Et pourquoi ne pas externaliser la fonction de RSSI ?

Et pourquoi ne pas externaliser la fonction de RSSI ?

Cybersécurité

etuderssi1Et pourquoi ne pas externaliser la fonction de RSSI ?


L’externalisation de la fonction RSSI en PME PMI

Si toutes les entreprises ne peuvent se permettre le recours à un tel spécialiste en interne,
il reste la solution de l’externalisation, qui apporte des réponses tant sur le plan
de la spécificité des compétences que sur la réduction des coûts.
Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressant.

Cette externalisation est intéressante alors sur plusieurs aspects :
Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein,
sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple)
Possibilité de disposer des compétences d’un professionnel expert dans son domaine.
De plus, le recours à cet intervenant apportera à l’entreprise une crédibilité supplémentaire
en matière de sécurité informatique vis-à-vis des clients ou des partenaires.

Les objections à l’externalisation du RSSI

Il peut exister des réticences à confier une telle mission à une personne externe à la société, notamment :
Cet intervenant aura connaissance des faiblesses de l’entreprise et donc il existe un risque de fuite d’informations sensibles.
A contrario la crédibilité et la compétence de cet intervenant sur le marché de la sécurité est en jeu,
et quand il évoque une faille, cela peut être pour un de ses autres clients (ce qui n’est pas le cas d’un RSSI maison).
Le fait que ce RSSI ne soit pas présent tous les jours sur site : en phase de démarrage de projet le besoin est faible (support méthodologique, …), en phase de maturité cela peut s’avérer être un vrai problème (réaction à une situation de crise) et cela milite pour que cette mission devienne à terme une mission interne.
Cela ne favorise pas la montée en compétence d’un RSSI interne : les compétences nécessaires sont fort différentes entre période de démarrage de projet et le rythme de croisière, il faut trouver le bon moment où le Client décide soit de faire monter en compétence quelqu’un interne soit d’une embauche.

Quelles qualités attendre d’un RSSI ?

Au début d’une démarche sécurité, un RSSI devra avoir plusieurs compétences et qualités souvent antinomiques :
De ce prestataire, on attendra qu’il comprenne les enjeux et les processus de l’organisation,
et qu’il sache être un meneur de projets pour pouvoir travailler avec efficacité à la fois
avec les informaticiens de l’entreprise et les collaborateurs lambda.
Il doit avoir une culture technologique (et la maintenir à jour) sur l’ensembles des technologies de l’information (architecture, réseaux, progiciels, développement,  ..), mais également disposer d’une culture sur les aspects juridiques, normalisation, méthodologiques.

Il est à même de gérer les risques et les incidents, mais aussi et surtout d’accompagner les collaborateurs et de les sensibiliser, dans le quotidien de l’entreprise comme dans la mise en place de nouveaux projets.
Il sait convaincre la Direction des enjeux et de l’importance de mener une telle démarche
Ensuite, quand le projet sécurité sera bien cadré, sa mission intégrera une dimension
de mise en œuvre des mesures de sécurité, de formation et de contrôle.

L’externalisation de la sécurité

Le RSSI n’est pas la seule fonction de sécurité pouvant être externalisée.
Beaucoup d’entreprises externalisent également
la fonction de CIL (Correspondant Informatique et Libertés) ou DPO (Data Protection Officer).

De la même manière, de plus en plus de fonctions sécurité sont externalisées :
externalisation d’un PRA ou simplement des sauvegardes, actuellement facilités
par le développement du Cloud.

Fonction RSSI

Fonction RSSI

Cybersécurité

ZOOM sur RSSIFonction RSSI

En matière de cybersécurité, la moindre petite brique compte.
Ce constat est fait par tous les Responsables de la Sécurité des Systèmes d’Information » (RSSI), dont la mission est de garantir un niveau de sécurité optimal et la tâche est ardue.

Mission du RSSI:

–  construire et mettre en œuvre une politique de sécurité,
– contrôler et mesurer en continu le niveau de sécurité,
– assurez un rôle de conseil, d’assistance, d’information, de formation et d’alerte,
– définir, rédiger et actualiser la Politique de Sécurité des Systèmes d’Information,
– garantir l’intégrité du SI et le déploiement de cette politique,
– mettre en place et animer le Comité SSI transverse à l’entreprise,
– gérer les risques,
– analyser les risques, proposer et conduire des plans d’actions,
– sensibiliser et former l’ensemble des collaborateurs de l’entreprise aux enjeux SSI,
– concevoir et suivre les tableaux de bord SSI,
-réaliser une veille technologique, réglementaire et prospective.

Audits

Il doit aussi conduire des audits SSI internes et externes :
-fixer les objectifs à atteindre en termes SSI (périmètre, planning, moyens)
avant les audits internes et externes
– coordonner les actions transverses SSI
(mesures de sécurité, rédaction et application de procédures…)
– superviser le passage en audit annuel auprès de l’organisme auditeur
et analyser les résultats obtenus pour déterminer les futures actions correctives.
La liste de ces missions est non exhaustive et peut évoluer en fonction de l’activité
et des besoins du service. https://www.perenne-it.fr/expertise/audit-flash-de-securite/

PCA

Le RSSI est un contributeur majeur au plan de continuité (PCA / BCP – Business Continuity Plan)
C’est lui qui s’assure, ès qualité, de l’existence d’un PSI (Plan de Secours Informatique)
qui fait naturellement partie du PCA et en est un élément essentiel.
Les deux rôles RSSI et RPCA ne sont pas incompatibles et peuvent donc être exercés
par la même personne/entité.
Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI. https://www.perenne-it.fr/category/pupa-pca/    https://www.perenne-it.fr/continuite-dactivite/

Le RSSI, tout comme le DPO du reste, a un devoir de conseil et d’alerte, il doit produire pour les MOA les appréciations des risques nécessaires à la prise de décision, mais l’arbitrage final relève de la MOA et d’elle seule, qui décide, ou non, de tenir compte des préconisations du RSSI puisqu’elle assume seule les conséquences de sa décision.
La MOA accepte formellement les risques, pour autant que le RSSI ait produit une analyse
aussi juste que claire et joué en toute transparence son rôle de conseil et d’alerte.

Conclusion

En synthèse, le RSSI est un homme ou une femme d’expérience qui assure une fonction transversale. Il ou elle doit avoir des qualités de communiquant et se poser comme un facilitateur.
Son efficacité se mesure au travers de la maîtrise des risques SI par l’entreprise.
Son action et celle de ses correspondants au sein de l’entreprise doivent permettre
aux différents acteurs de connaître les risques encourus, de les réduire et d’assumer les risques résiduels.
Sa position au sein de la société dépend de l’histoire, de la culture de l’entreprise, mais aussi de sa taille. Il ne peut être réellement efficace pour l’entreprise que s’il est proche de la direction générale.

La fonction de RSI n’est pourtant pas ouverte à toutes les structures.
Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante notamment en matière d’optimisation des coûts.
https://www.perenne-it.fr/gouvernance-et-pilotage-de-la-securite/

 

Outil de résilience à l’heure du COVID-19 ?

Outil de résilience à l’heure du COVID-19 ?

PUPA PCA

Le PUPA : Outil de résilience à l’heure du COVID-19 ?

« Plan d’Urgence et de Poursuite des Activités » PUPA et non plus du PCA « Plan de Continuité des Activités »
Cependant la définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA

Du reste, Les autorités parlent de PUPA : est-ce judicieux ?
Est-ce l’outil  de résilience à l’heure du COVID-19 ?

D’ailleurs, Les banques et compagnies d’assurance doivent avoir un PUPA depuis fin 2014
A cet égard, Dans le décret de 2014, l’ACPR mentionne le PUPA en lieu et place du PCA.
Pourquoi introduire ce concept alors que les praticiens de la continuité sont habitués au PCA

D’autre part, Le « PCA » est victime d’interprétations très nombreuses.

Qu’est-ce donc que le PUPA ? Outil de résilience à l’heure du COVID-19 ?

PUPA : Outil de résilience à l’heure du COVID-19 ?
PUPA vs PCA
Le PUPA, contrairement au PCA n’a pas un passé chargé !

PUPA : « Plan d’Urgence et de Poursuite des Activités » c’est clair et montre bien qu’il y a deux objectifs,
réagir en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA :
« Ensemble de mesures, des dispositifs, des ressources et des moyens nécessaires visant à assurer,
selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant,
de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes.
Les derniers mots « et à limiter ses pertes » ont été ajoutés à l’ancienne définition.

Regardons la définition du PUPA de plus près

Il s’agit d’un « ensemble de mesures ».
Ces mesures « visent à assurer » : elles ne « garantissent » pas », de façon temporaire selon un mode dégradé,
suivi du retour à une reprise planifiée, des prestations de services importantes et à limiter ses pertes.

PUPA

Anticiper la perte de production informatique à la suite d’un sinistre et définir une organisation pour limiter le risque Incendies, intempéries, catastrophes naturelles, crises sanitaires, conflits sociaux, arrêts informatiques,
attentats … autant de sinistres qui rappellent que nos organisations sont de plus en plus exposées aux risques.
En d’autres termes, dans une économie mondialisée où l’interdépendance des activités est croissante, les entreprises
et autres collectivités ont à affronter des risques qui menacent leur pérennité si elles n’anticipent pas
et ne se préparent pas à gérer des situations exceptionnelles qui peuvent brutalement interrompre,
partiellement / totalement, leur activité (cf. Covid-19)
En premier lieu, les dirigeants d’entreprise sont concernés par un sinistre potentiel et leur responsabilité
est directement engagée. De leur capacité à identifier et à évaluer les risques, à accroître la robustesse
en durcissant les dispositifs de prévention et de protection, à apporter les réponses appropriées en situation de crise et à engager les actions nécessaires pour un retour rapide à la normale, dépend la pérennité de l’entreprise.

A quels risques l’entreprise ou la collectivité est-elle le plus vulnérable ?
– Quelles sont les activités et les ressources critiques qu’il convient de protéger par un plan de secours ?
– Sous quel délai l’organisation doit-elle être à nouveau opérationnelle pour servir ses clients ?
– Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et préserver les actifs ?
– Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de sécurisation
et de communication ?
– Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en termes de locaux,
de personnels, de ressources techniques, de matériels et d’équipements ?
– Quels effectifs et quels moyens mobiliser pour assurer  la continuité ou la reprise des activités
jusqu’au retour à la normale ?
Le PUPA apporte des réponses concrètes à ces interrogations.
PUPA : Outil à l’heure du COVID-19 ?

 

 Démarche méthodologique

PCA Démarche
PUPA vs PCA PUPA Outil de résilience à l’heure du COVID-19 ?

 

 

 

 

 

 

Contenu du Plan

Le Plan type permet de définir et de décrire :
La cartographie des risques encourus et des vulnérabilités
Les différents impacts pour l’entreprise
La stratégie de continuité retenue avec les délais de reprise visés
L’organisation et les systèmes d’information de secours
– dispositif de gestion de crise
– processus métiers et support couverts
– acteurs de l’entreprise impactés
Les procédures de reprise et de basculement
– sites de repli ou solutions de travail à distance
– aménagement des chaines logistiques d’approvisionnement
– modalités d’hébergement et de repeuplement
– procédures de redémarrage et de retour à la normale
– modalités de fonctionnement dégradé
– plan de communication
– indicateurs de performance et engagements de service
Les procédures de maintien en condition opérationnelle du Plan
– plan de test
– procédures de contrôle qualité
– organisation et structuration des activités de maîtrise des risques
Notre Offre


NOTRE OFFRE

Continuité d’activité (PCA)

Assurer une continuité dans votre activité quel que soit l’incident auquel vous faites face.
De ce fait, votre entreprise n’est alors plus tributaire de son informatique et vos collaborateurs peuvent se consacrer pleinement à leur cœur de métier.

La mise en œuvre permet d’anticiper et de redémarrer dans les meilleurs délais

Pérenne’IT a construit une approche à la fois organisationnelle et technique de la disponibilité.

Avant la mise en place de la brique technologique, Pérenne’IT va étudier avec vous quels sont les critères de disponibilité pour chacun de vos services.
Réflexion faite et à partir de ces éléments nous définirons ensemble les mesures à adopter et réaliserons leur intégration.
PCA Offre

L’application Microsoft Authenticator : le couteau suisse de l’authentification

Cloud Microsoft Sécurité

logo Microsoft AuthenticatorAuthentification sans mot de passe, authentification multi-facteur, OTP, TOTP… autant de mots clés qui ont en commun une application : Microsoft Authenticator. Mais quelles sont exactement les fonctionnalités de cette application ? Est-ce la seule sur le marché ?

L’application Microsoft Authenticator… sans Microsoft

Si l’application prend tout sons sens dans un environnement Microsoft (Windows 10, Azure AD…), elle peut tout à fait être utilisée pour des usages très génériques.

Elle supporte nativement le protocole OTP. Ce standard de sécurité qui permet de générer des codes à usages unique (qui expirent généralement en moins d’une minute) est utilisé par la plupart des services proposant de la double authentification.

Exemple de jeton OTPExemple de jeton OTP (ici Facebook)

 

L’association est très simple : il suffit de scanner un QR code généré par le site pour l’intégrer dans l’application. OTP permet une gestion de l’authentification hors ligne, donc même dans une situation où la connectivité est limitée l’authentification sera possible.

Ce protocole est d’ailleurs aussi actif par défaut dans les implémentations Microsoft, permettant ainsi une solution de connexion quelque-soit la connectivité de l’appareil mobile.

Sans sauvegarde, point de salut

Quand l’authentification multi-facteur devient la clé de voute de votre sécurité, le risque de « s’enfermer dehors » est bien présent. Téléphone volé ou cassé, plantage du système… il est  primordial de pouvoir sauvegarder et restaurer vos jetons d’authentification.

L’application Microsoft Authenticator permet nativement de gérer une telle sauvegarde, toutefois le pré-requis est la création d’un compte Microsoft (ou iCloud sur iOs).

Une sauvegarde alternative est possible, quelque soit l’application utilisée : il vous suffit de garder une copie (physique de préférence) du QR code généré lors de l’initialisation du second facteur.

Microsoft, comme dans… Microsoft

Dans un environnement Microsoft/Azure AD, des fonctionnalités spécifiques sont disponibles comme par exemple l’authentification sans mot de passe :

authentification sans mot de passe via l'application

Il est aussi possible de simplifier l’authentification muti-facteurs en utilisant la validation d’une notification (au lieu de la saisie d’un code OTP).

Microsoft Authenticator est aussi capable de vous informer d’un changement de mot de passe de votre compte :

exemple des notifications mot de passe

Quelles alternatives ?

Si on met de coté les fonctionnalités purement Microsoft, de nombreuses applications existent pour gérer vos jetons OTP. On peut citer notamment FreeOTP ou Google Authenticator.

L’avis de Pérenne’IT

L’authentification multi-facteurs est un élément clé de la sécurité, d’autant plus enrichie de fonctionnalités pouvant faciliter la vie des utilisateurs. Attention toutefois, l’ergonomie et le paramétrage de Microsoft Authenticator peuvent parfois porter à confusion… il va falloir accompagner vos utilisateurs.

 

Oubliez vos mots de passe : l’authentification nouvelle génération

Cloud Microsoft Sécurité

le mot de passe est la cléSi dans le domaine informatique le mot de passe semble l’outil le plus répandu pour vérifier l’identité d’un utilisateur, de nouvelles technologies pourraient bien le reléguer au rang d’antiquité.

Il était une fois… le premier mot de passe informatique

Dans les années 60 avec le développement de l’informatique en réseau, le MIT implémente ce qui semble la première utilisation connue des mots de passe dans un système informatique. Bien que peu fiable (il était possible par exemple d’imprimer la liste des mots de passe), les utilisateurs pouvaient en théorie protéger leurs fichiers personnels.

Pas de mots de passe sans politiques

Aujourd’hui l’utilisation d’un mot de passe ne peut plus s’envisager sans une série de règles et d’outils :

  • Principes de renouvellement régulier
  • Principes de complexité (longueur, caractères spéciaux…)
  • Principes d’attribution sécurisée (liens temporaires, modification à la première connexion)
  • Principes de réattribution (« Mot de passe oublié ? »)

La gestion de ces politiques nécessite donc une implication importante et récurrente des équipes informatiques, tout en entraînant parfois une frustration des utilisateurs (accès verrouillé, mot de passe trop complexe à retenir…).

Le principe même du mot de passe est par nature peu sécurisé car il repose sur un principe clé : il ne doit jamais être divulgué. Que ce soit par de mauvaises pratiques (post-it sur l’écran), des services vulnérables (base de données de sites piratées) ou du hameçonnage, il est donc très courant de voir des systèmes compromis car le seul mot de passe donne la clé du château.

Quelle alternative sécurisée aux mots de passe ?

On peut diviser les modes d’authentification en 3 catégories :

  1. Ce que l’utilisateur sait (ex : mot de passe, pin…)
  2. Ce que l’utilisateur est (ex : biométrie…)
  3. Ce que l’utilisateur possède (ex : token, smartphone…)

En s’affranchissant du premier critère on améliore donc l’expérience utilisateur (plus de mot de passe compliqué à choisir/retenir) et la sécurité car l’identification ne peut plus être divulguée facilement. Ces deux points simplifient aussi la gestion, en réduisant notamment les incidents de sécurité à traiter.

2020-04-29 12_10_07-Clipboard
Solutions « passwordless » proposées par Microsoft

Pour l’utilisateur l’authentification est très intuitive, fluide et dans certains cas quasiment transparente (reconnaissance faciale notamment).

L’avis de Pérenne’IT

L’authentification sans mot de passe s’est beaucoup développée ces dernières années et arrive aujourd’hui à un niveau de maturité permettant d’envisager son implémentation. Si on considère en plus l’explosion des attaques par hameçonnage et autres fuites de mot de passe, le sujet du « passwordless » est à considérer en priorité.