L’importance d’intégrer la cybersécurité dès la conception
De nombreuses organisations doivent composer avec un existant, le fameux “legacy”.
Lors d’audits de sécurité, de tests d’intrusion ou à la suite d’incidents, il est souvent nécessaire de rehausser le niveau de sécurité de manière réactive.
Ces mises à niveau ont des impacts concrets, que nous allons détailler ci-dessous.
La mise à niveau
Le temps et la mobilisation des équipes.
La mise à niveau de la sécurité d’un composant (par exemple une application web ou un serveur) intervient souvent dans un contexte réactif où les équipes qui ont intégré le composant dans le SI ne sont plus dédiées au composant lui-même. Ainsi, dans un contexte où des mesures de sécurité doivent être appliquées en urgence, les équipes qui ne sont plus mobilisées sur ce composant doivent être mobilisées à nouveau, au détriment d’un autre projet. Cela peut créer des retards dans les objectifs de l’entreprise.
En tant que RSSI, la négociation auprès de la direction est plus rude lorsqu’on doit rediriger les ressources de l’entreprise vers un composant existant. Cela freine la croissance de l’entreprise à court terme. Il est ainsi nécessaire de faire comprendre que cet investissement permet de maintenir le niveau de croissance actuel de l’entreprise.
Il ne faut pas oublier que la remobilisation des équipes sur un composant nécessite un temps de réapprentissage. En effet, les sachants ne font peut-être plus partie de l’entreprise, ou encore la documentation laisse à désirer. Cette déconvenue peut décourager les équipes, ce qui joue contre l’incentive relative aux talents.
L'impact financier
Comme vu précédement la remobilisation a un impact financier, en effet les ressources doivent mobiliser pour une mise à niveau. Le cout intervient sur le temps engagé par les équipes pour le réapprentissage, l’application des mesures de sécurité puis la mise en production.
Les coût intervient également sur l’achat de produit ou le renouvellement de licence, en fonction du contexte, les mesures de sécurité nécessite une élevation des coût de licence, ou encore l’achat d’un outil agnostique au composant pour élever le niveau de sécurité, comme par exemple un scanner de vulnérabilité.
Même en cas d’approche proactive l’impact financier est existant, mais en réactif, il est parfois nécessaire de repenser des éléments technique du composants (par exemple intégrer un scanner de vulnérabilité dans une chaine de développement, cela nécessite d’adapter la chaine de développement et de modifier les processus, c’est un surcoût dans ce cas puisqu’on retouche à ce qui à déjà été investi).
L'augmentation de la complexité technique
Augmenter le niveau de sécurité dans un environnement legacy peut nécessiter un empilement de mesures visant à couvrir les problèmes structurels liés à l’architecture du composant. En effet, à la suite d’un constat, reconstruire un composant peut être judicieux afin d’obtenir un niveau de sécurité optimal. Cependant, la sécurité seule comme argument ne suffit généralement pas. Ainsi, des mesures techniques et organisationnelles sont mises en place pour corriger des défauts intrinsèques au composant, ce qui peut conduire à une complexité accrue au lieu d’opter pour sa reconstruction.
Difficulté à prioriser
En mode réactif, les décisions sont souvent prises sous pression, sans analyse de risques approfondie. Les actions correctives sont alors guidées par l’urgence ou par la visibilité du problème, plutôt que par son impact réel sur le système d’information. Cette absence de priorisation structurée peut conduire à traiter des risques secondaires tout en laissant subsister des vulnérabilités critiques.
Gouvernance fragilisée
Les mesures prises dans l’urgence renvoient une image négative de la gouvernance cyber de l’organisation. En effet, il n’est pas rassurant de voir une entité agir dans l’urgence et la réaction pour faire face à des problèmes de sécurité.
L'intégration de la sécurité dans les projets
La solution tient en trois lettres : l’ISP, l’intégration de la sécurité dans les projets. Les projets doivent avoir des critères de qualité, par exemple l’environnement, l’optimisation des coûts ou des critères propres au contexte de l’entreprise, et la sécurité doit être un critère de qualité que les projets doivent prendre en compte.
Gouvernance structurée
Une gouvernance structurée est nécessaire pour disposer d’une procédure d’ISP claire et cohérente. Selon les entreprises, la démarche ISP s’instruit avec des nuances : certaines imposent des analyses de risques sur chaque projet, d’autres listent des exigences de conformité plus ou moins rigides, et certaines entités adoptent une approche hybride. Il n’y a pas de bonne ou de mauvaise situation… pour une gouvernance.
L’important est que l’ISP soit structurée et cohérente par rapport à votre gouvernance. En effet, l’intégration de la sécurité dans les projets est une règle qui doit être définie dans votre PSSI.
Mais si vous n’avez pas encore construit de gouvernance cyber, pas de panique. En attendant, vous pouvez simplement imposer un audit dans vos projets, basé sur un socle reconnu tel que le guide d’hygiène de l’ANSSI. Cela tombe bien : vous pouvez réaliser un audit gratuitement sur l’application LASEC : Je démarre mon audit.
Processus entreprise
Pour intégrer l’ISP, il est nécessaire d’avoir établi les règles de cette démarche (nous vous présentons deux approches dans le présent article). Une étape particulièrement complexe consiste ensuite à intégrer l’étape sécurité dans votre organisation.
En effet, il sera nécessaire d’intégrer les étapes de l’ISP dans les projets. Ainsi, les équipes doivent être mobilisées et aucune ne doit passer sous le radar. Cela paraît simple, mais en fonction de votre contexte, cette étape peut être terriblement complexe.
Les responsables doivent être sponsors de la démarche : c’est la première étape. Sans eux, il est presque impossible de parvenir à une démarche structurée et pleinement appliquée. Les responsables doivent comprendre la démarche, être en accord avec les objectifs et décliner ces objectifs auprès des équipes.
Surtout, il est important de fixer des objectifs concrets aux équipes, puisque, pour beaucoup, la sécurité ne leur apporte rien directement sur le plan individuel.
La check-list
Dans les organisations, il existe ce que l’on appelle une politique de sécurité des systèmes d’information. L’objectif principal de ce document est de définir les règles de sécurité que les composants du système d’information doivent respecter. Ainsi, dans une démarche d’ISP, décliner les règles de la PSSI constitue une approche cohérente.
L’avantage de la checklist est qu’elle est simple à mettre en place et qu’elle permet de ne pas oublier certaines règles. Cependant, la réalisation de cette checklist nécessite de mobiliser les équipes ainsi que les acteurs de la sécurité, car la compréhension des questions peut varier en fonction des profils autour des projets.
L'analyse de risques
La cybersécurité est optimisée avec l’approche par les risques. Intégrer l’analyse des risques dans les projets est cohérent, puisqu’elle va permettre, dès le départ, d’intégrer des indicateurs liés aux risques cyber du projet, d’identifier les mesures de sécurité et de les prioriser en fonction des risques qu’elles traitent.
En réalisant l’analyse des risques, le consultant responsable de l’analyse va piocher principalement ses mesures dans la PSSI, puisque c’est le document de référence qui impose les règles de sécurité que le composant doit respecter. Ainsi, pour rester cohérent avec la gouvernance de l’entreprise, s’appuyer sur les règles définies dans les politiques de sécurité de l’entreprise constitue une bonne approche, mais pas seulement.
Chaque projet a ses spécificités, et c’est là que l’analyse des risques fait la différence avec un simple contrôle de conformité aux politiques. En effet, l’analyse des risques permet d’aller plus loin dans les mesures de sécurité, car certains risques seront spécifiques au projet.
Cependant, l’analyse des risques apporte également une contrainte : elle est coûteuse. En effet, elle demande beaucoup de temps au consultant et nécessite de mobiliser les métiers dans des ateliers. C’est un aspect non négligeable, « simplement » pour identifier des tâches à effectuer.
L'approche hybride
L’approche hybride consiste à adapter la démarche en fonction de la criticité des projets dans l’entreprise, en adoptant différents niveaux de contrôle, allant de la checklist jusqu’à l’analyse des risques.
Le risque avec cette méthode concerne les critères de criticité. Il est important de disposer de critères de sécurité complets. Un risque de latéralisation spécifique à un composant, initialement identifié comme non critique, pourrait alors impacter un composant critique.
Pour les projets critiques au sens cyber, l’analyse des risques permet d’aller plus loin dans l’identification des mesures de sécurité.
En théorie, réaliser une analyse des risques cyber pour chaque projet constitue la meilleure approche, mais elle apporte également son lot de contraintes.
Et ensuite
Un biais qui pourrait être dévastateur est le « tampon sécurité » lors de l’étape security by design, le produit peut voir son niveau de sécurité se dégrader au fil du temps en raison de son évolution. Des critères doivent être déterminés afin de déclencher à nouveau la procédure d’ISP, tels que des évolutions majeures, l’écoulement du temps ou la survenue d’un incident.
L’approche ISP est également très bénéfique pour votre gouvernance. En effet, les technologies et les cyberattaques évoluent, et les consultants ISP peuvent identifier et remonter des mesures qui viendront alimenter votre politique de sécurité des systèmes d’information.
Avec LASEC
Avec LASEC, vous pouvez démarrer votre gouvernance cyber en créant votre PSSI. Puis, grâce à notre outil, vous pouvez réaliser des analyses de risques ou encore des audits, le tout basé sur des socles reconnus dans le secteur de la cybersécurité.
Vous pouvez réaliser gratuitement votre première analyse de risques ou un audit basé sur le guide d’hygiène de l’ANSSI ou le ReCyF, la transposition française du NIS2.
