Des choix spécifiques au numérique sont faits pour sécuriser la mise en œuvre des technologies numériques, pour les produits et services fournis et pour l’utilisation de ressources en interne.
Les clients sont souvent sensibles à la maîtrise de ces risques. Les fournisseurs de services financiers, par exemple, investissent lourdement pour renforcer la sécurité des SI mis à disposition.
La constatation publique d’une défaillance importante de la sécurité numérique a des effets parfois dévastateurs sur la confiance dans les entreprises. Depuis l’affaire Snowden, par exemple, les fournisseurs de services numériques implantés aux États-Unis font des efforts pour convaincre leurs clients étrangers de leur volonté d’assurer la confidentialité de leurs données stockées, de leurs communications, malgré leurs obligations au regard de la législation de leur pays.
Les niveaux de sécurité numérique à définir sont faibles, moyens ou forts. Ils ont un impact sur les coûts de la sécurisation, les contraintes qu’elle entraîne. Ils correspondent en général aux niveaux habituellement constatés, pour les produits et services proposés sur le marché, pour les ressources utilisées dans un secteur professionnel, aux spécificités de l’entreprise.
Les choix relatifs aux caractéristiques de sécurité numérique relèvent de la prévention, du traitement des événements constatés, et de la limitation de leurs conséquences dommageables. On présentera ci-après des choix possibles, relatifs aux ensembles matériels et logiciels et aux activités numériques.
Les choix portent sur un ou plusieurs éléments numériques. L’amélioration du niveau de sécurité de la mise à disposition d’un SI, par exemple, peut relever à la fois de la sécurisation du SI et de celle de son exploitation.
Origine des dangers, des risques, des menaces
Défauts graves des ensembles matériels et logiciels fournis ou mis à disposition par l’entreprise, ou utilisés par elle
Les ensembles matériels et logiciels concernés sont des produits comportant des éléments numériques (par exemple des ordinateurs, les sous-ensembles numériques intégrés à des équipements tels que aéronefs, systèmes d’armes), des logiciels standard, des SI mis à disposition, des ressources utilisées par l’entreprise.
Les défauts graves sont par exemple ceux qui empêchent le fonctionnement des ensembles matériels et logiciels, qui provoquent des accidents, des pertes financières…
Risques généraux relatifs à l’environnement des ensembles matériels et logiciels
Les risques généraux relatifs à l’environnement de fonctionnement des ensembles matériels et logiciels de l’entreprise sont principalement l’incendie, les dégâts des eaux, l’arrêt de l’alimentation électrique, le sabotage.
Risques relatifs à l’utilisation de services comportant des éléments numériques
Les risques relatifs à l’utilisation de services comportant des éléments numériques sont leurs dysfonctionnements, leurs contreperformances graves (par exemple celles des services de télécommunications numériques, de cloud, financiers…).
Erreurs, manquements graves aux règles
Des erreurs, des manquements aux règles relatives au numérique, commis par les utilisateurs (internes ou externes), par les professionnels du numérique, sont susceptibles d’avoir des conséquences graves : introduction de contenu illicite, accès à des fonctions interdites, utilisation de logiciels piratés, utilisation interdite de données personnelles des clients, communication de mots de passe personnels à des tiers, communication d’informations numériques de l’entreprise à des acteurs malveillants, lancement d’ensembles matériels et logiciels insuffisamment testés...
Les règles relatives au numérique sont externes (légales…), contractuelles ou internes à l’entreprise. De nouvelles réglementations relatives à la protection des données numériques sont à respecter, telles que le RGPD.
Malveillance
La malveillance numérique (cyberattaques) représente probablement aujourd’hui la principale source de danger numérique pour l’entreprise. Elle est surtout externe, mais peut être interne. Elle concerne aussi les fournisseurs de services numériques (attaques dites par rebond).
Liste non limitative des types de cyberattaques : hameçonnage (phishing), usurpation d’identité numérique, utilisation frauduleuse de systèmes numériques, attaque de mots de passe, introduction de logiciels malveillants, vol, chiffrement frauduleux de données numériques, blocage de l’accès aux SI, aux données, attaques des SI (réseaux et systèmes distants - déni de service, robots…), introduction volontaire de données erronées dans les systèmes d’IA, exploitation des failles de sécurité des logiciels, détérioration des données, des logiciels…
Les cyberattaques s’appuient parfois sur la manipulation psychologique des utilisateurs.
Les choix des caractéristiques de sécurité concernent les ensembles matériels et logiciels fabriqués, utilisés, mis à disposition par l’entreprise.
Les objets connectés semblent souvent mal protégés.
Certains choix (parfois nécessaires) ne sont pas spécifiques au numérique : protection contre l’incendie, groupes électrogènes, contrôles d’accès physiques…
1) Les ensembles matériels et logiciels sont à protéger contre les intrusions.
Les principales fonctions de sécurité numérique sont les antivirus, le chiffrement/déchiffrement, le contrôle d’accès logique, du fonctionnement des ensembles matériels et logiciels, des communications avec l’extérieur (pare-feux…), de conformité de la sécurisation des équipements, la gestion des événements de sécurité (alertes, attaques…), la prévention/détection des intrusions (IDS/IPS, EDR), la prévention des pertes et des fuites de données (DLP), la protection des droits numériques (DRM), contre les robots, la signature numérique.
Les contrôles d'accès aux ensembles matériels et logiciels, aux informations, permettent de réserver des accès, des fonctions à un nombre limité d’intervenants, et donc d'interdire les accès non autorisés.
Les informations numériques stockées, transmises, reçues sont susceptibles d'être chiffrées. Les équipements doivent alors comporter des fonctions de chiffrement et de déchiffrement, appliquant les protocoles définis.
Les environnements de production sont en général sécurisés. Les environnements d’ingénierie, de mise en exploitation des logiciels, sont aussi à sécuriser.
Les architectures de DRM (digital rights management) protègent les droits de propriété intellectuelle du constructeur, ou de ses fournisseurs, sur les œuvres enregistrées sur des supports numériques. Elles sont fondées sur le chiffrement, et sur des solutions matérielles ou logicielles pour accorder les licences, gérer le déchiffrement.
Les fonctions de type DLP (data loss et data leak prevention) permettent d'identifier les données numériques sensibles et de bloquer les transferts externes de ces données.
2) Les choix relatifs à l'identification des utilisateurs, à la prévention de leurs fautes, de leurs erreurs, à la disponibilité, la fiabilité, la traçabilité numériques, contribuent à la sécurité numérique.
Les logiciels comportent parfois des fonctions de confirmation de demandes présentant des risques.
La blockchain permet d’éviter les modifications frauduleuses, d'assurer une forme de traçabilité.
Les logiciels doivent, autant que faire se peut, être exempts de vulnérabilités, de failles de sécurité, offrant des possibilités aux attaquants. Ils ne doivent pas inclure de logiciels malveillants.
Les systèmes d’exploitation sont parfois le talon d’Achille des équipements, des SI.
3) Les opérateurs de télécommunications ne peuvent pas garantir totalement la confidentialité des communications. Il est souvent écrit que la sécurité du réseau Internet est très faible. Les chiffrements ne sont jamais inviolables.
4) En ce qui concerne l’architecture numérique, la connexion des équipements, des SI à des réseaux de télécommunications numériques, augmente les risques d'accès malveillant. Quand elle n’est pas obligatoire, il est parfois nécessaire de la mettre en balance avec les avantages recherchés.
Les services numériques ouverts au public sont dans certains cas liés à des SI internes de l’entreprise, à des systèmes de paiement. Des choix sont à faire sur les dispositifs de protection à mettre en place.
Des services spécialement sécurisés ou protégés, par exemple la mise à disposition de réseaux privés, de systèmes de paiement, l’exploitation d’applications dans des centres sécurisés, des coffres-forts électroniques, sont proposés sur le marché. Les contrats de services numériques ne comportent pas toujours des solutions de secours.
5) Des informations numériques confidentielles (données du client, du donneur d’ordres, logiciels, documentation…) sont confiées aux fournisseurs de services numériques. Leurs accès sont à contrôler.
L’utilisation de services SaaS est à surveiller.
Activités numériques
1) Les aspects sécuritaires sont à intégrer de façon cohérente à l’ensemble des processus de réalisation des activités numériques (concept de DevSecOps).
Les analyse des risques numériques aident à déterminer les politiques les plus efficaces pour les maîtriser. Elles sont une partie de l’analyse générale des risques de l’entreprise. Elles sont difficiles. Il est néanmoins obligatoire d’effectuer une analyse minimale, de prendre des précautions de base.
2) Une administration des utilisateurs du numérique dans l’entreprise (droits d’accès, équipements détenus…) a un rôle majeur à jouer dans le domaine de la sécurité numérique.
3) Les SI mis à disposition dont l’utilisation est susceptible de présenter des dangers sont à concevoir, à réaliser, à déployer et à exploiter avec un haut niveau de fiabilité, de disponibilité.
L’entreprise a rigoureusement besoin d’un dispositif permettant de traiter les dysfonctionnements numériques graves dans des délais rapides. Ceci est particulièrement problématique dans le cas des grands logiciels anciens, toujours utilisés, pour lesquels les compétences de maintenance/évolution deviennent difficiles à trouver.
Pour les SI des clients qu’ils ont à exploiter, à maintenir, à faire évoluer, les fournisseurs donnent normalement leur avis sur leurs niveaux de sécurisation numérique.
La protection des informations, des logiciels confiés, est en général importante, voire fondamentale pour les clients. Les processus de réalisation d’activités numériques doivent être sécurisés sur ce point. Il en est de même pour les informations, les logiciels des fournisseurs accessibles aux clients.
4) Des audits de sécurité numérique sont réalisables.
Les contrôles du fonctionnement des ensembles matériels et logiciels, des informations numériques, font parfois l’objet d’obligations réglementaires, comme par exemple le contrôle du contenu publié par les utilisateurs. Certains fournisseurs de services numériques doivent éliminer les données illicites, celles obtenues illégalement.
5) Une politique RH adéquate est à définir et à mettre en œuvre dans le domaine de la sécurité numérique. Des règles, procédures de sécurité numérique sont à définir, diffuser. Leur respect est à contrôler. Des actions de sensibilisation des utilisateurs internes, de contrôle managérial, sont souvent nécessaires.
Des fonctions numériques, des actions sont à prévoir pour sensibiliser les clients, les utilisateurs des services externes à la sécurité numérique.
6) Un Security Operation Center, un Vulnerability Operation Center sont éventuellement à mettre en place. Ils permettent de disposer des compétences nécessaires, d’assurer une surveillance sur des plages étendues. Ils s’adaptent normalement aux configurations à surveiller.
7) Il est souvent souhaitable d’établir à l’avance des plans de continuité d’activité (PCA) : organisations, processus de secours, à mettre en œuvre en cas de sinistre grave (destruction des SI, cyberattaque d’ampleur…). Cette définition est un préalable à celle des systèmes numériques de secours à mettre en place.
Des exigences sont parfois définies par le client pour la maîtrise des risques numériques, telles que la mise en place de systèmes de protection, de solutions de secours…
Les sauvegardes des données, les exercices de secours sont de nature à augmenter le niveau de sécurité numérique, y compris dans le cas du cloud. Les logiciels comportent parfois des fonctions de sauvegarde automatique des informations.
8) Lorsque les fournisseurs de services de réalisation d’activités numériques utilisent des SI qui leur appartiennent, des fonctions de sécurité, de protection sont susceptibles d’être mises en place : sécurisation des liaisons entre les SI du fournisseur et ceux du client, contrôles d’accès, séparation des informations des différents clients, des activités réalisées pour différents clients, redondances, protection contre les intrusions…
Aucun commentaire:
Enregistrer un commentaire