Compte tenu de l’évolution technologique dont les industries et les infrastructures de technologies opérationnelles (TO) ont fait l’objet au cours des dernières années, plusieurs entreprises se voient aujourd’hui exposées à de nouveaux risques technologiques, soumises à des exigences réglementaires strictes (NERC CIP) et de nouvelles exigences de la part des assureurs. Cela force les organisations à investir davantage pour améliorer leur cybersécurité.
La mise en place d’un programme de sécurité devient alors nécessaire pour assurer la pérennité des organisations. Parfois, certaines s’attaquent à ce défi par elles-mêmes, mais constatent rapidement l’ampleur et de la complexité de tout ce qui doit être accompli. Elles peuvent également perdre de vue l’objectif principal, soit gérer les risques de cybersécurité. La démarche peut également être très anxiogène puisque l’on fait souvent affaire à un adversaire inconnu, imprévisible, très habile et disposant de moyens nettement supérieurs. Faire cavalier seul dans ce monde complexe, sans l’expertise appropriée, peut devenir encore plus coûteux, voire devenir un obstacle à la réussite de l’entreprise.
Pour bien comprendre les multiples facettes de la cybersécurité, il est utile de la comparer à un jeu d’échecs.
La gouvernance de la cybersécurité est la fonction qui permet d’avoir une vue d’ensemble continue sur tous les enjeux et les risques, d’établir des cibles et d’exercer un meilleur contrôle sur la démarche pour les atteindre. Voici en quoi la cybersécurité ressemble à un jeu d’échecs :
- On y retrouve une multitude de pièces aux fonctions particulières comme les fonctions de sécurité de l’entreprise : les technologies, les processus et les humains.
- Chaque pièce a une valeur dans le jeu, mais le roi est considéré comme la plus vulnérable qu’il faut protéger en priorité. Si le roi tombe, le jeu est terminé. En entreprise, le roi représente les actifs critiques, soit les données de vos clients, l’intégrité du processus de traitement de l’eau, etc.
- Pour gagner, le joueur doit utiliser toutes ses pièces tout en planifiant stratégiquement sa progression sur l’échiquier de sorte qu’il ait une longueur d’avance sur son adversaire.
- Le joueur n’a pas le choix de bouger ses pièces, d’exposer son jeu et de devenir vulnérable aux attaques. Il n’a également aucune idée du jeu de son adversaire. Il doit donc demeurer vigilant, s’assurer que chaque pièce est protégée en tout temps et être prêt à réagir à toute situation.
- Enfin, plus le joueur s’exerce, plus il devient un adversaire redoutable !
Implanter un programme de cybersécurité
L’implantation d’un programme de cybersécurité commence par l’établissement des fonctions de sécurité qui composent la stratégie, ce qui permet de découper l’ensemble de la cybersécurité en modules simples dont on peut déléguer la responsabilité à l’interne ou à des tiers.
Chacune de ces fonctions dispose généralement des caractéristiques suivantes :
- Elle joue un rôle précis dans le cadre du programme, par exemple, détecter les intrusions, répondre aux incidents, etc.
- Des responsabilités sont attribuées à des ressources internes et externes pour en assurer le bon fonctionnement, par exemple, par l’entremise d’une matrice des rôles et responsabilités (RACI).
- Elle est appuyée par des documents officiels qui définissent ses règles de fonctionnement, par exemple, les politiques de cybersécurité de l’entreprise.
- On peut mesurer sa maturité et sa performance, dans une démarche d’amélioration continue, notamment par l’entremise d’une évaluation de maturité, des audits de cybersécurité et des tests de vulnérabilité, etc.
Pour faciliter l’exercice, il existe des modèles communément appelés cadres de gouvernance sur lesquels on peut s’appuyer pour définir ce découpage. Dans le domaine des technologies de l’information (TI), le NIST Cybersecurity Framework et la norme ISO 27000 sont bien connus. Dans le domaine des technologies opérationnelles (TO), on compte les normes ISA/IEC 62443, NERC CIP et le NIST 800-82. Selon le secteur d’activité, il revient à l’entreprise de choisir le modèle qui lui convient le mieux et de l’adapter au besoin.
Identifier les risques d’atteindre le roi
Tout comme aux échecs, un programme de sécurité doit permettre d’identifier les risques pouvant porter atteinte à ce qui revêt une valeur importante pour l’entreprise. Dans le cas des échecs, le roi est la pièce la plus importante puisque si elle est menacée, on peut rapidement perdre la partie. On doit donc orchestrer sa défense de façon à limiter l’exposition du roi aux attaques de l’adversaire. En entreprise, on doit accorder la même importance aux actifs critiques qu’on appelle communément « les joyaux de la couronne ». Ce sont eux qui permettent à l’entreprise de fonctionner et d’atteindre les objectifs qu’elle s’est fixés.
Par exemple, dans le domaine des TI, un arrêt imprévu des systèmes de contrôle d’une chaîne de production pourrait engendrer des pertes financières astronomiques pour l’entreprise. Dans le domaine des TO, il peut s’agir de risques pour la sécurité de la population ou pour l’environnement. Une analyse des risques doit donc être effectuée dans les premières étapes d’implantation du programme pour identifier les scénarios à éviter, selon un ordre de priorité. Cet exercice permettra ensuite d’établir un plan d’atténuation des risques. On doit aussi, accepter la possibilité qu’un scénario se produise et être prêt à y répondre.
Définir la stratégie
En étant en pleine connaissance des règles du jeu, des pièces sur l’échiquier et des conditions de victoire ou de défaite, tout bon joueur se doit de définir une stratégie qui l’amènera à bien planifier ses mouvements sur l’échiquier. Il doit garder en tête ses objectifs, sans oublier de protéger les pièces qui l’aideront à les atteindre. En cybersécurité, les règles du jeu appartiennent à trois volets distincts : stratégique, tactique et opérationnel. On y retrouve généralement les éléments suivants :
- Une politique de sécurité : Constitue le cœur de la stratégie de cybersécurité et est généralement approuvée par la haute direction de l’entreprise, mais portée par l’officier de sécurité. Le fait qu’elle soit approuvée au niveau hiérarchique supérieur permet d’assurer un engagement fort de l’entreprise à l’égard de cette stratégie et d’en assurer la réussite.
- Des directives et des plans : Constituent les règles de fonctionnement des différentes fonctions de sécurité que l’entreprise doit respecter. On dit souvent qu’il s’agit du volet tactique. Ces documents sont normalement approuvés par l’officier de sécurité, mais leur mise en œuvre peut être déléguée à une unité interne de l’entreprise.
- Directive sur la gestion des identités et des accès
- Plan de réponse aux incidents de cybersécurité
- Directive de gestion des vulnérabilités
- Des processus et des procédures : Servent à encadrer la mise en application des directives et des plans. Ces documents sont destinés à soutenir les activités de l’entreprise et à s’assurer qu’elles respectent les exigences énoncées dans la politique et la directive propre au secteur touché. Par exemple :
- Processus d’escalade pour les incidents de cybersécurité
- Processus de priorisation des correctifs de sécurité
Dans un programme de sécurité mature, les volets stratégique, tactique et opérationnel sont alignés, coordonnés et mesurés de façon à atténuer les risques sans compromettre le succès de l’entreprise. On peut alors dire que l’entreprise investit suffisamment de ressources pour gérer ses risques en fonction de ses objectifs.
Planifier et orchestrer ses mouvements sur l’échiquier
Dès le début d’une partie d’échecs, il faut planifier ses mouvements en fonction de la stratégie établie. En général, on doit avoir une idée de la façon dont on veut protéger notre roi. Chaque mouvement doit permettre la mise en œuvre de cette stratégie. En cybersécurité, on le fait en établissant des objectifs qui vont permettre d’atténuer les risques majeurs en priorité et d’atteindre ensuite une cible de maturité de l’ensemble du programme de sécurité. Ces objectifs sont ensuite découpés en initiatives qui peuvent s’échelonner sur une période de deux à cinq ans. Pour suivre ces initiatives, on les regroupe dans un tableau de bord indiquant clairement à quels moments les grands objectifs et les cibles de maturité seront atteints.
Même avec la meilleure technologie, il demeure que les humains sont la principale partie prenante au programme, en plus d’en être la principale faille. Négliger ce maillon faible pourrait rendre inefficaces tous les investissements technologiques en cybersécurité. On doit donc s’assurer que toutes les personnes concernées sont formées en fonction de leurs responsabilités dans le cadre du programme. On doit également sensibiliser et former les employés et employés sur des sujets comme l’hameçonnage ou la politique de sécurité d’entreprise et tester leur connaissance à l’occasion.
Surveiller l’évolution du jeu et répondre aux situations d’échec
Comme on ne connaît pas la stratégie de l’adversaire, il faut constamment ajuster notre stratégie et parfois prendre des risques pour reprendre le dessus. Dans le contexte de la cybersécurité, la planification est la clé pour demeurer en contrôle. Toutefois, la réalisation du plan peut être perturbée par différents facteurs extérieurs : nouveaux risques, menaces géopolitiques, vulnérabilités majeures, incident chez un partenaire, nouvelle exigence réglementaire, nouveaux objectifs d’affaires, etc. L’écosystème de sécurité changera constamment et verra ses risques évoluer. Certains risques imprévus pourraient également pousser l’entreprise à faire des choix difficiles. Il est donc important de garder une vue d’ensemble de l’écosystème de sécurité pendant la réalisation du programme et de s’ajuster au besoin. Il existe plusieurs sources d’information qui permettent d’alimenter en continu la gouvernance, d’orienter les efforts sur de nouvelles priorités et de mettre en place les moyens adéquats pour assurer le succès du programme.
La gestion des incidents est un autre point important à considérer. Lorsque le roi est mis en échec, la seule option possible est de modifier sa position, sans quoi le jeu se termine. En cybersécurité, même avec un programme de sécurité solide, des incidents inattendus peuvent se produire. Une entreprise préparée sera en mesure de réduire les impacts de tels incidents. Tout programme de cybersécurité doit donc se doter d’un plan de réponse qui sera pris en charge par des ressources disponibles, formées et compétentes.
Améliorer son jeu en continu
On ne devient pas expert aux échecs du jour au lendemain. Il faut donc s’exercer, explorer toutes les facettes du jeu et en apprendre le plus possible sur son adversaire. En cybersécurité, les notions de surveillance, de tests, d’audits et d’amélioration continue sont omniprésentes. On ne peut garantir le bon fonctionnement de notre programme sans en comprendre l’état actuel et l’évolution. Un bon programme de sécurité doit donc prendre en considération les éléments suivants :
- La gestion de la conformité : sommes-nous conformes et avons-nous ce qu’il faut pour le démontrer ?
- Avons-nous les indicateurs de performance qui démontrent le bon fonctionnement de nos processus internes ?
- Est-ce que nous testons nos défenses et nos plans de réponse ?
- Avons-nous une bonne connaissance de notre environnement technologique et en assurons-nous une surveillance adéquate pour pouvoir détecter rapidement les situations anormales ?
Afin d’assurer l’alignement avec la stratégie, la gouvernance devrait permettre d’avoir une vue d’ensemble et de mesurer chaque fonction de sécurité. Cette surveillance est généralement réalisée par l’officier de sécurité (Chief Information Security Officer) qui demande des rapports et des indicateurs de performance à chaque porteur de fonction de cybersécurité. Ces rapports peuvent ensuite servir à établir des plans d’action qui sont priorisés et suivis dans le temps.
Équipe d’experts de CIMA+
La comparaison avec un jeu d’échecs permet de voir les multiples facettes de la cybersécurité et de mieux comprendre le rôle de chacune des différentes composantes et les interactions entre elles.
CIMA+ peut vous accompagner à toutes les étapes de réalisation d’un programme de cybersécurité, spécialement adapté aux technologies opérationnelles.
- Évaluation de maturité de cybersécurité pour les TI et les TO
- Conformité NERC CIP (secteur de l’énergie)
- Gouvernance de sécurité selon le cadre approprié
- Évaluation des menaces et des risques de cybersécurité
- Audit de vulnérabilité
- Tests d’intrusion