Facebook EmaiInACirclel
Stratégie

À la recherche du maillon faible : objectif sécurité numérique en 2022

Logan Fernandez
Logan Fernandez
Chief Security Officer

Vous ne le saviez peut-être pas, mais la force d’une chaîne est la force de son maillon le plus faible. Et de multiples statistiques ces dernières années ont mis en évidence le fait que dans la grande chaîne de la sécurité numérique, le facteur humain est ce maillon le plus faible. Vous aurez beau construire une forteresse, si quelqu’un laisse les portes s’ouvrir, alors qu’elles ne le devraient pas, vous perdez du temps et de l’argent.

sécurité numérique

Comment atteindre une sécurité acceptable ?

Mon objectif majeur n’est pas d’atteindre le plus haut niveau de sécurité ; il est de servir l’intérêt de l’entreprise et donc de sécuriser le business, celui de nos clients et celui de Pentalog, dont les destins sont mécaniquement liés. Pour y parvenir, il faut blinder le bateau à bâbord et à tribord.

> À bâbord, comprendre en profondeur les mécaniques internes de Pentalog. C’est-à-dire travailler en étroite collaboration avec toutes les équipes, tous les métiers, tous les pays, pour identifier un niveau de sécurité sur mesure à la fois acceptable et vecteur de performances. Je dois travailler avec tous les membres du CODIR pour que la sécurité devienne leur sujet, pas uniquement le mien. Le but ici n’est pas de générer des revenus, mais d’économiser de l’argent, ce qui n’est pas évident à mesurer. Car on peut déterminer précisément le coût de la sécurité, mais on est rarement capable de déterminer quel en est le bénéfice. Si je fais bien mon travail, il ne se passera peut-être rien pendant un an. Mais corrélation n’implique pas causalité, et ce n’est pas parce que rien ne se passe que je fais bien mon travail. Peut-être que nous n’aurons simplement pas été ciblés dans l’année. L’un de mes objectifs est donc de déterminer une mesure de succès du niveau de sécurité interne.

> À tribord, il s’agit de ce que Pentalog propose à ses clients en termes de sécurité numérique. Ici, nous voulons nous concentrer spécifiquement sur deux services : Les SecOps et les Pentests. Nous mettons déjà à disposition de nos clients des équipes de projet aux compétences riches et variées. En ajoutant désormais de façon systématique une personne ayant des compétences en sécurité, nous intégrons la notion de sécurité dans la feuille de route de développement. C’est ce que nous appelons « la sécurité-by-design ». Cela consiste à faire travailler avec les développeurs un ingénieur sécurité qui vérifie quotidiennement que le code produit est conforme aux bonnes pratiques de sécurité. Ce contrôle est effectué avant la mise en production de l’application.

Une fois l’application en ligne, nous devons nous assurer que la logique de développement appliquée avant la mise en production ne donne pas lieu à des comportements nouveaux. C’est lors de cette étape que sont effectués les tests d’intrusion (ou Pentest), qui permettent de définitivement sécuriser le projet dans les conditions du réel.

SecOps et Pentests sont les deux faces d’une même pièce, indivisibles et essentielles à la pérennité de la production.

Vous voulez en savoir plus ? Découvrez Logan Fernandez et son approche de la sécurité informatique en regardant cette vidéo.

Quatre types de tests d’intrusion pour vous sécuriser !

  • Evaluation : En deux jours, on vérifie rapidement qu’il n’y a pas de vulnérabilités visibles. Comparons notre application à une maison : l’évaluation consisterait à faire le tour de la maison, pour s’assurer qu’aucune fenêtre n’est ouverte. Si une fenêtre est ouverte, nous nous arrêtons là et le signalons immédiatement.
  • Boîte noire : Cela implique d’attaquer l’application en vous mettant dans la position d’un attaquant qui ne dispose d’aucune information ou identifiant de connexion pour l’application. Il s’agirait de faire le tour de la maison pour s’assurer qu’aucune fenêtre n’est ouverte. En cas de fenêtre ouverte, nous entrerons dans la maison pour voir si nous pouvons atteindre d’autres pièces et trouver des objets précieux. Lorsque nous le faisons, nous le signalons immédiatement, avec des recommandations de résolution.
  • Boîte grise : La pratique de test la plus courante consiste à effectuer un audit de 2 semaines combinant Evaluations, Boîte Noire et Boîte Grise. Dans ce dernier cas, on se met dans la situation d’un attaquant qui dispose des identifiants de connexion à l’application. Toujours dans notre comparaison, l’attaquant aurait les clés de la maison, obtenues soit volontairement (par un employé par exemple, le fameux “maillon faible”) soit involontairement (un vol), et ferait irruption dans la maison pour tenter de voler des objets de valeur, peut-être stockés dans des pièces fermées à clé, ou des coffres-forts personnels.
  • Boîte Blanche : Cela consiste à partager le code source de l’application avec une équipe différente de celle qui l’a développée, pour obtenir un double contrôle du niveau de sécurité de l’application au niveau du code lui-même.

Mais la sécurité numérique ne doit pas se concentrer uniquement sur les équipes techniques

Plus une entreprise a du succès, plus elle génère de revenus. Plus elle génère de revenus, plus elle devient visible. C’est pourquoi Il est essentiel de pouvoir identifier non seulement le niveau de sécurité suffisant pour se conformer aux réglementations applicables (RGPD, e-Privacy, PCI-DSS, etc.), mais aussi d’assurer la continuité du business.

On parle alors de gouvernance de la sécurité, qui permet d’établir des objectifs de sécurité mesurables et de les traduire en plans d’action concrets, qui ont un impact sur toutes les activités. Il s’agit de construire un plan de gestion des risques et de rédiger des politiques de sécurité qui constituent le socle de la démarche de Gouvernance de la Sécurité. Ces politiques encadrent les différents métiers, qui peuvent s’appuyer sur eux pour intégrer la sécurité dans tous les projets (politique de gestion des mots de passe, charte informatique, politique de gestion des accès, des droits, etc.).

Mais le plus important, après toutes ces étapes, est de revenir au maillon faible : l’humain. Il faut sensibiliser les salariés par tous les moyens, de façon régulière et pédagogique. Il faut que le CODIR fasse de ce sujet une routine non négociable. Le but est d’élever le niveau général de maturité en matière de sécurité, pour que cela ne reste pas le dossier technique d’un empêcheur de travailler en rond, mais bien le socle élémentaire de réussite et de pérennité du business, pour l’avenir de tous.

Vous voulez en savoir plus ? Découvrez Logan Fernandez et son approche de la sécurité informatique en regardant cette vidéo.


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.