Gouvernance
Les 100 premiers jours du Directeur Cybersécurité
Par Laurent Delattre, publié le 02 mars 2020
Rendu nécessaire par le besoin de voir la cybersécurité désormais pilotée par un cadre dirigeant, le Directeur Cybersécurité reçoit un mandat directement de la Direction Générale pour assurer la protection des informations de l’entreprise ainsi que la sécurité et la résilience des systèmes d’information. Nouvellement nommé dans l’entreprises, ses 100 premiers jours seront cruciaux.
Par Michel Juvin, Expert Cybersécurité, et Christophe Guéguen, DSI.
En parallèle de la digitalisation à marche forcée des entreprises, l’importance de l’information et sa valorisation potentielle attirent un nouveau monde de criminels qui profitent de l’anonymisation offerte par Internet pour se développer sans contrainte légale. De fait, les entreprises de toute taille doivent identifier un Directeur Cybersécurité pour développer des procédures, organisations et solutions technologiques pour protéger leur patrimoine informationnel.
Nouveau venu dans les organisations, les 100 premiers jours du Directeur Cybersécurité sont importants pour engager le plan d’action de réduction des risques cyber, approprié à l’entreprise qui va l’accueillir.
Introduction
Après la révolution industrielle et l’automatisation des entreprises du siècle dernier, notre époque est marquée par la révolution numérique qui modifie profondément le travail des Hommes. L’information est devenue un enjeu majeur offrant de nouveaux cas d’usages et donc de nouvelles perspectives de développement pour toutes les entreprises … y compris celles qui ont des objectifs frauduleux ou criminels.
De manière corolaire, la protection de toutes ces informations patrimoniales de l’entreprise devient un objectif majeur pour celles-ci qui doivent modifier / adapter leur organisation pour diminuer le risque cyber. Le positionnement du Directeur Cybersécurité, son expertise et ses qualités personnelles de compréhension des risques cybers doivent être définis par la Direction Générale au sein de la gouvernance de l’information de l’entreprise.
L’arrivée d’un nouveau Directeur Cybersécurité provoque un changement dans les relations au sein de la Direction et il faut un peu de temps pour qu’un équilibre se crée entre ses membres. On considère qu’il faut une période d’adaptation (trois mois a minima) pour que le Directeur Cybersécurité explique son rôle et les actions qu’il va engager pour protéger les données de l’entreprise et parfois jusqu’à une année pour qu’il soit réellement opérationnel au regard du contexte et de la complexité appréhendée. Cependant, plus il aura un parcours professionnel expérimenté, plus rapidement il sera opérationnel dans l’entreprise.
Trois mois c’est à la fois court et long, mais ils sont nécessaires pour s’approprier la culture de l’entreprise, son mode de management et faire un état des lieux du nouvel environnement professionnel, y compris l’exposition aux cyber-risques de celle-ci. En parallèle, il lui faudra mettre en place des premières actions qui devront être visibles du management et qui permettront aux actions long-terme d’avoir plus de temps pour être opérationnelles.
L’objet de ce document est de lister les actions qui semblent importantes à mettre en place pour réussir cette étape d’intégration d’une organisation prête à affronter les enjeux de cybersécurité et se protéger tout en lui permettant de se développer.
Prendre connaissance de l’organisation et de la structure de management.
Il s’agit d’apprendre le ou les métiers de l’entreprise et savoir parler le même langage que les employés.
Cette phase pendant laquelle le Directeur Cybersécurité doit faire preuve de qualité d’osmose dans son nouveau milieu est certainement la plus importante et lui permettra d’avoir plus de chance que les recommandations qu’il proposera par la suite soient acceptées et surtout appliquées.
Être dans un environnement attentif et réceptif facilitera le passage à l’action ; tandis que la non-reconnaissance, défiance voire conflit avec ses nouveaux collègues et partenaires de travail nuira considérablement à cette phase préparatoire qui nécessite un véritable esprit critique partagé et assumé. Il aura donc à cœur de prendre le temps d’écouter et montrer de l’empathie car c’est à tous les niveaux hiérarchiques que se pose les questions relatives aux bonnes pratiques pour protéger les données. On constate régulièrement qu’il y a deux sortes de personnes, celles qui sont stressées lorsqu’elles manipulent de l’information (et qu’il faut rassurer avant qu’elles n’utilisent d’autres solutions que celles autorisées par la Direction informatique), et celles qui ont choisi de reporter la responsabilité sur l’informatique pour gérer la sécurité de l’information. Ces dernières devront être particulièrement sensibilisées pour éviter qu’une de leur action ne porte préjudice au fonctionnement global de l’entreprise.
Faire une cartographie des Systèmes d’Information et de l’information échangée
Dans cette digitalisation à marche forcée suivie par les DSI[1], il n’est pas improbable que la cartographie fonctionnelle des processus et informations, nécessaires au fonctionnement de l’entreprise, ne soit pas suffisamment documentée et surtout, pas à jour. Cette cartographie est aussi complexifiée par le Shadow IT qui tend à dilapider le capital informationnel auprès de fournisseurs de services et partenaires. La responsabilité de la perte de maîtrise du paysage applicatif revient aux principaux dirigeants de l’entreprise ainsi qu’au DSI. L’arrivée du Directeur Cybersécurité offrira l’opportunité de refaire un point sur les schémas d’architecture fonctionnels et techniques pour identifier les vulnérabilités. Cependant, il existe aujourd’hui des solutions techniques qui apprennent des échanges entre les utilisateurs et les applicatifs pour proposer automatiquement une forme de cartographie des données.
Un document complémentaire[2] à cette cartographie devra être effectué par le Directeur Cybersécurité pour décrire l’application, identifier le ou les responsables des applications (techniques et fonctionnels), les localisations de ces informations, et indiquer dans le cas de prestations de services (support, hébergement, …) qui sont les contacts et/ou les responsables. Enfin, une attention particulière sera apportée pour classifier (même sommairement) les données échangées. L’objectif est d’identifier et de localiser les informations confidentielles ou hautement sensibles pour l’entreprise.
Bien évidemment, ce premier document devient par nature hautement sensible[3] et devra être protégé en conséquence.
L’analyse de risque sur le capital informationnel
C’est une étape particulièrement importante car elle aura pour objectif de permettre une communication des risques identifiés auprès des principaux responsables et de proposer un plan d’action qui sera de fait priorisé en fonction de la sévérité du risque résiduel calculé (après application des actions visant à réduire les risques).
Une bonne analyse de risque peut être menée par des auditeurs externes ou mieux encore, par le Directeur Cybersécurité lui-même. Il devra s’appuyer sur une méthode (ISO 27005 ou encore EBIOS RM[4] de l’ANSSI) pour éviter de passer à côté de risques critiques. La démarche devra prendre en compte tous les risques externes : économiques, criminels, environnementaux, sociétal, …, et les risques internes liés à l’activité, l’organisation, les compétences, la gouvernance, le contrôle, la prévention, …
Les risques doivent être décris avec l’origine, le domaine couvert, les enjeux, … ainsi que la probabilité d’occurrence et l’impact. Ils doivent être calculés sur la base de standards de mesure et définis dans des sous-matrices d’évaluation. Le risque doit ainsi être quantifié (issu d’une formule mathématique : probabilité d’occurrence x impact), et non pas simplement qualifié de manière subjective. De fait, il faut définir des sous-matrices[5] pour donner des valeurs – de 1 à 5 par exemple – à l’occurrence et à l’impact.
Sur la base de cette matrice globale (souvent une feuille Excel), les risques sont triés pour identifier les actions ayant pour objectif de réduire les risques. Une réévaluation du risque est alors de nouveau calculée, après application des actions de réduction, et un risque résiduel est alors identifié.
Le plan d’action est alors défini en fonction des actions de réduction des risques et du risque résiduel. Pour ces actions, il est nécessaire d’identifier des ressources (humaines et financières) et mettre en place des procédures de contrôle / application au sein de l’entreprise ou avec l’assistance de partenaires.
Enfin, une décision devra être prise quant aux risques résiduels, permettant de les accepter ou de les transférer vers une tierce partie, ayant conscience que ces cyber-risques ne sont pas transmissibles sur une cyber-assurance[6].
Les « low hanging fruits »
Dans toutes les actions identifiées, certaines sont simples et ne nécessitent pas trop de ressources et doivent être appliquées rapidement.
Ce sont ces actions qui vont montrer la capacité du Directeur Cybersécurité de couvrir rapidement des risques qui auront été identifiés lors de l’analyse. Il sera aussi nécessaire de préparer une communication associée qui surfera sur ces (bons) premiers résultats pour établir la confiance avec les membres du Comité de Direction.
Cette confiance est essentielle car les autres actions planifiées n’auront pas la même vitesse de mise en œuvre, et nécessiteront parfois des ressources plus importantes que l’on ne pouvait pas définir initialement. En effet, le Directeur Cybersécurité ne saura correctement évaluer les ressources nécessaires aux projets qu’avec une bonne connaissance de l’entreprise et de son mode de fonctionnement / management ; ce ne sera qu’après quelques mois et face à des problèmes qu’il comprendra les points de blocage et trouvera le moyen d’y remédier.
Cet apprentissage contextuel sera plus efficace avec un Directeur Cybersécurité expérimenté[7] qui connaît bien les principes de fonctionnement d’une entreprise et du mode de gestion de son système d’information.
La gestion des données / services internes Vs Cloud
Travailler avec le DSI pour écrire la répartition des données et services entre ce qui est fait en « interne » (par les équipes de la DSI) et ce qui sera fait dans le cadre d’un service « Cloud » ; supervisé par la DSI et les métiers.
Au-delà de la gestion des données, la migration des services dans des Clouds (ou multicloud dans cette circonstance) implique la migration de certains services qui étaient opérés par la DSI. Sous l’impulsion du Directeur Cybersécurité, il est nécessaire pour la DSI de définir où positionner les services et l’organisation des compétences entre « opéré en interne à la DSI » et « outsourcé chez un partenaire » et de le présenter (et faire accepter) auprès de la Direction de l’entreprise.
Un tableau devra décrire les domaines suivants : les données, les services d’identification des utilisateurs, le patch management, les plans de recouvrement et de continuité d’accès, le développement d’application Web, le filtrage et la surveillance des accès web, … et donnera alors le positionnement en interne ou externe des applications et données. De fait, lorsqu’une nouvelle demande arrivera auprès de l’informatique, il sera facile d’appliquer ce tableau de répartition et définir comment le service sera effectué ainsi que le maintien en condition opérationnelle.
À titre d’exemple, la répartition des données entre un stockage dans le Cloud ou en interne (sur le Datacenter de l’entreprise) pourra être faite en fonction de la classification intrinsèque de la donnée. Ainsi, pour réduire les risques, on pourra facilement mettre en place des solutions pour chiffrer les données sensibles hébergées dans un Cloud public.
Idem pour la gestion du patch management qui est de la responsabilité opérationnelle de la Direction Technique de l’IT lorsque les services sont en interne et qui surveillera l’application des patchs des éditeurs des OS et middleware dans le cadre d’une plate-forme XaaS). Un rapport mensuel contrôlera que la plate-forme hébergée est toujours à jour.
La formalisation de la Politique de Cybersécurité
Pour faciliter la communication et le contrôle, l’établissement d’une politique de cybersécurité est essentiel.
Il existe beaucoup d’exemples de politique de cybersécurité, plus ou moins détaillée. Il est important que le Directeur Cybersécurité s’adapte à la culture de l’entreprise pour définir un tel document. Soit l’entreprise est dans une démarche de certification, qui nécessite une rédaction précise et exhaustive, soit elle pratique un dialogue interne puissant qui, implicitement, permet de diminuer les écrits et responsabilise davantage les employés dans leurs fonctions respectives.
Une fois écrite, cette politique doit être validée auprès de la direction informatique, ainsi que les directions métiers directement impliquées, pour enfin être validée par la direction générale. N’oublions pas qu’une politique est obligatoirement appliquée et jointe au corpus documentaire de l’entreprise[8].
La communication autour de cette politique est également essentielle. Il arrive même pour obtenir la validation de celle-ci (en particulier de la Direction Générale), qu’il soit nécessaire d’écrire un abstract que l’on appelle les « Principes Généraux de Cybersécurité » qui sera un document de quelques pages introduisant la politique.
Enfin, l’application de la politique sera plus efficace si elle est déclinée en « Standards de sécurité » (souvent 20 à 30) qui vont précisément expliquer comment appliquer le standard de sécurité. Chacun de ces “Standards” doit comporter un élément de contexte, l’identification d’un responsable/acteur et bien sûr, la description opérationnelle d’application du standard. Nous recommandons particulièrement d’ajouter un dernier paragraphe expliquant comment l’opérateur va contrôler l’application du standard. L’objectif de ce paragraphe est d’anticiper une des phases suivantes qui est le reporting de contrôle de l’application des standards de sécurité. En effet, un contrôle effectué au plus près de l’action doit être consolidé dans un document de synthèse à destination du management. Ainsi, les prémisses du Contrôle Interne des processus de sécurité seront mis en place en même temps que l’application de la politique de sécurité.
Le positionnement du Directeur Cybersécurité
Si l’on voulait résumer tous les écrits sur le sujet du positionnement et de la définition de la bonne organisation pour protéger l’entreprise ce serait : ni trop haut, ni trop bas et en fonction du besoin (exposition aux cyber-risques) de l’entreprise.
Plus précisément, toutes les entreprises ont besoin d’avoir une personne siégeant à son Comité de Direction en charge de la protection de l’information de l’entreprise. La seule raison est que les décisions stratégiques comme le développement d’une activité, acquisition d’une filiale ou rapprochement avec un partenaire peut mettre en danger l’entreprise elle-même, et de manière vitale. Pour autant, il n’est pas nécessaire[9] de positionner le Directeur Cybersécurité au sein du Comité de Direction. Par contre, un des membres de ce Comité doit être responsable de ce domaine et encadrer directement le Directeur Cybersécurité. L’idéal serait qu’une direction des risques regroupe les experts qui bénéficient d’une compréhension opérationnelle de l’entreprise ; par exemple, il faut un responsable de l’audit, du Contrôle Interne, juridique, de la sécurité physique des employés et de leur accès, de la RH… et le Directeur Cybersécurité.
Le rôle du Directeur Cybersécurité est alors une à deux fois par an (et en fonction de la gouvernance adoptée), d’être en mesure de présenter les avancements des projets de protection des informations sous la forme d’un tableau de bord de sécurité.
La production du Dashboard de la cybersécurité
Véritable outil de communication, ce tableau de bord doit être en mesure de résumer dynamiquement[10] une analyse de l’exposition aux risques, les vulnérabilités techniques et fonctionnelles et la mise en œuvre des procédures de cybersécurité tout en apportant une veille technologique sur les évolutions des cyber-attaques.
De plus, ce tableau doit être bidirectionnel, accessible par le Management pour être en mesure de prendre des décisions et opérationnelles pour que les acteurs de la sécurité de l’entreprise puissent agir sur leur domaine d’action.
Il n’existe pas de tableau de bord standard qui puisse satisfaire toutes les entreprises ; il est absolument nécessaire pour le Directeur Cybersécurité de le concevoir à la mesure des enjeux et de la culture de l’entreprise. Mais on peut rappeler deux grands principes : pas plus de 6 informations majeures sur la page et un message pour chaque participant du Comité de Direction.
Scénario de réponse à incident ou à une cyber-attaque
Il arrive que lors de l’analyse de risque, le Directeur Cybersécurité constate que l’exposition aux risques est trop importante et que la mise en œuvre des recommandations de sécurité prenne trop de temps laissant des portes ouvertes et donc des opportunités d’attaque faciles pour les cybercriminels. Se préparer à une attaque est alors primordial.
La définition du processus de gestion des incidents, qui peuvent aboutir à la gestion de crise cyber, doit être mis en place dans le cadre d’un projet qui peut lui aussi se poursuivre dans la définition de la résilience des Systèmes d’Information.
Dans les 100 jours, il est nécessaire d’avoir identifié les acteurs de la maintenance des SI, les principaux consommateurs de l’information, les responsables des domaines stratégiques, d’avoir préparé plusieurs communications[11] (dont une externe à destination des clients) et ce en fonction des différents scénarios d’attaque[12], d’avoir enfin mis en place une procédure de gestion d’incident et de recouvrement des SI.
La procédure de gestion des incidents est à plusieurs niveaux : simple dysfonctionnement des SI … à la perte de contrôle du SI et doit avoir en corollaire, les scénarios de reprise adaptés. Dans le cas d’une cyber-attaque et en s’appuyant sur la cartographie des Systèmes d’Information et leur importance, il peut être nécessaire d’investir dans des solutions de résilience des Systèmes et de backup/restauration des données voire des services.
A minima, il est absolument nécessaire de s’assurer de la capacité de la Direction Informatique de restaurer l’ensemble des données dans un délai acceptable par les utilisateurs[13] en effectuant des tests de recouvrement / continuité des SI régulièrement à minima ; une fois par an.
Avoir un rôle de Mentor en interne et être « mentee » auprès d’une communauté d’experts
On constate souvent que lorsque le Directeur cybersécurité est nommé, il est le premier et seul à « s’occuper » de la protection du capital informationnel. Cependant, certaines fonctions, en particulier dans l’équipe infrastructure de la Direction Informatique, comme les responsables des réseaux, des postes de travail, de la messagerie, … ont bien conscience qu’une erreur de paramétrage dans leur domaine peut ouvrir une porte à tous les intrus autant que laisser les utilisateurs exfiltrer intentionnellement ou non des informations vitales de l’entreprise.
En ayant une communication étroite avec ceux qui portent des responsabilités importantes dans la gestion de l’information[14] et avec sa position d’expert sur le sujet de la protection du capital informationnel il va devenir un référent auprès de qui toutes les personnes qui se posent des questions quant à la sécurité des données. Ce rôle de communication et d’information auprès des employés sera soutenu par des sessions d’éveil à la protection de l’information, des séminaires d’animation ou encore des messages[15] d’information quant aux risques liés à la gestion d’informations sensibles de l’entreprise. L’identification d’ambassadeur de la cybersécurité dans les équipes métiers de l’entreprise est à envisager dès le début de sa prise de fonction.
C’est un rôle de mentor auprès de tous les employés avec un esprit positif d’aide ou d’assistance quand cela est nécessaire ; voire de recommandation sous forme de mise en garde si contraire à la politique de cybersécurité de l’entreprise.
Mais le Directeur Cybersécurité doit aussi être soutenu (en plus de sa direction) par une communauté à laquelle il appartiendra[16] et auprès de qui il ne se sentira pas seul face à des choix parfois cornéliens. Il doit trouver un écho par rapport aux enjeux auxquels il est confronté, des réponses, des conseils d’experts, et souvent une amitié développée dans le cadre d’un mentorat avec l’un de ses pairs pour savoir anticiper un risque ou une configuration à risque pour l’entreprise.
Conclusion
Ces 100 premiers jours du Directeur Cybersécurité, qui parfois correspondent à la période d’essai, sont importants pour apprendre à se connaître et montrer la valeur ajoutée de cette fonction dans l’entreprise à travers les documents produits d’état des lieux et de synthèse.
Il est essentiel que le plan d’action de protection du capital informationnel soit compris et accepté par le Comité de Direction mais aussi par les acteurs directement et indirectement impliqués dans sa mise en œuvre au fil de l’eau. Le Directeur Cybersécurité n’est pas le seul à porter la responsabilité de la protection de l’information de l’entreprise, il doit être entouré et clairement soutenu dans ses actions. Si ce n’est pas le cas, il devra être prêt en tirer les conséquences avant la fin de sa période d’essai et trouver une autre entreprise davantage convaincue du bien-fondé de son action, ce qui lui apportera davantage de satisfaction et redonnera du sens à sa contribution professionnelle.
Enfin, pour apporter sa pleine et entière valeur ajoutée, indépendamment du modèle organisationnel de l’entreprise et la nature des rattachements de personnes, il conviendra de favoriser et de s’assurer d’une coopération forte, volontaire et sincère, sans compromis ni complaisance, entre les Directeurs Cybersécurité et SI et les contributeurs clefs sous-jacents ; ce qui suppose au-delà des postures et des interactions fortes, transverses et permanentes, des moyens financiers, humains et techniques clairement alloués et alignés avec les objectifs énoncés par l’entreprise, dans une logique bien comprise, vertueuse et partagée d’amélioration continue incarnée par le collectif au service de l’entreprise.
A lire également :
Pourquoi CISO et CSO ne peuvent plus s’ignorer…
CISO et CTO : un dialogue tout en technicité sur la sécurité
Les difficiles mais essentielles relations entre le CISO et la Direction des Assurances
Notes :
[1] Digitalisation souvent initiée par les acteurs métiers voire parfois sans la Direction Informatique ! (Shadow IT)
[2] Souvent fait sur un tableau Excel.
[3] Une classification des données simple et efficace est à 4 niveaux : public, interne, confidentiel et hautement sensible.
[4] https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
[5] Ces sous-matrices vont permettre d’affecter une note en fonction de la probabilité d’occurrence et de l’impact. Exemple, un impact de 100K€ représente une note de 1,… 1M€ une note de 5 … Une application peu importante, note de 1, très importante 5, …
[6] Pour mémoire, les cyber-assurances ne couvrent pas les risques mais uniquement les conséquences financières des risques !!! l’impact et la réputation ne peut pas se compenser par de l’argent !!!
[7] Un bon parcours pour le Directeur Cybersécurité est d’avoir été consultant (pour une bonne connaissance de la technologie IT), Auditeur (pour maîtriser l’analyse de risque et savoir donner des recommandations opérationnelles) et DSI pour comprendre comment gérer correctement l’information (et pas que les SI) de l’entreprise. De fait, grâce à cette expérience, l’apprentissage sera plus facile et rapide.
[8] La politique Cybersécurité sera aussi référencée dans la charte informatique (acceptée par les IRP et les employés) qui elle aussi, est obligatoire.
[9] et nous ne le recommandons pas pour éviter d’une part, une certaine fatigue des membres du Comité de Direction par rapport à un domaine souvent trop technique et d’autre part, un trop grand bouleversement des équilibres entre les membres.
[10] Dynamiquement implique de donner une photo et une tendance !
[11] La préparation de la communication de crise est nécessaire car elle permet d’anticiper tous les points de blocage pour valider une communication externe à l’entreprise … et il y en a beaucoup plus qu’on ne pense !
[12] Type d’attaque à prévoir : ransomware, vol de données à caractère personnel, déni de Service, accès frauduleux aux données de l’entreprise, usurpation de l’identité d’un dirigeant ou fausse information répandue sur Internet : fake news ….
[13] La définition du RTO (Recovery Time Objective) et RPO (Recovery Point Objective) sont deux notions à faire valider auprès des Directeurs fonctionnels de l’entreprise ; elles définissent l’AIW (Acceptable Interruptable Window).
[14] Cela comprend aussi certains métiers comme ceux de la recherche & développement ou encore les fonctions commerciales et bien sûr la Direction Générale,
[15] Comme des dessins animés, des messages de vœux, ou des recommandations à l’approche des congés, …
[16] Le CESIN est l’une des deux communautés en France qui regroupe les Experts en cybersécurité.