – et avec des enjeux de sécurité assez structurants. Ce dernier volet m’avait beaucoup intéressé. Début 2019, j’ai eu l’opportunité d’intégrer le département sécurité dans un grand groupe bancaire – où j’étais en charge de la mise en conformité des règlements RGPD (Règlement Général sur la Protection des Données) et NYDFS sur la partie sécurité pour l’ensemble des infrastructures du groupe.

Cette mission m’a énormément passionné et lorsque Synetis, qui est leader indépendant des cabinets de conseil en cybersécurité, s’est présenté à moi je n’ai pas hésité. Depuis mon arrivée, je participe à l’ensemble de l’offre Gouvernance, Risques et Conformité (GRC) et intervient aussi bien pour des missions de diagnostic de conformité, que d’analyse de risques en passant par l’accompagnement de certains clients sur des sujets de Gouvernance SSI.

Comment décrirais-tu le contexte cyber actuel ?

Je dirais que celui-ci est extrêmement challengeant, car en constante évolution.
D’un point de vue propre à la GRC, beaucoup d’entreprises manquent d’expertise en cybersécurité alors que les enjeux actuels en termes de protection des SI vont bien au-delà du simple aspect informatique pur – que cela pouvait avoir il y a encore quelques années.

On le voit aussi bien avec les sujets de ransomware qui se multiplient, que des attaques de types DDOS, la continuité de l’activité et les enjeux économiques sont maintenant centraux. Les populations, ainsi que les entreprises de toute taille et de tout secteur, sont obligées de se saisir du sujet à travers l’identification des risques auxquels elles sont soumises, la mise en place d’une gouvernance afin d’assurer une continuité en cas d’attaque ou encore l’implémentation de solutions pour se prémunir face à ces dangers. L’importance des États, en légiférant à travers différentes réglementations, a également un rôle majeur en ce qu’il permet d’être un moteur et un accompagnant dans ce contexte complexe.

Besoin de conseils pour sécuriser votre entreprise ?

Quelle nouvelle réglementation ou loi nationale, internationale ou européenne relative à la protection des données des entreprises t’a surprise cette année ?

Il y en a plusieurs, notamment des modifications de loi permettant d’adapter la législation existante au goût du jour, mais si je ne devais en retenir qu’une, ce serait l’adoption de la loi CyberScore car celle-ci touche chacun d’entre nous.
Avec l’avènement du numérique, et surtout son importance vitale démontrée par les différents confinements, les usages de chaque utilisateur d’un SI peuvent avoir des conséquences.

Le CyberScore permettra d’informer le grand public du niveau de sécurité apporté par les sites et réseaux sociaux – un peu à la manière du « nutri-score ». Le texte a également pour objectif d’imposer aux opérateurs (géants du numérique, réseaux sociaux notamment) de communiquer sur la localisation des données ou de leur hébergement par un prestataire. Même s’il reste encore du travail notamment sur la liste des plateformes, réseaux sociaux et sites de visioconférence concernés cela va dans le bon sens. En effet, l’une des premières portes d’entrée en termes de fuite de données personnelles est le comportement utilisateur sur ces plateformes et le traitement dont elles font l’objet.

Dans le cadre de tes missions relatives à la loi de programmation militaire (LPM), comment accompagnes-tu ces entreprises dans la bonne mise en place des exigences de cybersécurité à respecter pour un opérateur d'importance vitale (OIV) ?

Nous intervenons, dans un premier temps, dans une phase amont afin de donner une visibilité à nos clients sur leur niveau de conformité par rapport au texte réglementaire. Nous établissons un diagnostic du SI par rapport aux différentes exigences de la loi et de ses 20 règles – qui vont des aspects de gouvernance SSI à des sujets comme la gestion des identifiants et des accès. En fonction de notre diagnostic et du contexte/environnement de l’entreprise, nous leur préconisons une série de recommandations à mettre en place en vue de leur homologation au titre de SI d’importance vitale (SIIV).

Dans un second temps, nous les accompagnons dans la mise en place de solutions permettant de répondre à ces exigences à travers différentes prestations comme la réalisation d’analyse de risques, la formalisation de politique de sécurité de systèmes d’informations, de procédures ou la mise en place d’une gouvernance SSI au sein de leur structure (RACI, organisation, sensibilisation, etc.).

L’offre Synetis, qui apporte un accompagnement à 360° de la cybersécurité, permet également de répondre à des exigences plus techniques encore – comme par exemple l’implémentation de puit de log réalisée par la practice Sécurité Opérationnelle (SecOp).

L’homologation LPM est souvent vitale pour l’activité de ces SI. C’est donc un enjeu majeur pour nous de les accompagner avec une offre globale.

Qu’est-ce que l’analyse de risques ? En quoi est-ce aujourd’hui un outil indispensable pour les entreprises ? Quels sont les bénéfices de ce processus ?

D’un point de vue très macro, une analyse de risques est un exercice visant à identifier les données et processus clés, évaluer leur sensibilité et criticité pour les activités de l’organisation et, sur la base d’une revue de l’ensemble des constituantes du SI, formaliser les chemins par lesquels une attaque peut y porter atteinte. La finalité de l’analyse de risque doit être de définir les mesures à appliquer afin de remédier à ces risques ou de les accepter en toute connaissance de cause. Chaque entreprise est différente et dispose d’un contexte qui lui est propre. Un grand groupe bancaire n’aura pas les mêmes problématiques qu’une société de BTP, par exemple, et pourtant les deux sont confrontés à des dangers cyber. Pour cela, l’approche de la méthodologie EBIOS Risk Manager (recommandée par l’ANSSI) est intéressante car elle permet, avec ses différentes étapes, de cadrer l’environnement, d’estimer le socle de sécurité, dans un premier temps, et de se servir de cette base pour évaluer les risques. A noter que l’analyse de risque permet d’évaluer les risques à travers des métriques afin d’avoir une vision claire et concrète des risques. Au regard du contexte actuel de forte menace, elle est un outil indispensable qui offre un état des lieux complet de son SI, d’identifier, de formaliser les dangers auxquels il peut être confronté et de prendre les bonnes décisions.

Pour toi, quel est le top 3 des conseils à donner à une entreprise pour le maintien de sa gouvernance et de sa conformité ?

Je dirais, avant tout, de bien connaître son SI. En effet, nous sommes parfois confrontés à des clients qui ne disposent pas d’une maturité suffisante en termes de sécurité informatique pour adapter leurs pratiques en fonction de leur contexte. Bien appréhender son environnement, et cela passe aussi par une analyse de risque, permet d’adopter une gouvernance en phase avec ses besoins.

Deuxièmement, pour maintenir une gouvernance efficace et un niveau de conformité adéquat, il convient de se tenir informé des évolutions – aussi bien au niveau réglementaire que sur les risques pesant sur le marché. On l’observe encore avec la faille récente sur log4j – qui a défrayé la chronique il y a quelques mois, des milliers d’entreprises se voient toujours pénalisées aujourd’hui encore, faute d’avoir pu anticiper et mettre en place les mesures nécessaires pour y faire face. D’un point de vue conformité, plusieurs solutions existent afin de pouvoir optimiser le suivi de sa conformité comme OneTrust – avec différents modules de gestion.

Et pour terminer, je dirais que la mise en place d’un référent ou d’une organisation SSI elle-même, au sein de l’entreprise, lui permettra d’assurer un certain maintien de sa gouvernance et de sa conformité cyber. Dans les grandes entreprises, c’est déjà le cas mais il est vrai que dans les plus petites structures et dans des secteurs ou il n’y a que très peu de velléité SSI, un RSSI à temps partiel ou un référent interne devant suivre ce sujet permettrait de répondre à ces problématiques

Dernière question, que penses-tu de la Directive « Network and Information Security » (NIS) 2 ?

Elle va dans le bon sens ! Comme évoqué précédemment, les gouvernements et autres organisations politiques sont prépondérants dans la mise en place d’une cybersécurité forte, et à toutes les échelles d’autant plus au regard du contexte européen actuel. NIS 1 était une première pierre à l’édifice d’une exigence et d’un cadre harmonisé de sécurité, avec une coopération renforcée entre États membres.

Dans la première directive, il était réservé à chaque État de définir lui-même ce qu’il considérait comme opérateurs de services essentiels. Dans cette nouvelle mouture, c’est la directive elle-même qui les détermine – en ajoutant aux secteurs de la finance, de l’énergie, de la santé et des réseaux télécoms (entre autres) ceux de la grande distribution, des fournisseurs d’accès à internet et de la gestion des déchets. Ce sont près de dix fois plus d’entreprises qui vont donc être concernées par cette nouvelle version. Les administrations publiques sont également intégrées dans le champ d’application, mais chaque État aura la latitude pour déterminer celles qui seront concernées.

Toutefois, il reste encore du travail car beaucoup de collectivités pourraient passer au travers de nombreuses exigences qui, pourtant, leur seraient in fine bénéfiques.