Rechercher
Fermer ce champ de recherche.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

23/11/2022

Cybersecurity Insights

Intelligence économique stratégique et Cybersécurité : La vision des RSSI

Aujourd’hui plus que jamais, la sécurité des systèmes d’information et l’Intelligence économique stratégique entretiennent des liens évidents. Ces deux expertises ont pour but d’augmenter la maturité et la résilience des entreprises face aux nombreux risques. Identifier, cartographier et défendre son patrimoine informationnel est en passe de devenir un axe stratégique dans bon nombre d’entreprises.

Le patrimoine informationnel est constitué de l’ensemble des données stratégiques d’une entreprise. Elles ne peuvent conserver leur valeur que si elles sont protégées (confidentialité, disponibilité, intégrité) où qu’elles se trouvent. Au-delà du système d’information, avec la gestion du patrimoine informationnel, c’est une vision plus globale qui est proposée : celle de la protection globale de l’Information, comprenant la SSI.

Un sondage a été soumis aux RSSI membres du CESIN, issus de grandes entreprises et administrations françaises, afin d’identifier leur positionnement par rapport aux enjeux de protection du patrimoine informationnel.

Quel est le niveau de maturité du processus de gestion du patrimoine informationnel de votre entreprise ?

Ils ont été 148 à avoir répondu à ce questionnaire.

60% d’entre eux indiquent s’être emparé du sujet :

  • 19,5% ont identifié et cartographié le patrimoine informationnel de l’entreprise ;
  • 10% connaissent les menaces et ont mis en œuvre des mesures pour le protéger ;
  • 24% ont mis en place une coordination par les acteurs de la gestion du patrimoine (gestion des risques, protection des données, gestion de crise) ;
  • 6% ont formalisé la stratégie de gestion du patrimoine informationnel et l’ont intégrée à la roadmap.
  • Et près de 40% à n’avoir rien fait à ce sujet

Intégrer ces enjeux dans une stratégie globale de sécurité de l’information devient aujourd’hui une étape incontournable. Malgré une prise de conscience importante des besoins de protection de l’information, l’approche reste encore trop souvent centrée sur la sécurité du système d’information et on constate un faible niveau de maturité sur la sécurité de l’information dans sa globalité.

A la lecture des résultats de cette consultation, la majorité des répondants (40%) a indiqué n’avoir pas encore pris le sujet tel que présenté dans le sondage. L’intégration de la gestion du patrimoine informationnel comme exigence de sécurité est encore trop peu adoptée par les entreprises dans une société entrée depuis longtemps dans l’ère de l’information. Seulement 6% des répondants disposent d’une stratégie de gestion de leur patrimoine informationnel intégrée au sein d’une roadmap alignée avec la stratégie SSI.

Force est de constater la cohérence entre le nombre d’attaques aboutissant à une compromission d’informations et la non-gestion du patrimoine informationnel. L’une des conséquences de cet état de fait est que : les mesures de protection mises en œuvre au niveau du système d’information ne sont pas toujours adaptées à la menace qui pèse sur les informations et ne permettent pas d’en empêcher efficacement la compromission par des pratiques réalisées hors du SI.

Il est important de garder à l’esprit que cette étude a été réalisée uniquement auprès de RSSI. Les résultats pourraient différer si les interrogés avaient des fonctions dans des services Risques, Stratégie, Intelligence économique, etc. Néanmoins, ces résultats traduisent tout de même le manque de synergie entre les différents acteurs de la sécurité de l’information.

Seuls 24% des répondants ont mis en place un dispositif de coordination entre les différentes parties prenantes en charge de la sécurité de l’information au sein de l’entreprise afin de gérer efficacement la protection du patrimoine informationnel. Une instance de l’entreprise pourrait être chargée de partager, alerter et alimenter la prise de décisions au plus haut niveau de la Direction pour la sécurité du patrimoine informationnel dont le système d’information est une brique fondamentale.

Seulement 19,5% des répondants ont indiqué avoir identifié et cartographié leur patrimoine informationnel, de manière formelle ou informelle, et ainsi disposent :

  • d’une identification de leurs actifs immatériels
  • de la localisation de ces actifs dans le système d’information
  • du recensement des flux par lesquels les actifs transitent
  • du recensement des utilisateurs de ces actifs ayant le besoin et/ou le droit d’en connaître
  • d’une classification de ces actifs (en termes de valeur)
  • d’une vue d’ensemble permettant de définir le niveau de protection adéquat

Les enjeux stratégiques pour l’entreprise sont multiples puisque cette identification permet de valoriser et de protéger en conséquence toutes les composantes de son patrimoine informationnel. A cet égard, cela permet notamment de prendre des décisions stratégiques à la fois sur le business, sur les projets, mais aussi d’identifier plus facilement les risques et de gérer plus efficacement les crises pouvant affecter le patrimoine informationnel de l’entreprise.

Par ailleurs, seulement 10% des répondants ont indiqué connaître la menace pesant sur leur entreprise et avoir en réponse mis en œuvre des mesures de protection. Le pilotage des risques d’une entreprise passe par la connaissance fine des menaces auxquelles elle doit faire face. Les informations relevant de la Cyber Threat Intelligence (CTI) permettent de construire une image contextualisée de la Menace et de déterminer les mesures à mettre en place pour prévenir, détecter, gérer de manière efficace une attaque et définir un budget le plus adapté aux besoins réels. Il serait alors bon d’orienter la collecte d’information sur la menace afin de prendre en compte celles pesant sur le patrimoine informationnel de l’entreprise sans se limiter à ses systèmes d’information.

Même pour ceux qui ont engagé des travaux, une des difficultés demeure dans le maintien à jour de la cartographie du patrimoine informationnel de l’entreprise et de l’évaluation régulière du paysage de la menace, pour s’assurer que les mesures afférentes soient toujours pertinentes et adaptées.

Almond propose un accompagnement pour mettre en œuvre une synergie entre la gestion du patrimoine informationnel et la sécurité informatique. Les principales étapes de cet accompagnement :

  • La réalisation de la cartographie des actifs immatériels, en bonne intelligence et point d’entrée des cartographies à l’état de l’art préconisé par l’ANSSI,
  • Une analyse de risque par le prisme de la Cyber Threat Intelligence
  • Une gouvernance clé en main pour le pilotage de ces risques
  • La formalisation d’une stratégie de protection du patrimoine informationnel à intégrer à la roadmap globale de l’entreprise.

A propos du CESIN

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la cybersécurité.

Lieu d’échange, de partage de connaissances et d’expériences, le CESIN permet la coopération entre experts de la cybersécurité et entre ces experts et les pouvoirs publics. Il participe à des démarches nationales et est force de proposition sur des textes réglementaires, guides et autres référentiels.

Le CESIN compte parmi ses membres plusieurs organismes et institutions, comme l’ANSSI, la CNIL, la BEFTI, la Gendarmerie Nationale, l’ANJ, le Cercle Européen de la sécurité, ACYMA (cybermalveillance.gouv.fr), l’AFAI, l’EBG, le CyberCercle ou encore l’EPITA.

Le CESIN compte plus de 800 membres issus de tous secteurs d’activité, industries, Ministères et entreprises, dont CAC40 et SBF120.

Liens utiles

Albane GIROLLET

Consultante Governance, Risks & Compliance

Chloé GREDOIRE

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.

Jour 5 : CTF #1 de l'avent

On complexifie le jeu pour ce jour #5 ! Notre équipe CERT vous propose aujourd’hui un petit challenge CTF à résoudre avant demain matin ! 

Retrouvez le challenge ici !

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Laïus explicatif : Le ransomware à triple extorsion est comme son nom l’indique une attaque durant laquelle les cybercriminels menacent de trois façons différentes leur victime.

  1. L’attaquant va demander une rançon à la victime pour qu’il puisse récupérer/déchiffrer ses données
  2. L’attaquant va demander une rançon pour ne pas publier / divulguer les données exfiltrées, il peut aussi demander une rançon pour un délai supplémentaire avant divulgation (retarder le compte à rebours)
  3. L’attaquant va mettre la pression à la victime pour augmenter les chances de paiement de la rançon via des attaques de type DDoS ou des appels téléphoniques, enfin il peut aussi demander des rançons aux victimes collatérales, dont les données auraient fuité indirectement dans l’attaque

Ce type d’attaque permet aux attaquants de maximiser le gain financier pour chaque victime, le ransomware étant déjà l’une des attaques les plus lucratives, il convient d’anticiper ce scénario et de s’en protéger convenablement.

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/