FIC 2016 atelier Gestion de crise: RSSI Groupe SNCF, EDF, Airbus, Ministeres

Atelier FIC 2016: notes  rapides par Jean Philippe Bichard 

 

Atelier-A03-FIC-2016-SNCF-EDF-CYBERISQUES-NEWS-AIRBUS-MINISTERES

Salle comble pour l'atelier A03 sur la gestion de crise

lundi 25 janvier au FIC 2016 à Lille

 

INFOGRAPHIE-ARTICLES-ATELIER-FIC2016-GESTION-DE-CRISE-RSSI-GROUPE

 

 

Rappel thématique :

Plusieurs incidents récents, à l’image de l’attaque subie par TV5 Monde, ont joué un rôle moteur dans la prise de conscience de l’impact d’un incident de sécurité sur une entreprise, que ce soit en termes de production, financiers ou d'image. Si le déni n’est plus de mise, beaucoup restent cependant persuadés que la gestion d’un incident se fera simplement grâce aux outils de sécurité mis en place. Mais quels sont les impacts en matière opérationnelle ? Quelles particularités y a-t-il à prendre en compte au niveau de l’environnement de l’entreprise ?

 

 

Sujets abordés :

Partage de l'information :

Un point central de recueil de l'info est nécessaire. Les CERT et les SOCs ont leur utilité tout comme les réseaux entre RSSI et une approche sectorielle pour un échange plus « vertical » en amont des alertes officielles (ANSSI par exemple). Il faut travailler en capillarité avec de plus en plus une approche sectorielle.

 

RSSI / Outils « pirates » de certains « users » :

Parmi certains incidents à gérer certains peuvent provenir d'usage abusif d'outils non « homologués » (ex : dropbox). Le RSSI peut chercher a fournir des outils « sécurisés » en amont avec des solutions de « chiffrement » par exemple.

 

 

Crise et exercices de crise :

Définition d'une crise : quand tout ce qui a été prévu est dépassé. A l'évidence pour Nous RSSI, la partie Cyber est transversale mais traverse tous les métiers. En matière de risques Métier c'est donc le métier qui détient la décision. Le métier a le dernier mot en cas de crise. On peut parler de « risques métiers » car identifiés par les « métiers » ; A noter : éléments de langage pré-définis et cellule de communication interne en première ligne en cas de « crise ». Exercices de crise : il faut isoler , établir un état des lieux et informer la DG. Il faut aussi déléguer, entre dans la crise et savoir en sortir avec une réaction adaptée. Il faut aussi laisser les équipes travailler « calmement » tant en forensic qu'en rétablissement des services même en mode dégradé.

 

 

Management et gestion de crise :

Nous RSSi ne sommes pas toujours présents voire rarement au CODIR. En revanche, des Comités stratégiques peuvent faire « l'intermédiaire » entre Nous et le COMEX. Il serait souhaitable que le RSSI soit rattaché au COMEX directement. Cyberassurance et gestion de crise pour mandataires sociaux ? Est ce que la cyberassurance protège contre le « pénal » en europe ? En gestion de crise, il faut aussi mesurer l'influence par une veille sur les réseaux sociaux d'une part mais en amont sur le « darknet » pour potentiellement « anticiper ».

 

Gestion de crise et systèmes ICS / Scada :

C'est un point complexe car irrésolu : les environnements ICS / Scada demeurent tres exposés. Les MAJ sont impossibles car les risques existent : sureté de fonctionnement menacée d'une part avec risque d interruption de process et risque avec les patch de modifier des déroulements de process. Maintien des équipements en état car risque de ne plus être couvert par les garanties « constructeurs »

Qui gère les Si ICS / Scada ? Automaticiens / informaticiens culture différentes, RSSi indus nécessaire ? Des opérations de patching remettent elles en cause la garantie d'un automate ? Vulnérabilités et Scada embarqués ?

 

 

Iot (objets connectés pas forcément intelligents) mais a coup sur causeurs de trouble « cyber »

Certains sont de véritables BotNet. Qui les gère ? Comment ? Sur quelles bases ? Un homme politique de premier plan aux Etats Unis aurait demandé a ce que l'on « ouvre » en chirurgie à nouveau pour changer son pacemaker émetteur de signaux de traçabilité. Drones et Scada : ioT BtoB connectés aux SI ICS / SCADA ?

 

 

Réglementation et Juridique

Dans le secteur de la Santé il existe une obligation de déclaration des incidents de sécurité survenus sur n'importe quel SI et pas seulement des notifications suite a des atteintes sur données médicales/persos. Est ce que toute MAJ apportée à un appareil médical remet en cause sa garantie ?

@jpbichard                            

@cyberisques

ETUDES Cyberisques: Les grandes tendances Data & Analytics 2016

ETUDES Cyberisques 

 

En 2016, les entreprises françaises accélèrent et renforcent leurs initiatives Data

Les grandes tendances Data & Analytics 2016

 

 

En 2015, la vague porteuse de la Data (Big, Smart, Small..) semble avoir éveillé les consciences des organisations autour de l’importance d’un patrimoine souvent ignoré, mal maîtrisé ou délaissé. Elles ont investi dans diverses initiatives Data principalement afin d’améliorer l’efficacité opérationnelle ou encore la prise de décision. Soutenus par une transformation digitale active des entreprises, les investissements en matière de Data vont sans doute s’intensifier en 2016. Les tendances 2016 de Deloitte dans la Data et l’Analyticssemblent confirmer des changements significatifs tant sur le volet organisationnel que sur les pratiques.

  • 60% des entreprises interrogées estiment avoir une bonne compréhension des apports du Big Data pour leurs organisations
  • Elles sont 43% à considérer qu’une telle pratique devrait être menée par une entité dédiée placée sous la responsabilité de la Direction Générale
  • Plus de 70% des entreprises indiquent avoir déjà lancé des initiatives de Big Data
  • 79% des entreprises considèrent qu’il est urgent de renforcer le rôle du Data Scientist et 71% celui du Chief Data Officer
  • 70% des organisations mettent en avant l’importance de consolider les capacités d’analyse issues des réseaux sociaux

indique Reda Gomery, Associé responsable Data et Analytics chez Deloitte.

 

Les 5 grandes tendances dans la Data et l’Analytics identifiées par Deloitte

 

      1. Chief Data Officer et Data Scientist : de nouveaux rôles clés à explorer


Les organisations prennent conscience de la nécessité de changer leurs approches de gestion et d’exploration des données. Cette évolution favorise l’émergence de nouveaux rôles clés au sein des entreprises : le Chief Data Officer (CDO) qui pilote la stratégie Data et le Data Scientist qui créé de l’Intelligence à partir de la Data. Encore inexistants il y a quelques années, ces rôles sont de plus en plus plébiscités aujourd’hui. En effet selon l’enquête Deloitte, 79% des entreprises considèrent qu’il est urgent de renforcer le rôle du Data Scientist et 71% celui du Chief Data Officer même si leurs activités associées ne sont pas complètement clarifiées ou normées. Cette tendance, qui peut être contrainte par une pénurie de profils, devrait durablement s’installer dans les entreprises afin de professionnaliser les pratiques de gestion et d’exploration des données.

 

     2. Données externes : le nouvel eldorado

 

Les organisations expriment un vif intérêt pour l’usage de données externes issues du Web, des réseaux sociaux, de partenaires…Ainsi, près de 50% d’entre elles estiment qu’il devient prioritaire d’acquérir de plus en plus de données externes et de favoriser leurs croisements avec des données internes (64%). En à peine une décennie, le nombre d’utilisateurs d’Internet et des réseaux sociaux a connu une croissance fulgurante. Une véritable aubaine pour des entreprises soucieuses de mieux appréhender les attentes de leurs consommateurs, d’anticiper les tendances ou d’évaluer les impacts de leurs stratégies promotionnelles. Cette évolution illustre donc l’extension du spectre d’utilisation des données et d’une vision désormais plus globale au sein des entreprises.

 

     3. Objets connectés, les futurs gisements de données

 

La progression spectaculaire du nombre d’objets connectés engendre la prolifération d’une manne considérable de données issues de véhicules, d’équipements industriels, de dispositifs médicaux... laissant entrevoir de réels leviers de performance et des capacités d’optimisation inédites des processus métiers. En effet, les données issues de la connectivité entraînent un accroissement de la connaissance des clients permettant le développement de nouveaux services, la mise en place de programmes de fidélisation, ou le recrutement de nouveaux partenaires. A la connaissance des clients s’ajoute l’optimisation de la gestion des produits et des équipements. Les entreprises peuvent, par exemple, anticiper les risques et planifier les opérations de maintenance en fonction des prévisions de dysfonctionnement des équipements connectés.

 

     4. L’analytique : entre diversification et évolution des usages

 

La Data Analytics permet aux entreprises de renforcer les facultés d’analyse issues des canaux digitaux (70%), de faciliter le partage de ces éléments pour tous au sein des différents départements (66%), et de mettre en place des prévisions statistiques avancées (63%). Un temps réservé aux experts, les usages analytiques se démocratisent donc et s’étendent désormais à l’ensemble des fonctions de l’entreprise (Marketing, Finance, RH, Achat…). La simplification de l’accès à l’analytique, la conception de nouveaux modèles d’analyse (prévisions, corrélations…) ou encore l’émergence des approches cognitives et de techniques basées sur l’apprentissage automatique (machine learning) marquent une évolution progressive des usages.

 

     5. Protection et usage éthique des données : un enjeu de taille

 

Avec l’augmentation des quantités de data et la démultiplication des échanges, les entreprises sont de plus en plus mobilisées sur les thèmes de la protection et de l’usage éthique des données. Sujet devenu majeur, la protection des données repose sur une appréciation du patrimoine existant ainsi qu’une évaluation objective des risques. La démarche soulève de nombreuses questions au sein des entreprises : quelles données ? quelles sensibilités ? quelle maille de classification ? quels usages et quelles limites ?...  Les dimensions d’analyse sont multiples (technique, organisationnelle, juridique, métier) et se fondent sur une approche structurée et collaborative.

 

« Si la protection des systèmes est en place depuis plusieurs années, les réflexions sur la protection des données émergent progressivement. Des solutions se déploient autour de divers moyens techniques (chiffrement, anonymisation, coffre-fort…) et allant jusqu’à des réflexions autour de la mise en place d’assurances. La volonté reste la même au sein des entreprises : instaurer et préserver un climat de confiance auprès des consommateurs ou des collaborateurs internes. » estime Reda Gomery, Associé responsable Data et Analytics chez Deloitte.

 

Rencontres Cyberisques : Arnaud Kopp Directeur Technique Europe du Sud, Palo Alto Networks

 

 

Rencontres Cyberisques : Arnaud Kopp Directeur Technique Europe du Sud, Palo Alto Networks

 

Arenaud-Kopp

par Jean Philippe Bichard

 

 

 

Une rencontre avec Arnaud Kopp ex-Cisco (et quelques autres références), c'est toujours un moment agréable ou culture IT et impertinence se mêlent joyeusement. Dans un restaurant discret de la porte Maillot à Paris, Arnaud se confie. Il est accompagné d'Anthony, son « coach » en Comm. Cet ancien journaliste s'est reconverti dans le « PR business ». Bonne pioche pour ce véritable « Pro de la Comm » qui de surcroit connaît les meilleures recettes d'Europe.

 

 

 

 

Cyberisques NEWS : Palo Alto Networks publie aujourd'hui une étude (1) sur le comportements non pas des IT Managers mais des « users ». Un approche originale. Comment se justifie t-elle ?

 

 

Arnaud Kopp : L'étude porte sur les entreprises de plus de 1000 collaborateurs en Europe (2) et interroge tous les utilisateurs en effet. Elle montre une grande différence de perception voire de sensibilité aux cyber-risques en fonction des pays. On voit que les deux tiers des employés n’ont pas encore conscience que chacun a un rôle à jouer dans la prévention des cyberattaques.

 

 

Est ce que tu penses que cà signifie que les politiques de sécurité sont parfois mises en échec par les users eux mêmes, plus que par des auteurs extérieurs d'actes malveillants ?

 

 

C'est une analyse intéressante effectivement. Il faut comprendre qu'on se situe au plan psychologique en tentant de comprendre les comportements des users et les points de friction qui existent. Au delà des différences culturelles par pays – les anglo saxons plus disciplinés peut être remettent moins en cause les règles – nous avons les différents profils qui interviennent. Ainsi, les périodes d'été sont plus « dangereuses » pour les entreprises interrogées.

 

 

 

Pourquoi ?

 

 

C'est personnel comme point de vue, mais les stagiaires jeunes et décomplexés plus présents dans les entreprises durant ces périodes sont peut êtres tentés d'utiliser leurs propres outils pour contourner certains « obstacles » mis en place par la DSI et les IT Managers pour protéger leurs données. Dans ce domaine, l’éducation des responsables est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair. 

 

 

Tu fais intervenir le « Shadow IT » comme facteur de risques ?

 

Ce n'est pas négligeable même si les intentions des auteurs ne sont pas perverses. Ces comportements d'utilisateurs demeurent marginaux et surtout n'ont pas comme finalité de nuire aux entreprises mais paradoxalement d'augmenter la productivité des auteurs ! En outre, les actions des employés n’ont pas forcément des répercussions visibles immédiatement, dans la mesure où les attaques se produisent souvent dans un deuxième temps. Du coup, les entreprises peuvent rencontrer quelques difficultés pour identifier l’origine de ces « cyber-menaces ».

 

 

 

L'étude montre que l'on peut atteindre une estimation proche de 25% d'utilisateurs qui avouent avoir déjà contourné les règles de sécurité. Çà signifie qu'au delà de la sensibilisation aux régles il faut faire comprendre que ces contraintes sont justifiées quelque soit le profil de l'utilisateur et son niveau de responsabilité ?

 

 

Oui et c'est toute la question de savoir si l'on fait un règlement en cybersécurité pour Tous ou pour certains en mettant de coté les « comptes a privilèges » par exemple. Il est évident que les entreprises doivent agir en 2016 sur le terrain de l’éducation en matière de cybersécurité. Nous recommandons 3 lignes directrices à la fin de l'étude (Lire l'encadré ci-dessous). Ces conclusions suggèrent que les employés hauts placés sont trop confiants et sont enclins à prendre des risques en partant du principe que “cela n’arrive qu’aux autres”.

 

 

 

Pour 2016, tu sens que les lignes des évolutions des règlements internes en cybersécurité peuvent encore bouger ?

 

 

Oui absolument. L’évolution des réglementations va faire la lumière sur ce qui se passe vraiment en Europe dans les prochaines années, et mettra ainsi un frein à ce type de comportement. Cela laisse également entendre que la cybersécurité est encore considérée par beaucoup comme une mesure prise pour l’entreprise, et non comme une ligne directrice qui doit être respectée par tous. 

 

 

@jpbichard

 

 

Les recommandations :

 

 

35,53 milliards de dollars... C’est le budget global que les entreprises européennes prévoient de consacrer à la cyber-sécurité d’ici à 2019.

 

  1. Mettre sur pied une stratégie en matière de cybersécurité axée sur la prévention des cyberattaques à chaque étape de leur cycle de vie.

  2. Exploiter des technologies de sécurité nouvelle génération qui permettent aux employés d’accéder aux outils dont ils ont besoin sans compromettre la sécurité de l’entreprise.

  3. Sensibiliser l’ensemble du personnel aux rôles clés qu’ils jouent dans la prévention des cyberattaques visant leur entreprise.

 

 

 

 

 

(1) Etude Palo Alto Networks 2015 / les chiffres a retenir :

 

Trouver l’équilibre entre sécurité et fonctionnalité

Si, dans un cas sur quatre, les auteurs de ces actions ont affirmé ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne, la quasi-totalité des répondants (96 %) a néanmoins jugé que la cybersécurité devrait être une priorité pour leur entreprise.

Le principal motif invoqué par les employés pour expliquer le non-respect des politiques d’entreprise est la nécessité de recourir à un outil ou à un service plus efficace que celui utilisé par l’entreprise, ou le fait que ces outils étaient considérés comme les meilleurs sur le marché. Cette tendance est confirmée par les 17 % de répondants indiquant que la politique de sécurité de l’entreprise est frustrante et les empêche d’accéder à des outils et à des sites qui contribueraient à accroître leurs performances professionnelles. L’éducation des employés est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair.

Non-respect des règles de sécurité par les cadres supérieurs

Les résultats de l’enquête indiquent que tout employé, quel que soit son service ou son degré d’ancienneté, est susceptible d’entreprendre des actions contestables ou de se forger une opinion erronée. Dans un cas sur dix, les répondants ont déclaré avoir été témoins du non-respect des lignes directrices de l’entreprise par un cadre ; et à cette question, un cadre supérieur sur quatre a effectivement reconnu avoir exposé son entreprise à une menace potentielle en connaissance de cause.

Responsabilité

D’après cette étude, un dirigeant sur cinq (18 %) ne considère pas avoir un rôle personnel à jouer dans les efforts de son entreprise en matière de cybersécurité ; et en cas d’attaque perpétrée avec succès, seul un sur cinq (21 %) pense que l’employé à l’origine de la faille devrait être tenu pour responsable, la majorité des répondants (40 %) estimant que la responsabilité devrait être rejetée sur le service informatique.

Autres conclusions de l’étude

  • C’est au Royaume-Uni qu’on observe la plus forte proportion de répondants (35 %) déclarant ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne. À l’inverse, la France enregistre le plus faible pourcentage (17 %).

  • L’Allemagne compte le plus grand nombre de répondants (38 %) déclarant avoir exposé leur entreprise à un risque potentiel en matière de cybersécurité, le pourcentage le plus faible (12 %) revenant à la Belgique.

  • Aux Pays-Bas, 28 % des répondants déclarent se sentir frustrés par la politique de cybersécurité de leur entreprise – soit un taux bien supérieur à la moyenne établie à 17 %.

  • Les employés travaillant dans la finance, le secteur des assurances ou les services professionnels sont les plus susceptibles d’enfreindre la politique de cybersécurité de leur entreprise, avec un taux de 21 % enregistré dans l’ensemble des pays.

  • Les répondants du Royaume-Uni sont les moins enclins à considérer qu’ils ont un rôle personnel à jouer dans la protection de leur entreprise contre les risques en matière de cybersécurité.

(2) - Méthodologie de recherche

Cette enquête a été menée en ligne par Redshift Research, au mois d’octobre 2015, auprès de 765 décisionnaires travaillant dans des entreprises comptant plus de 1 000 employés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

www.paloaltonetworks.com.

 

Rencontres Cyberisques NEWS: Loïc Guezo, Stratégiste, Trend Micro France

 

Rencontres Cyberisques NEWS : Loïc Guezo, Stratégiste, Trend Micro

 

L-Guezo-Dec-2015

 

Par Jean Philippe Bichard 

 

  

Une rencontre avec Loïc, c'est toujours l'opportunité d'aborder de nombreux sujets tant sous des angles éco, techno, stratégiques...qu'humoristiques. Pour ce Breton, convalescent d'IBM où il est resté plus de douze ans, rien ne paraît tabou mais tout reste filtré. Désormais chez Trend Micro où il supervise le développement de l'Europe du Sud en tant que Stratégiste depuis 2015, tout semble possible si l'on choisit le bon cadre d'action. Un cadre parfois difficile à borner car Loïc n'est pas seulement un manager. Ce membre de l'ARCSI (Réservistes du Chiffre, www.arcsi.fr) occupe de nombreux autres fonctions stratégiques en cybersécurité sur des secteurs « naturellement » sensibles : Interpol, Nucléaire… Il appartient au board d' associations majeures en France (comme le CLUSIF), est membre invité de leurs frères européens (ISMS Forum en Espagne, Clusit en Italie) et côtoie les experts des CERTs internationaux. A l'aise en Afrique (il revient de la dernière Assemblée Générale d'Interpol à Kigali, mais l'a déjà arpentée de 1993 à 1999 où il était agent de l'AFD) comme à un sommet sur le nucléaire en Autriche (en juin dernier, il participait, à la tête d'une task-force créée à son initiative par Eva Chen, CEO de Trend Micro, à la 1ère conférence mondiale sur la cybersécurité en environnement nucléaire, à l'AIEA de Vienne). Il anime un réseau très dense de contacts précieux et fidèles, au 4 coins du monde. Rencontre pour un petit déjeuner de fin d'année dans un lieu connu à Paris... avec plusieurs entrées et sorties, sur des adresse différentes. On ne sait jamais.

 

 

Cyberisques NEWS: Salut Loïc. Toujours chez Trend ? 

Loïc Guezo: Oui, depuis presque 3 ans maintenant. Je m'y sens bien et la stratégie est claire.

 

 

Mieux que chez IBM ?

Nous n'allons pas jouer au jeu des comparaisons, mais en cybersécurité, sur un marché tres dynamique, il faut des offres, des solutions via des alliances et ... des clients. Trend Micro est au centre de ce tourbillon énergétique.

 

 

Précisément, Trend a déjà signé des alliances avec des géants du IT tels que Microsoft , Amazon, IBM aussi mais çà donne combien de nouveaux clients pour Trend fin 2015 ? 

Ecoute, ces alliances globales sont reconduites et pour trois d'entre elles amplifiées en 2016. Microsoft par exemple intégre désormais les solutions Trend dans l'Azure Center et certaines solutions de Trend Micro s'interfacent au cœur de certaines technologies Cloud de Microsoft. La même chose pour VMWare et l'offre de Cloud public AWS. Quand ces géants avancent, ils demandent à Trend Micro de les accompagner pour sécuriser leurs clients…

 

 

Tu veux parler de votre offre Deep Security ? 

Oui précisément. Les offres securité de Trend Micro en environnement classique, virtuel ou Cloud Computing comme Deep Security intéressent bon nombre de partenaires pour sécuriser efficacement leurs offres (en Cloud public,  privé ou hybride). 

 

 

Si l'on évoque la sécurité des environnements virtuels, vous avez signé aussi chez Trend Micro avec l'incontournable VM/Ware. Ca donne quoi aux clients end-user ce type d'accord ? 

Une garantie de partenariat technologique entre Editeurs de premier plan, donc des produits alignés en terme d'évolution (avec NSX par exemple). Et pour le end-user, la garantie d'un support de premier plan, uni, sur des grands projets. Le meilleur exemple reste le retour d'expérience fait aux dernières Assises de la Sécurité de Monaco, où je présentais ce cas précis, avec le Ministère de la Défense français.

 

Un autre partenaire, Amazon, est également apporteur d'affaires pour vos solutions ? 

Oui, à la hauteur de leur présence en France.

 

 

Ce jeu des alliances peut finir mal dans la mesure où il faut pour Trend Micro faire cohabiter en tant que partenaires des acteurs concurrents. C'est le cas avec IBM et HP notamment depuis que Trend a racheté TippingPoint à HP pour développer son offre IPS…

C'est là un peu particulier car il nous faut éviter de « froisser » le mastodonte IBM avec qui nous collaborons depuis très longtemps en fourniture d'OEM. Cela dit, nos alliances restent actives simultanément avec ces deux acteurs majeurs. Chez IBM, DeepSecurity remplace par exemple la solution historique d'IBM Virtual Server Protection. En sabir IBM, c'est le "recommanded migration path pour l'ex Phantom Project" ; clin d'œil aux anciens d'ISS.

 

10 ans après le rachat, IBM repense actuellement sa stratégie sécurité...

Oui, elle est très active depuis les US avec les travaux autour de de la X-Force notamment. Mais aussi le retour vers une sécurité centralisée sur des mainframes, ce qui constitue un axe fort de leur réflexion. 

 

 

Tu penses aussi en tant qu'ancien d'IBM que l'on peut fédérer l'essentiel des fonctions sécure sur un mainframe ?  

Oui, c'est possible notamment pour les aspects liés à la cryptographie. Certains aspects de la sécurité sont très liés aux logiciels dédiés, équipements spécialisés (HSM 4764). Il faut un temps machine optimisé et garanti, de l'isolation forte des fonctions, …  On est sur un modèle bunker. Maintenant, tous les SI sont ouverts, et à l'autre bout, on est sur des flux réseaux ; et c'est la guérilla.

On le constate avec notre solution Deep Discovery qui analysent les flux. C'est la "Network Defence Unit" qui sait aussi recourir aux technologies les plus innovantes. En 3 mots clés : DPI (Deep Packet Inspection), mais poussée à son maximum en terme de visibilité ; on fait du 360° sur tous les protocoles possibles. SandBoxing pour de l'analyse sous cloche : on dépoussière le possible code malveillant en cherchant par exemple si il va contacter l'extérieur, sur un C&C, pour exfiltrer silencieusement. Et R&D avant-tout : toutes ses innovations génèrent une réponse de l'attaquant, qui s'adaptant nous oblige à réagir dans notre protocole. Les malwares d'aujourd'hui se comportent en sachant qu'ils vont passer possibilement en SandBox. Certaines solution par exemple deviennent un nouveau trou de sécurité et potentiel d'attaque. C'est un comble !

(lien google zero project http://googleprojectzero.blogspot.com.au/2015/12/fireeye-exploitation-project-zeros.html)

En tâche de fonds, n'oublions pas la course aux 0 days et les grands mouvements en 2015 sur ces sujets.

(lien zerodium https://www.zerodium.com/program.html) et http://www.cyberisques.com/

 

 

En cette fin d'année, quel bilan dresses-tu pour 2015 et quelles perspectives tu distingues pour 2016 en plus de celles notées par la Corp. (cf section BONUS) ? Scada, OIV, Règlement Eur, Attaques sur les mobiles…Rien que sur les mobiles, tes petits camarades de chez Kaspersky Lab relèvent dans leur dernière étude qu'une attaque sur six de ransomware vise désormais un smartphone ou une tablette Android.

Encore une année où le mot clé aura été "Accélération". C'est vrai que la mobilité devient une cible stratégique pour les pirates même si en opposition les applis en mode cloud et les données protégées par les opérateurs se développent, la sauvegarde des données directe des devices mobiles posent un réel problème. La barre annoncée dans nos prévision 2016 est maintenant de 20 millions de malwares sur mobile !

 

 

Chez TrendMicro, vous suggérez quelle solution à ce problème de la sécurité sur les mobiles ? 

La containérisation reste la bonne approche ; surtout si elle s'accompagne d'un agent léger pour garantir un acces securisé avec notre mode « mobile workforce », sur Android bien sûr mais aussi sur iOS et autres plus exotiques.

Le modèle intrinsèque de sécurité de Android continue à montrer ses limites et contournements possibles très bien démontré lors de la dernière conférence française, modèle du genre, qu'est BotConf. Encore beaucoup de collaboration est nécessaire avant de voir un retour sur investissement…

 

 

Sur les autres thématiques Scada, IoT, OIV… bilan et perspectives ? 

Pour Scada, notre clé USB « Portable security » que je t'ai présentée à sa sortie il y a une bonne année maintenant, est déjà un succès. 

 

 

J'étais sûr que tu allais me dire çà. Il me faut des chiffres Loïc, des vrais svp :)

Ecoute, plusieurs milliers de nos clés USB ont été vendues en France en 2015. Au début, sur le modèle de pack de test : 1 à 3 clés pour les stations pilotes. Et depuis la 2ème partie de l'année, une grosse accélération sur forme de Pilotes, voire de projets mondiaux. Désormais chaque entreprises disposant de machines Windows ou Linux, non managés traditionnellement (sites distants sans bande passante, gestion d'automates pour SCADA/ICS) peut en posséder. 

Cette clé devient la clé a molette "sécurité informatique" des tous les automaticiens, en permettant de vérifier de façon non intrusive qu'aucun malware ne se trouve sur la station, et avec une restitution lumineuse (embout vert ou rouge, selon le scan) adaptée au contexte d'utilisation (audit ponctuel, campagne large, réception de nouvel équipement, accès pour maintenance par tiers…) 

 

 

Votre clé USB pourrait servir a authentifier les users aussi ? 

Oui pourquoi pas dans une prochaine évolution ; mais ce n'est pas la demande aujourd'hui. Il est demandé de la visibilité et de la reprise en main de ces environnements.

 

 

En environnement Scada, les offres se développent sur des FW dédiés entre les mondes des réseaux industriels et les réseaux bureautiques. Pas de traces d'offres de ce type chez TrendMicro pourquoi ? 

Effectivement, cela n'a pas été notre priorité. Si tu regardes attentivement les besoins des sites hautement sensibles ils s'intéressent à des solutions basées sur des diodes informatique hardware: le courant ne passe que dans un sens. D'ailleurs, il existe une jeune entreprise française pour ces produits que j'ai rencontré à l'AIEA à Vienne : seclabs* ou une référence EAL7+ de notre partenaire industriel Factory Systèmes. (http://www.factorysystemes.fr/produits/securiser/datadiode-protection-oiv/)

 

 

En BtoC comme en BtoB les offres en Iot ou objets connectés pas toujours identifiés comme utiles se multiplient. Sans aucun niveau de sécurité. Et vous laissez faire, pourquoi ? 

C'est vrai ; toutes les technologies ne sont pas prêtes sur les Iot. En 2016 on ne peut toujrous pas chiffrer correctement les données des IoT : la capacité de traitement reste faible ; les processus de gestion inexistants sans parler des interfaces peu conviviales. En fait, aujourd'hui tout passe par la box adsl, et nous travaillons là à aider les fabricants à intégrer des fonctions de sécurité. C'est une marché OEM discret mais important pour nous. (fonctions classiques de sécurité mais aussi filtrage dep packet inspection, bulle VPN en 4G entre les objets et l'utilisateur via le boitier adsl, …) 

 

 

Cher Loic, quel commentaire t'inspirent les prévisions de croissance rappelées dans Forbes (1) via les études du Gartner notamment ? 

Qu'on aura encore l'occasion de commenter ensemble ce marché incroyable de dynamisme, d'innovation mais aussi reflet de notre société actuelle (dérives comme tentative de remise en sécurité). On a annoncé dans nos prévisions ceci: Au moins une panne d'équipement intelligent grand public sera fatale en 2016 et malgré les besoins, moins de 50 % des entreprises devraient disposer d'un responsable de la protection des données (Data Protection Officer) au sein de leurs équipes d'ici à fin 2016.

 

 

Bloavezh mat !

 

  

 

1 - http://www.forbes.com/sites/stevemorgan/2015/12/20/cybersecurity%E2%80%8B-%E2%80%8Bmarket-reaches-75-billion-in-2015%E2%80%8B%E2%80%8B-%E2%80%8Bexpected-to-reach-170-billion-by-2020/

  

 

BONUS:

 

Trend Micro prévisions 2016 tendances cyberisques: 

http://www.trendmicro.fr/renseignements-securite/recherche/previsions-de-securite-2016/

 

SECLAB: http://www.seclab-solutions.com/

Selon l'étude PWC 2015: le CEO incarne le role de "champion" du digital

31% des dirigeants affirment que leurs entreprises ont investi plus

de 15% de leur chiffre d'affaires dans le digital 

 

Selon 45% des dirigeants d'entreprise disent investir dans le digital avec pour objectif premier d'accroître leur chiffre d'affaires, tandis que seul un dirigeant sur cent énonce comme motivation première la volonté de créer la rupture dans son secteur ou un autre. C'est ce que révèle l'étude de PWC réalisée sur les réponses de près de 2 000 cadres dirigeants (responsables IT et chefs d'entreprise). La publication explore la capacité des entreprises à tirer parti des nouvelles technologies pour créer de la valeur. PwC a identifié 10 bonnes pratiques à mettre en œuvre pour que transformation digitale rime avec performance financière des entreprises.

Les dirigeants d'entreprise, à la recherche d'une croissance rapide de leurs revenus, investissent massivement dans le digital.

Les dirigeants d'entreprise prennent conscience que le digital est en train de bouleverser leurs activités. D'après la 18ème édition de l'étude mondiale annuelle « Global CEO Survey », 58% des CEO se disent préoccupés, en 2015, par la rapidité des évolutions technologiques, alors qu'ils n'étaient que 47% en 2014. 86% des CEO interrogés estiment qu'ils ont aujourd'hui pour rôle de promouvoir l'utilisation des technologies numériques au sein de leur entreprise.

73% des répondants de l'étude « Digital IQ » considèrent que leur CEO est aujourd'hui un « champion du digital », un chiffre en forte hausse par rapport à 2013 (57%). Ils mènent la transformation digitale de leur entreprise, en multipliant les investissements dans les technologies numériques. En effet, près d'un tiers des dirigeants interrogés (31%) affirme que leur entreprise investit plus de 15% de son chiffre d'affaires dans le digital.

Image-Instit-1

 

Les investissements sont désormais supportés majoritairement (à 68%) hors de la DSI, tandis qu'ils n'étaient que 47% à provenir des budgets des autres directions, comme le marketing ou le business développement, en 2014.

Les dirigeants ciblent les investissements fournissant une plus grande valeur stratégique. Ils sont 45% à placer la croissance du chiffre d'affaires en tête de leurs attentes, 25% à rechercher une amélioration de l'expérience client et 12% à viser une hausse de la rentabilité. En revanche, seul un dirigeant sur cent affirme que son attente numéro un consiste à créer la rupture dans son secteur ou un autre, ou bien à gagner la bataille face aux nouveaux entrants sur son secteur.

« En investissant dans les technologies numériques aujourd'hui, la plupart des dirigeants cherchent à accroître leurs performances financières à court terme, sans remettre en question leurs business model sur le long terme. Ils vont pourtant devoir changer d'attitude dans les années à venir s'ils veulent s'adapter au marché de demain », analyse Matthieu Aubusson, associé Digital Services chez PwC.

 

perception-diff-Transformation-Digitale-PWC-2015-Cyberisques-NEWS

                   

              

L'intégralité de l'article est réservée à nos abonnés. 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 Les 10 bonnes pratiques à mettre en œuvre pour que transformation digitale rime avec performance financière:

Les experts de PwC, Matthieu Aubusson et Loïc Mesnage, décryptent les 10 bonnes pratiques pour améliorer les performances digitales des entreprises. Les entreprises qui les respectent ont 50% de chances supplémentaires d'atteindre une croissance rapide de leurs revenus et deux fois plus de chances d'atteindre une croissance rapide de leurs profits.

1. Le chef d'entreprise se fait champion du digital.

« Les chefs d'entreprise sont de plus en plus nombreux à conduire la transformation digitale et à proclamer son importance pour toutes les activités de l'entreprise, au détriment des Directeurs des systèmes d'information, qui pourraient voir leurs responsabilités décliner progressivement », indique Matthieu Aubusson.

Si les DSI sont encore majoritairement en tête des efforts internes et externes dans le domaine du digital aujourd'hui (40%), cette proportion devrait diminuer (à 35%) au cours des trois prochaines années. Une majorité de répondants (65%) estiment qu'en 2018, les principales responsabilités du DSI se limiteront aux efforts internes en technologies de l'information.

2. Les dirigeants responsables du digital sont impliqués dans la définition de la stratégie.

Les chefs d'entreprise donnent le ton et fixent le cap de la transformation digitale, mais les directeurs opérationnels (Directeur des systèmes d'information ou Directeur du développement, le plus souvent) sont des acteurs de premier plan pour définir la stratégie digitale de l'entreprise.

« Certaines entreprises mettent en place un conseil du digital rassemblant les membres de la DSI et de la Direction marketing ou produit, qui travaillent en collaboration de l'élaboration de la stratégie digitale jusqu'à sa mise en œuvre opérationnelle », explique Loïc Mesnage, associé responsable du Consulting en Technologie chez PwC.

3. La stratégie digitale, alignée sur le reste de l'activité, est décidée et partagée au plus haut niveau de l'entreprise.

D'après Loïc Mesnage, « quand une entreprise et ses dirigeants travaillent tous vers un même objectif, les chances d'optimiser l'investissement sont plus élevées et il est plus facile d'identifier les domaines susceptibles de freiner la réussite, du fait de ressources redondantes ou, au contraire, insuffisantes. »

4. La stratégie commerciale et digitale est communiquée à tous les collaborateurs de l'entreprise.

Une stratégie ne vaut que si elle est partagée par tous. À l'heure actuelle, 69% des répondants affirment que leur stratégie commerciale et digitale est partagée à travers toute l'organisation. Ce chiffre n'était que de 55% en 2014 et 50% en 2013.

5. Un dialogue actif avec des parties prenantes est entretenu pour collecter de nouvelles idées et mettre en application les technologies émergentes.

« Les entreprises les plus performantes dans notre étude sont celles qui testent un nombre de technologies émergentes et adoptent une approche résolument tournée vers la technologie elle-même (69 contre 54%). Mais elles puisent également leur inspiration dans un large éventail de sources pour alimenter leur pipeline d'idées et entretiennent un dialogue actif avec les analystes sectoriels (63%), les clients (46%) et les écosystèmes vendeurs (44%) », analyse Loïc Mesnage.

6. L'investissement dans le digital vise avant tout l'avantage concurrentiel.

Selon Loïc Mesnage, « les technologies digitales sont autant d'opportunités de se différencier sur son secteur d'activités. Les technologies qui sont perçues aujourd'hui comme les plus stratégiques par les dirigeants tous secteurs confondus, à un horizon de 3 à 5 ans, sont relatives à la cybersécurité, à la collecte, à l'analyse et la visualisation des données, la distribution numérique et au cloud privé. »

7. L'ensemble des données sont utilisées de manière efficace pour créer de la valeur.

« Exploiter la valeur des données suppose souvent de les utiliser pour orienter ses choix stratégiques – par exemple, définir comment assurer la croissance d'une activité. Ceci continue de poser un défi à de nombreux dirigeants, qui citent des obstacles spécifiques en termes d'attitudes et de savoir-faire presque aussi souvent que les problèmes de qualité ou d'exactitude des données », explique Loïc Mesnage.

Les entreprises les plus performantes dans notre étude perçoivent mieux le potentiel commercial de l'exploitation des données, notamment les données de tiers (à 78%), les données du cloud (70%), les données issues des réseaux sociaux (69%) et les données de géolocalisation (64%).

8. L'entreprise fait preuve d'esprit proactif dans l'évaluation et la planification des risques en matière de sécurité et de confidentialité des données.

« À mesure que les entreprises s'entourent de nouvelles technologies et de nouveaux clients, partenaires, matériels et supports, le nombre d'interdépendances s'accroît et, avec lui, celui des risques. Les entreprises doivent donc faire preuve de proactivité en incluant systématiquement des risk managers et des experts en cybersécurité dans le développement d'un nouveau produit ou d'un nouveau service », analyse Loïc Mesnage.

9. Une feuille de route pluriannuelle, comprenant les compétences et processus business ainsi que les ressources digitales, est élaborée.

« Les progrès se font en dents de scie car si le digital s'impose progressivement dans l'entreprise, il est aussi plus fragmenté », estime Matthieu Aubusson.

Aujourd'hui, 53% des entreprises disposent d'une feuille de route complète, comprenant leurs capacités et leurs processus business ainsi que leurs ressources digitales, contre 63% il y a 4 ans.

10. Une mesure cohérente des résultats de l'investissement réalisé dans les technologies digitales.

D'après Matthieu Aubusson, « les dirigeants d'entreprise et leurs conseils d'administration exigent de constater la valeur tirée de l'investissement dans les technologies digitales. Démontrer les résultats suppose de combiner des outils de mesure traditionnels (le ROI par exemple) pour évaluer la réalisation des objectifs de croissance et d'autres, plus modernes (le « cybermetrics »), pour mesurer les transformations résultant de cet investissement. »

Loïc Mesnage conclut : « Le numérique est sur toutes les lèvres mais peu de personnes comprennent les bonnes pratiques qui, au plus haut niveau, génèrent de la performance. Les leaders du digital cherchent à comprendre comment leurs investissements d'aujourd'hui peuvent améliorer les résultats commerciaux de demain. C'est un état d'esprit essentiel, notamment à une époque où culture et technologies numériques se font omniprésentes. »

 

PWC-2-2015-Cyberisques-NEWS

....

  BONUS: 

Etude « Digital IQ »:

Pour la 7ème édition de l'étude « Digital IQ », 1 988 cadres dirigeants d'entreprise dans 51 pays ont été interrogés par PwC, entre juillet et septembre 2015. Les répondants étaient divisés équitablement entre les responsables IT et les dirigeants/chefs d'entreprise. 21% des répondants travaillent dans des organisations dont les revenus atteignent ou dépassent 1 milliard de dollars, et 52% ont des revenus compris entre 500 millions et 1 milliard de dollars.

Qui est PwC ? 

PwC développe en France et dans les pays francophones d'Afrique des missions d'audit, d'expertise comptable et de conseil créatrices de valeur pour ses clients, privilégiant des approches sectorielles. La raison d'être de PwC est de renforcer la confiance au sein de la société et d'apporter des solutions aux enjeux stratégiques de ses clients. Plus de 208 000 personnes dans 157 pays à travers le réseau PwC partagent idées, expertises et perspectives innovantes au bénéfice de la qualité de service pour leurs clients et partenaires. Les entités françaises et des pays francophones d'Afrique membres de PwC rassemblent 5 000 personnes couvrant 23 pays. Rendez-vous sur www.pwc.fr

« PwC » fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte.

Pour plus d'informations: www.pwc.com/structure 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires