La fin de l’année ouvre toujours la saison des prédictions pour 2019 ! Cet exercice, certes convenu, est tout de même l’occasion de prendre le temps de réfléchir à l’année écoulée et aux priorités à venir.
2018 a évidemment vu s’élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (LPM, NIS) ou sectorielles (NYS DFS, HKMA, MAS…) ont également rythmé l’année.
Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :
- Le maintien des ransomware en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;
- La multiplication des incidents de plus faible intensité que les ransomware massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;
- Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques MageCart touchant le cœur du fonctionnement des sites Internet.
Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.
Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2…), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes : l’agilité, le cloud et l’API-fication des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.
Les 3 axes de la révolution du SI en 2019
Agilité : plus réactif, plus rapide, plus simple
Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité. Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.
Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les Feature Teams pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des Product Owners portant des services de sécurité apparaîtront pour délivrer de la cybersécurité as a service au sein de l’organisation.
Cloud : sécurisé par défaut, multiple, automatisé
Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le Cloud-first, voire pour nos clients les plus avancés le Cloud-Only. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’Active Directory.
Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.
Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.
Le cloud, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, MFA, Identity Governance, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le cloud. Le multicloud basé sur 2 fournisseurs deviendra une priorité pour permettre la continuité des services.
API-fication : de multiples nouvelles portes d’entrée pour le SI
Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation DSP2, l’API-fication touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.
Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si l’API-fication pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme Google ou Facebook parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.
Si le RSSI veut reprendre en main le terrain de jeu de l’API-fication, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.
Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences
Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :
- Refondre la PSSI et la gouvernance. Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le cybersecurity framework du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;
- Revoir en profondeur les processus d’intégration de la sécurité dans les projets. Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS Risk Manager» par une approche combinant conformité et scénarios d’attaque ;
- Anticiper et s’adapter à une pénurie de talent récurrente. Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le cloud, l’instauration d’un cadre fort instaurant les principes de security by design permettront des limiter les efforts. De même, la création d’offres de services sécurité, le near voire offshoring pour des services standardisés peuvent être des solutions.
Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’empowerment (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.
Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI
- La cyber-résilience bâtie sur le cloud : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;
- Le SOC est mort, vivent les Fusion Centers regroupant des savoir-faire techniques et métiers, permettant d’appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de machine learning, le SOC pourra détecter les attaques plus finement et plus rapidement ;
- Le début de la fin pour les mots de passe : des initiatives comme le 0-password, le déploiement de FIDO2, la biométrie dans le cadre du 2FA ou encore la généralisation des coffres-forts permettent de l’envisager ;
- L’IA et le machine learning représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement…) dans les projets métier incluant de l’IA ;
- Les tiers et les fournisseurs sous microscope : de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme CyberVadis ou Risk Ledger abordent ce problème sous un angle neuf.
Faire de la sécurité un différenciateur vis-à-vis des clients de l’entreprise
Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.
En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le core-business.
Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :
- L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;
- Les opérateurs télécom, dont certains promeuvent leur nouvelle box avec des services de cybersécurité comme la détection de vulnérabilités ;
- Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.
Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.
Alors pourquoi pas vous ?