Toutes les publications
Livres blancs

Cybersécurité en période de crise

Les DSI de Transition de la Communauté Infortive ont publié leurs recommandations de cybersécurité face à une crise. Ce contenu sera utile aux DSI, Directions Générales et responsables Métiers qui souhaiteront effectuer une vérification rapide des pratiques actuellement en vigueur dans leur entreprise. La sécurité absolue n’existe pas et aucune parade n’est jamais définitive.

Ces recommandations abordent les thèmes suivants :

  1. La gouvernance de crise est fondamentale et repose sur des responsabilités prédéfinies, des outils et procédures de communication qui permettront de tenir un discours sincère et cohérent.
  2. Une cellule de riposte doit être constituée afin de réagir très rapidement, quitte à couper les accès, systèmes, serveurs et postes de travail pour sécuriser l’essentiel en attente d’un diagnostic plus précis.
  3. La sécurisation et la redondance des ressources critiques seront également anticipées.
  4. Les utilisateurs doivent recevoir des instructions claires et pratiques sur les menaces les plus courantes (phishing, tentative d’usurpation...) et l’expérience montre qu’un entraînement des hommes est la meilleure protection.
  5. Les DSI ont à leur disposition de nombreux dispositifs techniques (VPN, postes de travail virtuels, authentification multi-facteurs...) pour sécuriser les accès et devront renforcer le support aux utilisateurs quitte à prélever des ressources sur des projets devenus moins prioritaires.
  6. De nombreuses ressources (notamment gouvernementales) existent sur ces sujets et les consulter avant toute crise est indispensable. Des retours d’expériences et des recommandations pertinentes sont disponibles sur des risques devenus malheureusement courants (rançongiciel par exemple).


Bonne lecture et n’hésitez pas à nous faire part de vos remarques et suggestions à contact@infortive.com

Les enjeux de la cybersécurité en période de crise

Objectifs

  • Rechercher le meilleur équilibre possible entre les besoins de protection et la continuité des activités.
  • Trouver le meilleur équilibre possible entre les moyens techniques, le niveau de protection souhaité et les investissements nécessaires.

Principes généraux - La sécurité absolue n’existe pas

  • Adopter une démarche d’amélioration continue basée sur le concept de niveau de maturité qui consiste à évaluer la maturité actuelle (as-is), fixer de nouveaux objectifs (to-be), et définir un plan d’action (programmes/projets et priorités) pour améliorer les pratiques de cybersécurité.
  • Identifier, catégoriser et concentrer ses efforts sur les opérations, les services, les processus, les données et les systèmes critiques, les plus sensibles.
  • Surveiller et contrôler les nouveaux types de cyberattaques, exécuter régulièrement les tests opérationnels de sécurité.
  • Intégrer la dimension humaine (« human firewall ») à l’arsenal technologique (« firewall») pour développer une participation active, raisonnée et comprise des utilisateurs à la protection des actifs stratégiques de l’entreprise.
  • Accepter que la sécurité absolue n’existe pas, sortir du marketing de la peur, développer une nouvelle appétence au risque, libérer la créativité des collaborateurs pour innover et anticiper les évolutions rapides des menaces, des marchés, des besoins des clients.
  • Prendre les dispositions nécessaires pour détecter les tentatives d’accès suspectes, par exemple provenant de sites inhabituels.

Bénéfices attendus

  • Assurer le niveau de sécurité du SI et la continuité des activités.
  • Limiter les impacts négatifs d’une cyberattaque.

Gouvernance de crise - Gestion de crise

Cellule de crise

Lors de la mise en place de la cellule de crise, définir:

→ Son mandat

→ Ses rôles et responsabilités

→ Son fonctionnement (quand lui fait-on appel, la périodicité des réunions...)

→ Son reporting au Codir.

Rappeler ou présenter aux membres de la cellule de crise :

→ Les enjeux

→ Les types de risques et incidents

→ Les principaux indicateurs à suivre

→ Le plan de communication.

S’assurer que les contrats d’assurances couvrent bien les accès en télétravail et sinon procéder à leur révision et mise à jour.

Processus de gestion des risques et incidents

Définir et documenter de manière détaillée un processus de gestion des risques (ex : email phishing) et des incidents, notamment le processus de gestion des incidents doit montrer un lien avec la gestion des risques.

Former toutes les parties prenantes à son utilité et son utilisation.

Plan de communication

Si ce n’est pas déjà fait, établir un plan de communication :

→ Audience

→ Types de messages

→ Niveaux de détail des messages

→ Canaux de distribution

→ Périodicité.

Tenir un discours cohérent et de vérité :

→ Dire ce que l’on sait et ce que l’on ne sait pas, de la manière la plus positive possible

→ Reconnaître les responsabilités, les éventuelles erreurs d’appréciation commises

→ Expliquer les solutions, les options possibles pour sortir de la situation

→ Répondre clairement aux questions, avec empathie et d’une manière fiable, ne pas sacrifier la qualité de l’information au besoin de rapidité.

Privilégier une communication rapide, récurrente et directe (SMS), en plus des canaux habituels.

Les communications internes restent fondamentales mais elles doivent être complétées par des communications vers les pouvoirs publics (e.g. ANSSI, ARS) en :

→ Les informant de la stratégie interne de sécurité, avant de constater des incidents ou des menaces

→ Entretenant des relations continues avec eux pour, par exemple, être informé d’autres attaques perpétrées contre d’autres entreprises

→ Les informant des attaques, incidents ou menaces survenues dans votre entreprise.

Gestion des compétences critiques

Sécuriser les compétences techniques et veiller à la redondance des compétences critiques et externes (e.g. sous-traitants) pour :

→ Effectuer les interventions sur l’infrastructure (ingénieurs réseaux, sécurité télécom, architecture système, experts applicatifs...)

→ Mettre en place des roulements sur les compétences (en conservant des personnes disposant de privilèges élevés)

→ Organiser l’accès à la bonne information au bon moment.

Réévaluation des projets

S’assurer que les projets en cours intègrent bien la dimension cybersécurité.

Recommandations pour les utilisateurs

  • Activer l’authentification multi-facteur immédiatement.
  • Désactiver au plus vite tous les comptes des personnels qui ne font plus partie de l’entreprise.
  • Avoir un suivi quotidien des connexions et temps de connexion. Toutefois ceci doit être préalablement approuvé par les représentants des salariés à travers un accord.

Protection des données et des documents

  • Se prémunir contre les risques de vol, ranger et verrouiller les documents et les ordinateurs.
  • Prendre toutes les dispositions nécessaires pour que les données confidentielles ne soient pas accessibles à des tiers non autorisés.
  • Ne pas les partager entre PC pro et PC perso, les clés ou disques USB.

Protection des droits d’accès nominatifs/personnels

  • Ne divulguer à personne (responsable hiérarchique, équipe informatique, autre utilisateur) ses droits d’accès, ses données d’authentification et ses données confidentielles.
  • Respecter les directives de renouvellement des mots de passe.
  • Respecter les procédures face aux tentatives de fraude en cours (augmentation avérée des tentatives de fraudes au PDG, pas de changement de compte bancaire sans vérification approfondie, au service support, changement de compte fournisseur, etc.....) et prévenir ses clients, ce qui peut aussi être une opportunité de renouer des contacts.
  • Ne pas utiliser ou tenter d’utiliser le compte d’un tiers et s’interdire d’accéder ou de tenter d’accéder à des ressources ou des services informatiques sans habilitation explicite au risque d’engager sa responsabilité.

Protection des ressources et des services informatiques

  • Respecter et protéger les matériels et logiciels mis à sa disposition.
  • Respecter les mesures de sécurité mises en place par les responsables informatiques, et se conformer à leurs décisions.
  • Distinguer les usages Pro et Perso : ne pas installer de logiciel.

→ Sauf expressément autorisé par l’entreprise, pas d’usage personnel sur le matériel professionnel,

→ Si possible éviter l’usage professionnel sur matériel personnel sauf bureaux virtuels (ex : Citrix...) ou suite en ligne comme Office365, Google.

  • Utiliser systématiquement le VPN fourni par l’entreprise pour accéder aux applications hébergées au sein de l’entreprise.
  • Signaler sans délai tout dysfonctionnement ou incident de sécurité potentiel dans le cas du processus de gestion des risques et incidents.

Protection vis-à-vis des services Internet

→ Etre très vigilant concernant le phishing et entraîner les utilisateurs à l’identifier.

→ Vérifiez l’adresse mail émetteur et réponse. Quelques signes évocateurs : fautes d’orthographe, chaînes de lettres et de chiffres incompréhensibles, incohérence

entre les noms affichés et l’adresse e-mail (mail to),

→ Vérifier que les liens contenus dans le mail sont authentiques,

→ Passez votre souris au-dessus des liens et vérifier s’il pointe bien vers l’adresse du site annoncée dans le message,

→ Ne pas ouvrir les mails de personnes que vous ne connaissez pas

→ Éviter de se connecter à des sites suspects, éviter de télécharger des logiciels.

→ Eviter de stocker, de transférer ou partager des données sur des sites externes, mais uniquement en passant par des sites dont la sécurité a été préalablement vérifiée.

Recommandations pour la DSI

Recommandations selon les types de postes

Postes de travail physiques d’entreprises avec VPN :

→ S’assurer que la politique de MAJ de l’antivirus, des patchs windows, utilitaires, applications et des mots de passe soit bien appliquée,

→ Si pas possible, identifier le plan B (par exemple un retour sur le site pour mettre à jour les postes les plus critiques),

→ Intégrer la criticité du poste dans le plan B (paiements, ERP...), adapter le niveau de sécurité pour les postes et fonctions les plus critiques (gouvernance par les risques).

Postes de travail physiques d’entreprises sans VPN :

→ Adapter la politique d’administration des postes via l’Active Directory afin de permettre les mises à jour par Internet si le confinement se prolonge.

Postes de travail virtuels (Citrix...) d’entreprises, sur BYOD ou sur Chromebook :

→ Profiter de cette possibilité de virtualisation si elle est déployée sur les postes/fonctions les plus critiques.

Postes en BYOD qui accèdent à des applications Internet ou mobiles :

→ Activer l’authentification à 2 facteurs partout où c’est possible avec un code sur le téléphone portable (en liaison avec la DRH pour l’utilisation des mobiles personnels sur des fonctions critiques),

→ Applications critiques : accès chiffré obligatoire (https, VPN...), si pas possible revenir au bureau pour y accéder,

→ Applications non critiques : tolérances possibles.

Service desk et support aux utilisateurs

Renforcer quantitativement et qualitativement le service desk et le support aux utilisateurs pour faire face aux difficultés inhérentes au développement brutal du télétravail.

Mettre en place des actions de sensibilisation continue des utilisateurs (e.g. animation sécurité sur l’intranet, ... ).

Pour les entreprises multi-sites, mettre en place des correspondants sécurité de proximité au niveau d’un site ou d’un regroupement de sites de manière à soutenir les utilisateurs localement.

Recommandations thématiques

Cyberattaques

Redoubler de vigilance car c’est un moment privilégié pour les attaques.

Vérifier en temps réel l’absence d’attaques en cours sur les serveurs et sur les différentes couches des systèmes (Bios, OS, virtualisation, bases de données, utilitaires, applications...).

Définir en amont et faire appliquer les actions d’urgence en cas d’intrusion e.g. Isolement et coupure en cas de cryptolocker (rançongiciel).

Sauvegarde

Plus que jamais, vérifier et sécuriser les sauvegardes (OS, configurations, équipements de réseaux, sauvegardes de secours impérativement hors ligne permettant de remonter entièrement la configuration. Attention, en cas de crypto virus, les sauvegardes peuvent être corrompues depuis plusieurs mois.

Security Operations Center (SOC)

S’organiser pour gérer les alertes issues des SOC quand ils existent, par niveau de priorité, étudier la mise en place d’astreintes si elles ne sont pas en vigueur.

Infrastructures, Réseau et API

  • S’il existe plusieurs zones de confiance dans l’organisation, il peut être intéressant d’avoir des solutions de télétravail différentes pour chacune des zones. En fonction des résultats que l’on cherche à obtenir, on peut alors, au niveau des passerelles interzones, autoriser ou interdire facilement des accès habituellement autorisés sur un poste « normal ».
  • Gérer les débits en arbitrant les priorités (téléchargements lourds de nuit, horaires décalés pour les VPN, etc..) en fonction de la criticité des opérations.
  • Vérifier qu’il y a suffisamment d’accès VPN simultanés.
  • Accélérer la virtualisation des postes de travail pour éviter le plus possible l’utilisation du matériel personnel. En cette période de crise, éventuellement fournir un poste de travail professionnel aux employés en télétravail.
  • Vérification et maintien des mises à jour des patchs de sécurité et fonctionnels, de tous les éléments d’infrastructure (Systèmes, Réseaux, Sécurité, ...).
  • Vérifier les vulnérabilités liées aux API : quelles interfaces sont exposées et les sélectionner (toutes ne sont pas candidates en période de crise), ne pas partager toutes les données (fermeture de certains silos), revisiter l’accès à l’environnement humain (collaborateurs, prestataires, clients...) et aux infrastructures tierces.
  • Vérification des niveaux de maintenance et de support des fournisseurs des infrastructures.

Spécificités pour certains secteurs d’activité

  • Respecter les règles clés publiées sur esante.gouv.fr (organisation, sensibilisation, gestion des incidents).
  • Déclarer ses incidents de sécurité via le dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) du ministère des Solidarités et de la Santé.
  • Contacter la cellule d’accompagnement des structures de santé ACSS du ministère lorsque votre organisation est confrontée à un incident de cybersécurité provoquépar un rançongiciel.

Lien utile 

https://www.cybermalveillance.gouv.fr/cybermenaces/

Remerciements

Nous tenons à remercier les membres de la communauté Infortive qui ont contribué à l’écriture de ce livre blanc ainsi que Michel Raimondo (DSI de Transition).

Infortive, première communauté de DSI de Transition en France

Créée et animée par des DSI de Transition, Infortive regroupe des Managers de Transition experts dans la transformation des entreprises, des DSI et des Systèmes d’Information. Le métier de DSI reste difficile à appréhender car il est transverse, technologique, managérial et doit intégrer des mutations rapides et permanentes.Les DSI sont les mieux placés pour se challenger entre eux et s’ouvrir de nouveaux horizons. Dans le cadre des missions de transition pilotées par Infortive, le DSI en mission bénéficiera d’un accompagnement « miroir » (par un ou plusieurs de ses pairs).

Nous animons une académie du DSI de Transition

Communauté vivante de DSI de Transition passionnés, les DSI Infortive se réunissent régulièrement pour partager leurs expériences et les résultats d’une veille constante, échanger sur les meilleures pratiques et s’entraider sur des cas particuliers. Dans l’optique d’une montée en compétences continue, nous organisons des ateliers d’entraînement et de traitement de cas, et animons des commissions chargées de détecter les meilleurs retours d’expérience (dans le respect de la confidentialité).

"Seuls des DSI peuvent challenger des DSI."

Vous avez accès à une multitude de spécialistes

Faire appel à Infortive, c’est donc bénéficier de la force de l’expérience et de l’intelligence collective de DSI de Transition avec plusieurs décennies d’expérience et des spectres d’intervention très variés. C’est également la garantie d’un DSI « support » qui fournira un accompagnement sur-mesure au DSI de Transition en mission. Au-delà de la simple logistique de la mission, rien n’est laissé au hasard : choix d’architectures, sélection de solutions logicielles, management… Infortive fournit un accompagnement taillé sur mesure aux enjeux de votre transformation.

Nous recherchons l’innovation qui vous apportera de la valeur

La plus grande préoccupation d’Infortive est de créer de la valeur chez les clients. Au-delà de la simple amélioration de méthodes, nous nous focalisons sur la recherche et la proposition d’innovations qui feront la différence (profiter d’un carve-out pour sortir de l’ERP figé, revoir l’architecture pour systématiser les APIs…).

Une offre basée sur l’efficacité opérationnelle

Notre offre pragmatique couvre toutes les étapes d’une transformation :En amont, un audit flash pour donner aux dirigeants une vue à 360° pour améliorer le Système d’Information et la performance de la DSI.Une panoplie complète de missions de transition, tant en situation d’intérim, de transformation, de retournements, de gestions de crise, de fusions et de scissions...Aspect trop souvent négligé dans les projets de transformation, Infortive fournit également un appui aux DSI en place pour structurer leurs équipes et recruter sur les postes clés (directeur de production, architecte, PMO…).

Je cherche un Manager de Transition IT

Expression du besoin par le client dans les 24h

Enrichissement du besoin par les experts d’Infortive

Rédaction net validation de la lettre de mission

Identification des managers de transitions les plus adaptés en 48h

Présentation chez le client ou chez Infortive des managers de transition

Recommandations d’Infortive sur le choix des candidats

Appropriation par la manager de transition des objectifs

Définition de la communication autour de la mission

Démarrage de la mission

Suivi de la mission par un directeur de mission et mise en place d’un planning de suivi de la mission

Rapport d’étonnement à 3 semaines et réalignement des objectifs

Bilan de fin de mission

a close up of a circle with an arrow pointing to the center
a close up of a circle with an arrow pointing to the center
D'autres
Livres blancs
Livres blancs
Comment améliorer la performance de ma DSI ?

Cet article, écrit par des Managers de Transition IT & Digitaux, explique comment rendre la DSI plus agile en changeant son comportement pour l’accélérer.

Tous
Livres blancs
Les écueils de l’infogérance en 10 points

Focus pour DSI sur les principaux écueils rencontrés dans la constitution d’un appel d’offres d’infogérance (primo accédant ou renouvellement) puis dans sa mise en œuvre

Tous