Guide de cybersécurité E-Book

YANN PILPRÉ

LE GUIDE DE LA CYBERSÉCURITÉ

POUR LES

PRESTATAIRES INFORMATIQUES

Préface de Guy Flament

Tous droits de reproduction, d’adaptation et de traduction, intégralement réservés pour tous les pays.

L’auteur est seul propriétaire des droits et responsable du contenu de cet ouvrage.

Le Code de la propriété intellectuelle et artistique n'autorisant, aux termes des alinéas 2 et 3 de l'article L.122-5, d'une part, que les “copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective” et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, “toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause, est illicite” (alinéa 1er de l'article L. 122-4). Cette représentation ou reproduction, par quelques procédés que ce soit, constituerait donc une contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.

© 2023 Yann PILPRÉ

Tous droits réservés

ISBN : 978-2-3224-7984-9

Édition : BoD – Books on Demand, Norderstedt

À propos de l’auteur

Yann PILPRÉ est président de YPSI SAS, entreprise de services numériques spécialisée dans la cybersécurité, la performance, la supervision et “Expert Cyber” depuis 2021. Il a été successivement responsable des systèmes d’information dans plusieurs structures comme Carl Zeiss, Barry Callebaut, Le Parc du Futuroscope puis Loeul et Piriot.

Il est certifié par l’ESIC en élaboration de politiques de cybersécurité et de l’ESCP en pilotage de projets innovants. Yann a aussi contribué à la réalisation du Référentiel de Compétences Cyber pour les Prestataires au sein d’un groupe de travail du Campus Régional de Cybersécurité et de Confiance Numérique de Nouvelle-Aquitaine.

PRÉFACE

Nul ne le conteste, les enjeux de cyberdéfense relèvent de la compétence régalienne de l’État. Est-ce à dire qu’il doit faire face, seul, à la menace ? Ayant passé quelques années au sein de l’Agence nationale de sécurité des systèmes d’information, Autorité nationale de défense des systèmes d’information et participé à la mise en œuvre du déploiement des délégué régionaux, je suis depuis longtemps persuadé que nous devons tous être acteur, chacun à notre niveau, de la cybersécurité de nos territoires.

Au premier plan de ces acteurs se trouvent les prestataires informatiques, sur lesquels reposent le plus souvent la sécurité de nos organisations régionales. Organisations sur lesquelles la pression s’est considérablement renforcée, de manière conjointe avec le rehaussement de la protection des plus gros opérateurs. Les attaquants tentent aujourd’hui de remonter la chaîne de sous-traitance en s’attaquant aux maillons les plus faibles.

Dans ce contexte, combiné à l’évolution des outils, techniques et modèles d’attaque, liée à l’industrialisation des moyens mis en œuvre par les groupes d’attaquants, les prestataires informatiques doivent impérativement renforcer leurs compétences en cybersécurité pour protéger notre tissu socio-économique.

Pour les y aider, il semblait essentiel de créer les repères nécessaires, afin de leur offrir un accompagnement vers le développement de ces nouvelles compétences.

C’est dans cet esprit que le Campus Cyber Nouvelle-Aquitaine, avec le GIP ACYMA (Cybermalveillance.gouv.fr), l’AFNOR et le concours de l’ANSSI a publié le référentiel de Compétences Cyber pour les prestataires, en mars 2023.

Complémentaire au référentiel, le présent guide vise à éclairer, avec méthode, le chemin à parcourir. Structuré et concis, il permettra à tous les prestataires de se familiariser avec les principaux concepts et outils nécessaires à l’élévation de la sécurité numérique des organisations qu’ils accompagnent.

Ce guide est le fruit de l’engagement de la société YPSI, membre du Campus cyber Nouvelle-Aquitaine et surtout de son dirigeant, Yann Pilpré, comme moi animé de la volonté de faire de notre région un territoire de confiance numérique.

Guy FLAMENT

Directeur du Campus régional de cybersécurité et de confiance numérique de Nouvelle-Aquitaine.

Présentation du Guide

La pandémie de COVID-19 a conduit les organisations à se transformer rapidement sur le plan numérique. Cependant, cette transition n'a pas toujours été suivie d'une sécurisation adéquate des infrastructures et d'un accompagnement par des prestataires compétents en cybersécurité, surtout dans un contexte géopolitique instable avec des crises économiques importantes.

Pour répondre à cette problématique, la création du label “Expert Cyber” a été mise en place par la plateforme cybermalveillance.gouv.fr, permettant aux organisations d'identifier des prestataires qualifiés pour sécuriser leurs systèmes et les assister en cas d'attaque. Malgré cela, la pénurie de compétences en cybersécurité a nécessité la mise en place de nouvelles mesures pour augmenter le nombre de spécialistes dans ce domaine.

Ainsi, établi sur le cadre méthodologique du NIST CSF1, un référentiel de compétences cyber pour les prestataires, couvrant les cinq activités principales de la cybersécurité et regroupant une cinquantaine de domaines de compétences pour les prestataires s'adressant aux TPE-PME, a été conçu par le Campus régional de cybersécurité et de confiance numérique de Nouvelle-Aquitaine2, l’AFNOR3, Le GIP ACYMA4 et l’ANSSI5.

Les prestataires informatiques peuvent alors faire monter leurs équipes en compétences pour atteindre le niveau adéquat en cybersécurité et répondre aux besoins de leurs clients.

Ce guide va vous permettre d'appréhender la cybersécurité à travers le cadre NIST CSF et ses différentes étapes, mais également aborder la cybersécurité par la pratique dans une vision Attaque/Défense, complétée par un aperçu de la réglementation en France.

Note de Lecture

Le terme “organisation” a été préféré à “entreprise” dans l’ouvrage pour faciliter la lecture et l’adaptation aux structures privées, publiques ou associatives.

Le terme “prestataire” dans l’ouvrage désigne un acteur économique qui délivre des services d’intégration, d’installation ou de support dans le domaine informatique pour ses clients.

Certaines informations techniques et juridiques ont pu évoluer depuis la rédaction et la publication de ce guide (avril 2023). Veuillez vous reporter aux informations officielles des organismes ayant autorité sur la cybersécurité en France (ANSSI, CNIL6, cybermalveillance.gouv.fr) en cas de doute.

Échelle de Compétences des Prestataires

Maîtriser toute la chaîne de protection en cybersécurité demande un effort important pour le prestataire informatique et ce guide est fait pour vous aider à progresser dans cette démarche. L’objectif étant de vous familiariser avec plusieurs concepts pour atteindre le niveau “expérimenté” et vous faire labelliser en tant qu’”Expert Cyber”. Cela demandera de la pratique, du temps à consacrer pour vos équipes, mais vous pourrez à l’issue de ce processus justifier de compétences pour sécuriser vos clients et gérer des incidents de cybersécurité

LES EXPERTS CYBER

Les Experts Cyber sont des êtres éclairés,

Experts en défense de l'informatique et du réseau,

Leur vigilance et leur savoir-faire sans égalité,

Font face aux attaques qui se présentent en un écho.

Leurs yeux scrutent les lignes de code avec attention,

Ils détectent les faiblesses avec une acuité redoutable,

Leur connaissance de la sécurité sans concession,

Est un atout majeur pour toute entreprise respectable.

Ils protègent les données, les réseaux et les systèmes,

Contre les menaces qui les guettent à chaque instant,

Leur mission est de garantir la sécurité suprême,

Et d'éviter que les cybercriminels ne soient triomphants.

Ils sont les gardiens de la sécurité informatique,

Les protecteurs de la vie privée et de l'intégrité,

Leur expertise est un rempart contre les attaques maléfiques,

Et leur vigilance permet de garder la sérénité.

1 LE CADRE NIST CSF

Le cadre NIST de cybersécurité (NIST Cybersecurity Framework)7 ou NIST CSF est un ensemble de directives et de meilleures pratiques développées par le National Institute of Standards and Technology (NIST) pour aider les organisations à gérer les risques de cybersécurité. Il a été publié pour la première fois en 2014 et a été actualisé en 2021, en intégrant la partie la sécurité de la production logicielle (Software Supply Chain Security)

Le NIST CSF est une référence largement utilisée par les organisations pour évaluer et améliorer leur posture en matière de cybersécurité. Il peut être adapté en fonction des besoins spécifiques de chaque organisation et est applicable à tous les secteurs et tailles d'organisations.

Pour simplifier la lecture, nous utiliserons l’acronyme NIST pour nommer le NIST CSF.

1.1 POURQUOI CHOISIR CETTE MÉTHODE ?

Les principes du NIST sont largement acceptés et reconnus dans le monde de la cybersécurité, ce qui en fait une référence pour les organisations. Le respect de ces principes permet donc de répondre aux attentes et aux exigences des organisations en matière de sécurité. Le respect des principes du NIST permet de garantir une approche systématique et cohérente de la sécurité des systèmes d'information. Cela assure de mettre en place , par le prestataire, des mesures de sécurité efficaces et adaptées aux risques auxquels l'organisation est exposée.

Il assure aussi de se conformer à certaines réglementations en termes de sécurité, telles que le RGPD8 ou la directive NIS29 en Europe. Enfin, il renforce la confiance des clients dans le prestataire de services informatiques, ce qui peut conduire à une fidélisation de la clientèle et à une augmentation de la réputation du prestataire ou de l’intégrateur.

Bien qu'il n'existe pas de certification NIST pour les prestataires, il leur est possible de justifier de ses compétences sur ces domaines en se labellisant "Expert Cyber" via la plateforme cybermalveillance.gouv.fr par l'AFNOR.

1.1.1 LE LABEL EXPERTCYBER

Le label “ExpertCyber” est un programme lancé par le gouvernement français et porté par le GIP ACYMA en 2020 pour encourager et promouvoir les compétences en cybersécurité des organisations et des professionnels. Il vise à renforcer la confiance des clients et des partenaires pour les entreprises labellisées, en garantissant que celles-ci disposent d'un haut niveau de compétence et de savoir-faire en matière de cybersécurité. Le label est délivré pour une période de 2 ans par l'AFNOR. Les prestataires labellisés peuvent alors utiliser un logo identifiable sur leurs supports de communications (plaquettes, site web, réseaux sociaux)

Le logo du label “ExpertCyber”

1.2 LES PROFILS NIST

Chaque organisation est différente et il est nécessaire d’adapter le cadre NIST à leur activité et leurs contraintes. Bien que le NIST soit orienté vers des organisations nord-américaines, on peut facilement l'adapter aux organisations privées ou publiques européennes.

Voici des exemples de profils et leurs utilisations :

Profil

Description

Exemple d'utilisation

Industrie

Profil pour les entreprises du secteur manufacturier

Les entreprises du secteur manufacturier peuvent utiliser ce profil pour renforcer leur sécurité contre les menaces de cybersécurité. Plus particulièrement dans les automatismes et les chaînes de productions informatisées.

PME et TPE

Profil pour les petites et moyennes entreprises (PME)

Les PME peuvent utiliser ce profil pour améliorer leur sécurité avec des ressources limitées. C’est sur ce cadre que le guide se focalise.

Fournisseur d'énergie

Profil pour les entreprises du secteur de l'énergie

Les entreprises du secteur de l'énergie utilisent ce profil pour se protéger contre les menaces de cybersécurité dans leur secteur. En France, Les PASSI et les PRIS10 qui sont chargés d’accompagner ses organisations (OIV11)

Secteur Financier

Profil pour les établissements du secteur des services financiers

Les organisations du secteur des services financiers utilisent potentiellement ce profil pour se conformer aux exigences réglementaires et renforcer leur sécurité. La réglementation bancaire impose des contrôles renforcés pour éviter la fraude et le blanchiment à travers les systèmes d’information bancaire.

Constructeur IOT

Profil pour les fabricants d'appareils IoT

Les fabricants d'appareils IoT peuvent utiliser ce profil pour assurer la sécurité de leurs produits. Cela peut aussi inclure la partie communication et transport de la donnée.

Note : Le profil des établissements de santé est, selon le NIST, plutôt orienté sur le HIPAA (Health Insurance Portability and Accountability Act) valable pour les Etats Unis mais pas pour l’Europe.

1.3 LES NIVEAUX DE MATURITÉS CYBER

Faisant partie intégrante du NIST, les niveaux de maturité cyber permettent à une structure d'évaluer l'état de sa maturité sur la prise en charge et le traitement de la sécurité des systèmes d'informations. Il se fonde sur le modèle du CMMI (Capability Maturity Model Integration) développé par l'université de Carnegie Mellon12.

Note

Niveau de maturité

Description

Objectifs

Exemples

1

Initiale

Les processus de sécurité sont ad hoc ou absents, et la réponse aux incidents est souvent chaotique et désorganisée.

Sensibilisation à la sécurité, identification des actifs, mise en place d'une politique de sécurité.

Absence de plan de continuité d'activité, pas de suivi régulier des correctifs de sécurité, pas de formation en sécurité pour les employés.

2

Répétitive

Les processus de sécurité sont documentés, mais ne sont pas encore largement utilisés. Les réponses aux incidents sont généralement réactives plutôt que proactives.

Établissement de procédures de sécurité formelles, identification et analyse des risques, élaboration de plans de réponse aux incidents.

Analyse de risques annuelle, tests de pénétration trimestriels, utilisation d'outils de surveillance de la sécurité, processus de gestion des changements documentés.

3

Définie

Les processus de sécurité sont normalisés et documentés. Les plans de réponse aux incidents sont régulièrement testés et mis à jour.

Mise en place de politiques de sécurité formelles, intégration de la sécurité dans la gouvernance de l'organisation, surveillance active des menaces et de la vulnérabilité.

Formation annuelle en sécurité pour les employés, plan de continuité d'activité testé régulièrement, gestion des identités et des accès centralisée, évaluation régulière de la conformité.

4

Gérée et mesurable

Les processus de sécurité sont quantifiables et optimisés en fonction des données recueillies. Les plans de réponse aux incidents sont testés et actualisés continuellement.

Mesure de la performance de sécurité, amélioration continue des processus, gestion des risques axée sur les données.

Suivi en temps réel des alertes de sécurité, tests de pénétration réguliers, tableaux de bord de sécurité pour suivre la performance, utilisation de l'analyse comportementale pour détecter les anomalies.

5

Optimisée

Les processus de sécurité sont continuellement améliorés grâce à des données et à des analyses approfondies. La sécurité est intégrée à la culture de l'organisation.

Anticipation des menaces et des risques, intégration de la sécurité dans tous les aspects de l'organisation, collaboration avec des experts pour améliorer la sécurité globale.

Utilisation de l'IA ou des techniques avancées pour détecter les menaces, tests de simulation de crise réguliers, programmes de sensibilisation en sécurité pour les partenaires et les clients, adoption de normes de sécurité de pointe.

Cette échelle offre à une organisation un moyen de mesurer et surtout de progresser dans sa maturité Cyber.

1.4 LES FONCTIONS DU NIST

Le cadre NIST de cybersécurité est composé de cinq fonctions principales :

1. Identifier : Elle consiste à comprendre les ressources de l'organisation, les données et leurs valeurs qu'elle détient, les risques qui les menacent et les mesures de sécurité actuellement en place. Cette fonction permet aussi d’évaluer le niveau de maturité de l’organisation en sécurité de l’information.

2. Protéger : Elle consiste à prendre les mesures de sécurité techniques et organisationnelles nécessaires pour prévenir les attaques et protéger les ressources de l'organisation contre les menaces identifiées. Il s'agit notamment de la gestion des accès, de la sensibilisation à la sécurité, du contrôle d'accès, de la protection des données, de la gestion des vulnérabilités et de la sécurité des communications.

3. Détecter : Elle intègre le déploiement et l’utilisation des systèmes et des processus de surveillance et de détection pour identifier les menaces en temps réel et réagir rapidement en cas d'incident de sécurité. Elle repose sur des outils technologiques, mais également sur des procédures

4. Répondre : Cette fonction concerne la réaction de l'organisation en cas d'incident de sécurité. Elle comprend la mise en place de plans d'intervention d'urgence, la collecte de preuves numériques, la communication avec les parties prenantes et la restauration des systèmes et des données.

5. Rétablir : Elle vise à rétablir les activités de l'organisation après un incident de sécurité. Par ailleurs, elle comprend la restauration des données et des systèmes, la réévaluation des mesures de sécurité et la mise en place de processus d'amélioration continue.

Le cercle vertueux du NIST

Les deux premières étapes sont indispensables pour procéder aux trois suivantes. Il est très difficile, voire impossible, d’engager une détection d’un incident cyber sans avoir au préalable identifier les actifs à protéger. La réponse technologique consistant à acquérir et à déployer des outils de type EDR, SIEM ou encore monter un SOC13 ne pourrait être envisagée sans les deux premières étapes.

1.5 IDENTIFIER

La fonction "Identifier" est la première étape du cadre NIST de cybersécurité. Elle vise à comprendre les ressources de l'organisation, les données qu'elle détient, les risques qui les menacent et les mesures de sécurité actuellement en place.

Plus précisément, la fonction "Identifier" consiste en plusieurs étapes :

Inventaire des actifs

 : identifier et inventorier toutes les ressources, les informations et les données qu'elle détient, les systèmes et les applications qu'elle utilise, les personnes concernées dans les activités informatiques, ainsi que les contrats et les accords associés

Identification des vulnérabilités

 : identifier les vulnérabilités de sécurité potentielles de ses actifs, y compris les failles de sécurité dans les logiciels, les protocoles de sécurité défectueux, les accès non autorisés ou encore les menaces internes ou externes

Évaluer les risques

 : évaluer les risques pour chaque actif, déterminer leur impact potentiel et leur probabilité de se produire, et hiérarchiser les risques en fonction de leur criticité

Exigences de conformité

 : identifier les réglementations, les normes et les exigences de conformité applicables à ses activités et à ses données (lois sur la protection des données, normes de sécurité, règles de confidentialité et les exigences de conformité sectorielles)

Documentation des résultats

 : documenter les résultats de l'évaluation, notamment les actifs, les vulnérabilités, les risques et les exigences de conformité identifiés, ainsi que les priorités d'action.

1.5.1 INVENTAIRE DES ACTIFS

L'inventaire des actifs est la première étape de la fonction "Identifier" du cadre NIST de cybersécurité.

Les étapes pour inventorier les actifs d'une organisation :

1. Identifier les sources d'informations : tout d'abord, on débute par le recensement des sources d'informations sur les actifs de l'organisation (les registres de l'organisation, les bases de données, les inventaires de matériel et de logiciels, les diagrammes de réseaux, les systèmes de gestion des configurations et les documents contractuels).

2. Définir les critères d'inventaire : ensuite, il faut définir les critères pour l'inventaire, tels que les types de ressources à inclure, les propriétaires des ressources, les emplacements physiques et logiques, les attributs des actifs (comme les numéros de série, les adresses IP, les noms d'hôtes, etc.), les services et applications liés, et les niveaux de classification et de sensibilité.

3. Collecter les données : une fois les sources d'informations et les critères définis, il faut collecter les données sur les actifs grâce à des outils automatisés tels que des scanners de vulnérabilités, des outils de découverte de réseaux et des agents de surveillance. Il est également important de collecter des données auprès des propriétaires des actifs pour s'assurer que toutes les informations pertinentes ont été collectées.

4. Valider les données