30
net
J U I L
2 0 2 3
C Y B E R S E C U R I T Y S T R AT E G I E S
Tableaux de bord
Piloter ses trajectoires
Bien qu’indispensables pour maîtriser les risques, piloter les projets,
informer son management et briser les silos entre services,
les tableaux de bord du RSSI restent souvent incomplets au point de
ne pas permettre le suivi des objectifs stratégiques et opérationnels
de l’entreprise, de définir des actions correctrices pertinentes,
des priorités d’exécution ou de concentrer effort et budget sur les
périmètres les plus à risque.
Un tableau de bord doit synthétiser des tendances clés et faciliter la
prise de décision, et traite donc d’un périmètre donné. Les indicateurs
sont construits en tenant compte des destinataires, de la fréquence
des revues, mais aussi de leur pertinence à déclencher une discussion,
de leur coût de calcul ou de leur maintenabilité dans le temps.
On distingue les KPI (Key Performance Indicators), qui mesurent
la performance d’une équipe ou d’un plan stratégique, les KRI
(Key Risk Indicators), qui apprécient un risque redouté, et les KCI
(Key Compliance Indicators), qui indiquent un taux de conformité.
Chaque indicateur doit avoir un responsable qui sera chargé du suivi,
des rapports, des analyses et des actions. Et cela change en fonction
de la typologie de la donnée observée. Pour les indicateurs opération-
nels, ce sera réparti dans les différents services : sécu, ops, infra (etc.),
alors que les indicateurs stratégiques sont généralement rattachés
à la direction générale.
En dehors des classiques tableaux de bord destinés aux COMEX,
trouver des indicateurs fiables, durables et immédiatement compré-
hensibles nécessite de procéder par itérations successives et d’im-
pliquer toutes les équipes. En outre, cette tâche complexe doit être
continue et s’adapter à l’évolution des “menaces”. Pour vous aider,
une dizaine de nos experts vous partagent leurs retours d’expériences.
cyberun.
5 idées à retenir…
Les bons tableaux de bord génèrent un engagement
des équipes et permettent de faire accepter les
changements.
Les besoins opérationnels doivent correspondre à des
indicateurs proches de la réalité du terrain, la finalité
clairement comprise par tous les acteurs concernés.
Automatiser la collecte des données nécessaire
au calcul des indicateurs améliore la productivité
et la qualité des résultats. Ce processus étant
généralement coûteux, entamez-le seulement
après avoir validé la pertinence de l’indicateur.
Le tableau de bord destiné au COMEX est centré sur les
potentiels impacts business. L’utilisation systématique
des mêmes indicateurs facilite l’appropriation et la
visualisation des tendances/écarts avec l’objectif fixé.
Pour le RSSI, les tableaux de bord sont l’un des outils
les plus efficaces pour fluidifier la gouvernance cyber.
SOMMAIRE
L’enquête
Quels indicateurs pour un bon pilotage ? _02
Datas _04
Sensibilisation _06
Risques humains et technologiques _08
Développement d’applications _10
Les grognements de Cy-Bear _12
Liste des contrôles de la norme ISO 27001:2022 _12

L’ E N Q U Ê T E
QUELS INDICATEURS POUR UN BON PILOTAGE ?
Il n’existe pas d’indicateur unique magique ! Chaque organisation
doit définir ses propres indicateurs pertinents, inhérents à l’activité
de l’entreprise.
ARNAUD LEGORJUS | Directeur stratégie & opérations, Tanium
La première chose que doit faire un RSSI, c’est s’aligner sur
les objectifs business de la direction de son entreprise. Il doit
être en capacité de bien les comprendre – sachant qu’ils
sont propres à chaque organisation et à chaque direction –
pour concevoir et adapter sa stratégie, et ainsi être en phase
avec ce que l’on attend de ses indicateurs (KPI).
Si, dans le domaine de la finance ou du retail, la norme PCI DSS est critique et
doit être prise en compte, elle sera moins prioritaire pour une organisation qui
opère dans l’industrie. Les pays dans lesquels vend l’entreprise peuvent avoir
un impact majeur sur le choix des indicateurs (Cloud Act aux USA, PIPL en
Chine, etc.) et cela impacte bien sûr le choix des indicateurs. Le RSSI doit donc
choisir ses indicateurs en fonction du “scorecard” de son entreprise et de ses
activités. Rappelons que tous les indicateurs doivent être SMART : Spécifique,
Mesurable, Atteignable, Réaliste et Temporellement défini. Parmi les questions
à se poser avant de choisir ses indicateurs, il est important de savoir si le RSSI
rend des comptes à la DSI ou au COMEX (ou aux deux à la fois). Tous n’auront
pas les mêmes besoins en termes d’indicateurs.
Indicateurs stratégiques et opérationnels
On peut distinguer deux principales typologies d’indicateurs : les indicateurs
stratégiques et les indicateurs opérationnels. Les indicateurs opérationnels
permettent un suivi progressif et factuel. Ils offrent des mesures quantifiables.
Par exemple, on y retrouve le nombre de vulnérabilités, le nombre d’alertes de
sécurité, le bilan d’un test d’intrusion ou la fréquence des mises à jour, etc.
Les indicateurs stratégiques, quant à eux, sont tout aussi essentiels, mais moins
facilement quantifiables. S’ils permettent également un suivi dans le temps, ils
ont comme principale caractéristique d’être adaptés aux risques liés à l’activité
de l’entreprise. Bien sûr, ces risques diffèrent d’une organisation à une autre.
Un OIV n’est pas soumis aux mêmes risques et pressions qu’une entreprise qui
commercialise des biens de grande consommation. Il est très important de
bien choisir les responsables et de s’appuyer dessus. Cela implique que le RSSI
soit capable de bien communiquer avec les bons propriétaires de chaque
indicateur.
Autre écueil à éviter : les “listes à la Prévert”. La quantité ne fait pas la qualité. Il
faut bien identifier et lister les menaces qui sont réellement pertinentes pour
son activité sans se perdre dans des menaces qui ne seront pas intéressantes
à surveiller. Pour cela, il faut bien connaître son parc, mais aussi la maturité et
la culture de l’entreprise en matière de cyber.
_Cyberun#30
DIDIER BARZIN
RSSI, Centre hospitalier Émile Mayrisch
Luxembourg
Arrêtons les feuilles
de calcul !
Deming est un outil Open Source disponible sur
GitHub et distribué sous licence GPL qui facilite le
processus de contrôle du système de manage-
ment de la sécurité de l’information (SMSI) en
automatisant la génération des tableaux de bord,
le planning des activités, la conservation des
preuves et le suivi des plans d’action.
Deming a été conçu afin de pouvoir s’adapter aux
besoins de n’importe quelle organisation. Il est
fourni avec un ensemble de mesures de sécurité
issues de la norme ISO 27001:2022, mais peut être
adapté à d’autres normes, comme PCI DSS, HDS
ou NIST 800-53.
Mettre en place et suivre au jour le jour un système
de management de la sécurité de l’information est
un travail fastidieux qui nécessite énormément
d’énergie de la part du RSSI. Un SMSI de taille
moyenne contient souvent plus d’une centaine de
mesures de sécurité, qu’il faut, selon son organi-
sation et le cadre légal, contrôler une ou deux fois
par année, et cela parfois sur plusieurs sites. Le
RSSI doit planifier les activités, rédiger des fiches
de contrôle, conserver des preuves, mettre en
place des tableaux de bord, suivre des plans d’ac-
tion et animer des réunions de pilotage. Pour cela
encore, beaucoup des RSSI font le suivi des indi-
cateurs et leurs tableaux de bord dans des feuilles
de calcul. Si un grain de sable vient à se glisser dans
ce processus, sous la forme d’une ligne disparue
ou d’une erreur dans une formule de calcul, cela
peut mener à une non-conformité majeure lors
d’un audit d’un contrôle et mettre en péril tout le
BENJAMIN LEROUX | Directeur marketing, Advens
La quête du Graal I N D I C AT E U R S
des indicateurs “high level” Pour mesurer l’objectif de maîtrise des
Le choix des indicateurs est une étape cruciale. Ils vont matérialiser incidents de sécurité grâce à une supervision
le tableau de bord, alimenter l’analyse souhaitée par cet outil de pilo- permanente et une réponse efficace, on peut
tage et permettre de faire passer des messages à ses destinataires. croiser le pourcentage de couverture du SI
Ce travail de synthèse peut devenir un casse-tête lorsque les desti- par le SOC, avec le temps moyen de détection
nataires ne sont pas des experts de la cyber… Comment identifier et et de réaction (les fameux “mean time to
produire des indicateurs pouvant être interprétés et appréciés par detect” et “mean time to respond”). Et pour les
des responsables métiers ou par la direction générale ? plus matures, on peut ajouter le pourcentage
d’incidents gérés de façon automatique sans
Les indicateurs techniques sont souvent vite exclus d’un tableau de bord “high level”.
intervention humaine. On pourrait aussi
Trop ciblés ou trop experts, ils sont vite sortis du débat. Certains indicateurs de déploiement
intégrer des éléments sur le plan de formation
d’une mesure de sécurité peuvent être intéressants. “L’EDR n’est toujours pas déployé
des équipes SecOps pour une vision encore
à X % sur le périmètre de votre métier alors que c’est un objectif global…” : voilà qui peut
plus globale.
être utile pour faire avancer un projet, mais ce n’est parfois qu’une priorité parmi tant
d’autres pour le RSSI. B O N N E S P R AT I Q U E S
Pour prendre un peu de recul, on peut faire appel à des indicateurs d’avancement du
Il faut partir des risques et/ou des objectifs
plan d’action et s’appuyer sur l’arsenal des chefs de projet : suivi de l’âge des actions,
prioritaires de la cybersécurité dans
âge de l’action la plus ancienne, moyenne des actions clôturées dans les délais prévus…
l’organisation dans une logique de “top down”
Avec un processus de suivi des tâches plutôt rigoureux, ces indicateurs sont simples à
(et non “bottom up”).
produire. Et si l’on souhaite faire un lien avec la cyber, on peut envisager une matrice
croisant la complexité des actions et leur impact sur le niveau de sécurité. Une telle Il ne faut pas avoir peur de mélanger les
matrice est utile pour débloquer des actions “quick win”. Mais elle présente le risque de disciplines, de faire cohabiter les résultats
laisser s’embourber des travaux plus complexes ou plus pénibles… de la campagne de sensibilisation avec le taux
de déploiement d’une solution de sécurité.
Pour les échanges avec la direction, le tableau de bord est parfois intégré dans un
tableau de bord plus global. Il est parfois demandé un reporting synthétisé à l’extrême,
C’est finalement représentatif de ce qui fait
avec un seul indicateur.
une démarche de sécurité, un subtil mélange
de technique, de process et d’humain.
Évaluation du niveau de sécurité, comparaison avec les concurrents, juste allocation
La méthode de calcul n’est pas universelle ni
des dépenses, avancement des travaux, identification des nouvelles menaces, etc. : on
normée. Elle est à définir pour donner du sens
souhaiterait que cet indicateur magique modélise tous ces éléments. Les agences de
à l’indicateur. Elle sera spécifique, mais doit
rating cyber s’y sont essayées et proposent cet indicateur unique, en reprenant des
être documentée… et rationnelle !
codes qui parlent aux dirigeants. On souhaite tous être “A+”, logique ! Mais, pour le
moment, le calcul de cette note est tantôt flou (peu ou pas d’information sur la ERREURS À ÉVITER
méthode), tantôt incomplet (évaluation basée essentiellement sur les actifs exposés),
tantôt déséquilibré (poids trop fort accordé à certains sujets, comme la qualité du SSL/ L’indicateur est important pour matérialiser,
comparer, analyser. Mais le plus important
TLS sur les sites web de l’entité évaluée). Et cela a fait récemment réagir le CESIN.
est le dialogue qui en découle. Préparez
Au risque d’être défaitiste, il y a encore du travail pour trouver cet indicateur unique,
les messages qui l’accompagnent !
qui conviendrait à n’importe quelle structure, dans n’importe quel pays, au sein de
n’importe quel secteur d’activité…
processus de certification mis en place par son organisation. Visualisation des indicateurs clés de performance (KPI) : les
L’utilisation d’un outil de gestion facilite la collecte et l’organisation tableaux de bord sont essentiels pour surveiller les performances
des données, la visualisation des KPI, le suivi du planning, l’auto- du SMSI. Cela permet de visualiser les KPI pertinents pour évaluer
matisation des rapports, la prise de décision éclairée, ainsi que la la sécurité de l’information et pour suivre et communiquer les
communication avec la direction et la sensibilisation des parties progrès réalisés.
intéressées.
Automatisation des rapports : les tableaux de bord et les rapports
Suivi des contrôles : la planification des contrôles est facilitée, on fournissent une vision synthétique et claire de la situation de la
dispose d’une vue sur la charge de travail et sur l’état d’avancement sécurité de l’information. Ils aident à prendre des décisions éclai-
du travail de vérification de l’efficacité des contrôles. rées en identifiant les problèmes, les tendances et les domaines
Déléguer des contrôles : une seule personne ne peut pas tout nécessitant une attention particulière, et ainsi rapidement repérer
vérifier seule, déléguer le travail de vérification à d’autres membres les écarts par rapport aux objectifs fixés et prendre des mesures
de l’équipe permet d’améliorer la compréhension des objectifs au appropriées pour les résoudre.
sein des équipes concernées. Communication et sensibilisation : les tableaux de bord sont des
Collecter et organiser les preuves : collecter, organiser et centrali- outils puissants pour communiquer les résultats et les progrès en
ser les données pertinentes pour le SMSI permet de faciliter le matière de sécurité de l’information à la direction et aux parties
processus d’audit. Il n’est plus nécessaire de rechercher les prenantes. Ils facilitent la sensibilisation à la sécurité et permettent
informations utilisées lors des vérifications dans différentes de démontrer la valeur ajoutée du SMSI et du maintien d’une
sources d’informations (outils métiers, partage réseau, mails, etc.). certification.
_02 / _03

L’ E N Q U Ê T E
DATAS
Bien que les organisations s’attendent à subir des fuites de données,
beaucoup s’interrogent sur leurs facultés à les détecter.
NATHALIE GIEREK | Cybersecurit y Exper t Consultant, Devoteam
Face à la recrudescence des failles de sécurité, les services
informatiques tentent d’imposer le concept Zero Trust,
modèle de sécurité qui repose sur le principe qu’aucun
utilisateur n’est totalement digne de confiance sur un
réseau. Que ce dernier peut être amené volontairement ou
involontairement à divulguer des données de l’entreprise,
y accéder sans pour autant y être habilité par son métier…
Avant toute chose, il est nécessaire de connaître le patrimoine informationnel
de l’entreprise : savoir les types de données que l’entreprise a en sa possession,
où ces données se situent et quelle est leur sensibilité.
Pour ce faire, il doit s’assurer d’avoir une cartographie des applications de
l’entreprise, qui lui permet de déterminer, au niveau des données, leur état
(au repos, en transit et en cours d’utilisation), leur type/format (structurées
ou non structurées), leur nature (données de santé, données de ressources
humaines, données business, etc.).
Les données doivent être classifiées par rapport à leur sensibilité.
Un point majeur est d’observer comment les données sont utilisées et comment
elles sont stockées : sur les équipements de stockage (SAN Storage Access
Network, NAS Network Attached Storage, les équipements réseau, les envi-
ronnements cloud).
Certains des éléments importants qui doivent être analysés avec soin com-
prennent, mais sans s’y limiter : l’activité sur les postes de travail, l’activité
réseau, la gestion des droits, le transfert des données, le partage des données
par email, l’utilisation des devices amovibles, le trafic web).
Pour alimenter les remontées d’informations, des outils peuvent s’avérer
utiles. Ainsi, la mise en place de logiciels de type EDR (Endpoint Detection
and Response), technologie de détection des menaces sur les ordinateurs et
serveurs connectés au réseau et non le réseau lui-même, permet de détecter
des activités suspectes sur ces mêmes ordinateurs et serveurs. L’instauration
d’un modèle d’un “accès basé sur des droits minimums” permet de restreindre
l’accès des utilisateurs ou groupes d’utilisateurs aux seules ressources dont
ils ont besoin.
L’utilisation de CASB (Cloud Access Security Brokers) est un plus. Ce point
d’application de la stratégie de sécurité (sur site ou dans le cloud) intervient
entre les utilisateurs et les fournisseurs de services cloud. Il combine et associe
les stratégies de sécurité d’entreprise lorsque des utilisateurs accèdent à des
ressources dans le cloud.
_Cyberun#30
I N D I C AT E U R S
 es indicateurs sur le non-respect des mesures
D accèdent aux données au niveau applicatif, réseau, OS, stockage
de sécurité, comme le nombre de postes sans
antivirus, sans EDR, non chiffrés, sans application
de la politique de non-utilisation de médias
amovibles ;
 ’autres indicateurs sur la sensibilisation à la
D toujours les actions simples qui exploitent des failles
cybersécurité des collaborateurs/partenaires ;
 es indicateurs associés au cumul des droits
D  hiffrez vos bdd réellement au niveau du bloc de
des administrateurs ou utilisateurs et les revues ;
 es indicateurs sur le nombre d’applications/
D chiffrement applicatif, fichier ou disque. Retenez
infrastructures auditées et leurs résultats ;
 es indicateurs visant les transferts de masse
D
(mails, imprimantes/scanners, cloud) en
fonction ou non de la classification des
données.
B O N N E S P R AT I Q U E S
Il est nécessaire de qualifier l’indicateur en
fonction de sa nature (indicateur “d’exposition au
risque”, “d’incident”, “de ressources allouées”, etc.),
de sa pertinence (“prioritaire” ou “secondaire”)
à l’égard des attentes exprimées, des facteurs clés
de succès retenus, de la complexité de son
alimentation (organisationnelle, technique, etc.),
des données en entrée/sortie, du porteur et des
contributeurs éventuels.
ERREURS À ÉVITER
Une erreur est de ne pas adapter le contenu des
tableaux de bord au niveau de maturité de l’entre-
prise et de l’organisation (suivre l’implémentation des
mesures, s’assurer de l’efficacité du dispositif, etc.).
La conception des indicateurs est un des éléments
clés de la construction d’un tableau de bord, mais
celle des vues à destination des publics différents
l’est aussi – et elle ne doit pas être négligée.
I N D I C AT E U R S
HAKIM LOUMI | Senior Product Manager, DB Securit y, Oracle
Taux de détection des fuites
Évalue la capacité à détecter et à prévenir les tentatives
Les bases de données (bdd) sont la clé de voûte de l’entreprise moderne.
d’attaques visant à voler ou à compromettre
Malgré cette importance cruciale, leur sécurité reste souvent négligée.
les données.
De plus, le manque de compétences spécialisées dans ce domaine est
Temps moyen de réponse aux incidents
flagrant à ce jour, à l’échelle mondiale. Il est donc difficile pour les RSSI
Mesure le temps nécessaire pour détecter, signaler
d’appréhender toute la technicité nécessaire pour garantir une sécurité
optimale de leurs données, surtout quand elles se trouvent dans
et réagir aux incidents de fuite de données.
des environnements hétérogènes et multi-cloud. Taux de réussite de récupération
Mesure la capacité à restaurer les données après
1_Évaluation des risques et impacts une attaque réussie, fournissant ainsi une mesure
É
 tablir et maintenir la cartographie des données critiques concrète de la résilience face aux attaques.
(nature, sensibilité, localisation et cycle de vie). ERREURS À ÉVITER
J
 ustifier systématiquement la duplication des données sensibles
Ces recommandations peuvent représenter un travail
dans les environnements hors production et sur fichiers inertes
conséquent selon le degré de maturité technique ou
(backups, exports et fichiers). Il est important de toujours savoir
des moyens humains, technologiques et financiers dont
pourquoi une donnée est répliquée sur un système moins sécurisé,
l’entreprise dispose.
à quelle fréquence et sous la responsabilité de qui, afin de
Certains pourraient donc être amenés à vouloir aller
déterminer le degré de sécurité nécessaire à mettre en œuvre.
trop vite et à omettre quelques-uns de ces aspects.
F
 aire une analyse complète des risques pour identifier les
Faites une véritable analyse de risques et mettez-la
conséquences potentielles de la divulgation, de l’altération
à jour autant que nécessaire. Comprendre l’impact
ou de la perte des données critiques.
que la compromission ou la fuite de vos données
2_Gestion des comptes et des droits d’accès peut avoir sur l’entreprise si elle survient et savoir
É
 tablir et maintenir la cartographie des comptes et individus qui présenter clairement les enjeux aux décideurs sont
des éléments indispensables pour les convaincre
et bdd. d’investir dans le plan d’action à mettre en œuvre.
 ’ignorez jamais les recommandations de sécurité
N
R
 especter toujours les trois règles fondamentales de sécurité
des éditeurs et appliquez rigoureusement les patchs
de ces comptes (le principe du moindre privilège, le droit d’en savoir
de sécurité dès leur sortie. Les attaquants privilégient
et la séparation des privilèges) pour garantir qu’ils possèdent des
droits adaptés à leur fonction et à leurs habilitations.
connues et rendues publiques par les éditeurs.
M
 ettre en place une politique rigoureuse de gestion des mots de
C
passe pour ces comptes : des mots de passe forts et un changement
données et ne vous contentez surtout pas d’un
tous les trois mois, ou dès le départ de l’utilisateur, sont recommandés.
S
 ’assurer que tout changement de situation d’un utilisateur qu’il n’y a pas mieux que l’éditeur d’une bdd pour
(arrivée, départ, mutation) est systématiquement pris en compte. vous offrir la meilleure solution de chiffrement de
3_Paramétrage et sécurité des bdd vos données. Évitez donc les solutions agnostiques
qui semblent séduisantes, mais qui n’offrent en
M
 aintenir toujours un paramétrage conforme aux bonnes pratiques
réalité que l’illusion de la sécurité. Les moyens de
de sécurité recommandées par l’éditeur.
contournement de ces solutions sont nombreux
A
 ppliquer les patchs de sécurité fournis par l’éditeur. et plutôt accessibles techniquement.
D
 étecter et bloquer toute tentative d’élévation de privilège ou de  urveillez en temps réel toute l’activité et éditez
S
modification du paramétrage qui ne serait pas autorisée. régulièrement des rapports de ces activités (activité
T
 ester régulièrement les backups et la stratégie de reprise d’activité (PRA). interne, de même que les accès aux fichiers par les
Admins System, Stockage et Réseau).
C
 hiffrer les données au niveau bloc pour garantir la sécurisation
Ainsi, vous saurez qui fait quoi, quand et comment.
des Data-At-Rest et Data-In-Transit.
Enfin, évitez de trop travailler en mode “top-down”
4_Surveillance de la bdd
et sans le consentement de toutes les parties
S
 urveiller l’activité en continu des bdd pour détecter les anomalies prenantes. Il est donc primordial que toutes les
et les comportements suspects. personnes impactées et impactantes (métiers, IT,
MOE, MOA, utilisateurs et décideurs) comprennent
N
 otifier en temps réel les incidents de sécurité et les activités
les enjeux et acceptent la nécessité d’appliquer le
inhabituelles.
plan d’action tel que défini. Pour cela, identifiez les
M
 ettre en place une solution de SQL Firewalling pour prémunir les
personnes motrices et celles qui sont réfractaires,
attaques par injection SQL et les tentatives d’exfiltration de données.
collaborez et co-construisez avec elles, puis
5_Conformité réglementaire communiquez efficacement les bonnes pratiques,
R
 especter les lois et réglementations applicables. testez les procédures d’intervention, formez-les
régulièrement et impliquez-les dans les réunions
S
 e conformer aux normes internes et aux normes de son industrie.
post-mortem (à la fin d’un incident) pour corriger
S
 e préparer aux audits et évaluations externes. et améliorer les éléments qui ont démontré leur
É
 diter régulièrement des rapports de conformité. faiblesse.
_04 / _05
 Campagnes de phishing et exercices
LIONEL MOURER | Directeur général, I N D I C AT E U R S
de simulation d’attaques ou de crise :
consultant principal , Manika
Taux de formation et/ou sensibilisa- ils permettent de mesurer la vigilance
L’ E N Q U Ê T E tion : le RSSI peut mesurer le pour- des employés face aux attaques de
Promouvoir la “culture sécurité de l’information”
centage d’employés qui ont suivi des sécurité. Un taux de réussite élevé
en sensibilisant l’ensemble de son organisation
formations et/ou sensibilisation en dans ces tests peut indiquer un besoin
SENSIBILISATION est au cœur des fonctions du RSSI.
sécurité de l’information. Taux de de sensibilisation supplémentaire.
Le tableau de bord sur la sensibilisation doit réussite des exercices de sensibilisa-
Une approche data driven permet de s’assurer de l’efficacité de son fournir une vue d’ensemble des efforts déployés tion : ils permettent d’évaluer la B O N N E S P R AT I Q U E S
programme de sensibilisation et d’ajuster si besoin son contenu pour pour sensibiliser les employés à l’importance de compréhension des employés en
Avec des départs et arrivées réguliers
la sécurité de l’information, ainsi que des résultats matière de sécurité de l’information.
l’optimiser. obtenus. de nouvelles personnes, l’organisation
Le RSSI peut mesurer le taux de
est en constante évolution.
Suivi des activités : il permet de suivre les diffé- réussite de ces tests pour évaluer
De plus, l’acculturation touche
rentes initiatives mises en place, telles que les l’efficacité des programmes de
directement à l’humain…
formations, les campagnes de sensibilisation, les sensibilisation. Signalement des
Ainsi, il est nécessaire d’y revenir en
communications internes, etc. incidents de sécurité : le nombre
permanence et le découragement
Évaluation des performances : il permet d’éva- et la nature des incidents de sécurité
n’est pas une option ! Également, les
luer l’efficacité des initiatives de sensibilisation. signalés peuvent être un indicateur
individus ont différents niveaux de
de la sensibilisation à la sécurité de
Détection des lacunes : Par exemple, si une connaissances et de compétences en
l’information. Nombre d’incidents de
direction spécifique montre un faible taux de matière de sécurité de l’information,
sécurité liés à une erreur humaine :
THEO Z AFIR AKOS | RSSI, Terranova Securit y participation aux formations ou un manque de ainsi, le “langage” utilisé doit être
les incidents de sécurité causés par
connaissances sur les bonnes pratiques de compréhensible par tous.
des erreurs humaines, tels que la
sécurité de l’information, cela peut indiquer un
divulgation involontaire d’informa- ERREURS À ÉVITER
La mise en place d’un programme approche “data driven” permet d’identi- suffit pas, encore faut-il diffuser des besoin de renforcer la sensibilisation.
tions sensibles ou le partage de mots
de sensibilisation à la cybersécurité fier les zones d’amélioration et les rapports et des tableaux de bord aux Prise de décision éclairée : en fournissant des de passe, indiquent la nécessité de Dans la suite de la bonne pratique
est une démarche au long cours, qui actions à mener en priorité pour bonnes personnes. Communiquer données concrètes sur l’efficacité des initiatives, renforcer la sensibilisation et la ci-dessus, le RSSI doit être infatigable
doit faire l’objet d’évaluations et abaisser le niveau de risque sur les résultats obtenus fait plei- le tableau de bord aide les responsables à prendre formation des employés. Taux de et résistant. Il doit accompagner
d’ajustements en prenant appui sur h u m a i n d e l ’o r g a n i s a t i o n . nement partie de la démarche des décisions éclairées. Par exemple, ils peuvent conformité aux politiques de sécurité : toutes les personnes de l’organisa-
des indicateurs et des données, pour L’enjeu d’un programme de d’évaluation. Un RSSI qui ne par- décider d’allouer davantage de ressources à une l’évaluation du niveau de conformité tion, de celles qui sont intéressées par
s’assurer des réels changements de sensibilisation à la cybersécurité viendrait pas à prouver que son campagne spécifique, de modifier une approche des employés aux politiques et la sécurité de l’information à celles qui
comportements des collaborateurs est bien de soutenir les objectifs programme de sensibilisation de sensibilisation qui ne fonctionne pas, ou de procédures de sécurité de l’information le sont moins, voire parfois pas du
et atteindre les objectifs de sécurité et les initiatives de l’organisation réduit les risques cyber au sein de renforcer les formations dans certains domaines montre la maturité de l’organisation tout… Aussi, il doit impliquer la
de l’entreprise pour mieux la protéger. en matière de sécurité. l’entreprise aura le plus grand de risque. en matière de sécurité de l’information. direction générale et les directeurs/
L’évaluation d’un programme de sensibi- Recueillir et agréger mal à obtenir l’accord Communication et responsabilité : il peut servir Enquêtes de satisfaction des responsables. Ce point est crucial
lisation à la cybersécurité passe par une des données relatives de la direction pour de support de communication pour partager les employés : le RSSI peut utiliser pour renforcer la culture de la
extraction des données et des indicateurs à son programme de poursuivre cette résultats des initiatives de sensibilisation avec la des enquêtes pour évaluer sécurité de l’information au sein de
d’évaluation les plus pertinents. Cette sensibilisation ne démarche. direction et d’autres parties prenantes. Il favorise la perception des employés vis-à-vis l’organisation. Si les dirigeants ne
la transparence et permet de rendre le RSSI des initiatives de sensibilisation soutiennent pas activement les
responsable de ses activités et de ses résultats. à la sécurité de l’information. initiatives de sensibilisation, il peut
Des résultats positifs peuvent être difficile de susciter l’engagement
I N D I C AT E U R S
indiquer une sensibilisation efficace. des employés.
Les KPI clés L’indice de sensibilisation à la sécurité
B O N N E S P R AT I Q U E S
L’efficacité d’un programme de sensibilisation se mesure selon Au-delà des différents indicateurs de performance relatifs
trois grands principes : au programme de formation, il est également recommandé Définir un point de départ des objectifs pour mesurer revoir ses tableaux de bord au moins chaque trimestre,
L’engagement envers la formation, qui englobe le taux de
de définir un indice de sensibilisation à la sécurité. les progrès en vérifiant que les données représentées soutiennent bien
Il peut être propre à chaque collaborateur ou permettre Pour évaluer l’efficacité d’un programme de sensibilisation, les objectifs de sécurité de l’entreprise.
participation à la formation, le taux d’achèvement des cours,
de quantifier les risques humains de manière globale. il faut définir un point de départ et des objectifs.
le pourcentage d’employés ayant complété la formation dans
Cet indice est élaboré à partir de différents éléments : ERREURS À ÉVITER
les temps, etc. Il est recommandé de réunir les équipes concernées par
 es connaissances individuelles en cybersécurité des
L l’atténuation des risques cyber en s’affranchissant des barrières
Les changements de comportement des employés, qui se L’absence de vision et d’objectifs
collaborateurs (avant la sensibilisation), organisationnelles de l’entreprise.
mesurent par les résultats aux évaluations et aux simulations Une entreprise qui n’aurait ni vision ni objectifs au sujet
d’hameçonnage (taux de clics et de soumissions d’informations  es performances des collaborateurs après avoir participé
L Créer des tableaux de bord et des rapports personnalisés de son programme de sensibilisation ne serait pas en mesure
sensibles, taux d’ouverture d’une pièce jointe), et plus globale- à un programme de sensibilisation et à des simulations Les tableaux de bord agrégeant les résultats des programmes d’évaluer les changements de comportement et, in fine, la
ment la réduction du nombre d’incidents découlant d’une de hameçonnage, de sensibilisation doivent être réalisés à partir de paramètres réduction de son facteur de risque humain. La mise en place
attaque de phishing, etc.  ’évolution des changements de comportement des
L spécifiques (un cours, une simulation, par exemple), avec d’éléments de mesure est un prérequis à toute démarche
Le développement d’une culture de sécurité qui s’observe par collaborateurs. la possibilité de filtrer par pays, par ville, par type d’employé, de formation en sensibilisation à la cybersécurité.
en fonction des progrès de l’utilisateur, etc.
l’augmentation du nombre d’employés signalant les mails de L’entreprise peut construire un indice personnalisé en fonction Les analyses génériques ou statiques
phishing réels ou fictifs, la réduction du temps de l’équipe IT passé de ses besoins, en attribuant par exemple des coefficients à Affiner ses tableaux de bord chaque trimestre Les RSSI ne peuvent se contenter d’analyses génériques
à la résolution de tickets, la réduction des coûts liés à des incidents certaines actions de sensibilisation. Cet indice aide l’entreprise Un programme de formation à la cybersécurité doit évoluer ou statiques pour mesurer l’efficacité de leur programme
ayant entraîné des interruptions de service, mais aussi l’émergence à identifier les personnes à haut risque et à prioriser certaines régulièrement, en fonction des résultats obtenus et des de sensibilisation à la sécurité. Les données trop générales
d’un intérêt pour les enjeux de sécurité de l’information, etc. actions en vue d’améliorer leurs comportements. objectifs de sécurité de l’entreprise. Il est recommandé de doivent être exclues au profit d’indicateurs personnalisés.

_Cyberun#30 _06 / _07


L’ E N Q U Ê T E
RISQUES HUMAINS ET TECHNOLOGIQUES
La culture de l’analyse de risque s’étend tout autant aux sujets les plus
techniques qu’aux questions humaines.
FABRICE LITAIZE | Exper t cybercriminalité, responsable C TI, Anozr Way
Aujourd’hui, 80 %
des cyberattaques
exploitent les
vulnérabilités
humaines. Pour
répondre à cet
enjeu incontour-
nable, la difficulté majeure des RSSI
et leurs équipes est de quantifier
et d’évaluer les risques de leurs
collaborateurs. Cet enjeu va
au-delà du rôle de l’équipe SI/SSI,
car le scoring de risque influence
la gouvernance sécurité de
l’entreprise au niveau exécutif.
Les méthodes de mesure souvent
employées passent par les résultats
aux tests de faux phishing, ou par les
q u iz d e fo rm ati o n s . L à o ù ce s
méthodes font défaut, c’est qu’elles
évaluent un comportement, une
montée en connaissance. Elles ne
permettent pas une mesure du risque
réel encouru par les dirigeants et col-
laborateurs, en prenant en compte le
point de vue des attaquants. Surtout,
elles ne permettent pas d’évaluer le
risque humain avec tout son panel de
menaces : phishing ciblé, usurpation
d’ identité, compromission de
comptes (ATO), contournement de
l’authentification multi-facteur (MFA
by passing), etc.
L’autre défi pour les équipes SSI pour
gérer les risques liés aux collabora-
teurs est la zone aveugle que repré-
sentent leurs usages personnels :
réseaux sociaux, shadow IT, BYOD…
Cette sphère personnelle échappe au
_Cyberun#30
périmètre de protection de l’entre-
prise, alors même qu’elle est le
vecteur d’attaque privilégié par les
hackers et amplificateur de risques.
Il est ainsi nécessaire de pouvoir
considérer un collaborateur dans son
ensemble, en intégrant cette dimen-
sion personnelle dans l’évaluation des
risques et le déploiement des actions
de remédiation.
Enfin, le diagnostic et l’évaluation des
risques humains ont l’avantage d’être
un terrain de discussion plus concret
et appréciable de la cybersécurité
pour les dirigeants, un réel levier faci-
litateur pour les DSI-RSSI. Parler à ses
VIP de leur propre protection en étant
en capacité de mesurer leur niveau de
risque réel est un moyen éprouvé de
les impliquer, à la fois dans la remé-
diation de leur propre exposition et,
plus largement, dans les sujets de
gouvernance de la cybersécurité.
Évaluer et réduire le risque
humain est possible !
Généralement, une personne est
définie comme à risque au sein de son
organisation par son statut – membre
de COMEX, CODIR –, par ses droits
d’accès et ses mandats. Par ailleurs,
même si les membres de COMEX,
CODIR doivent a priori être de facto
tous protégés – selon notre dernière
étude, 70 % des dirigeants et hauts
cadres ont un niveau de risque cyber
à haut risque –, il est fort utile de
pouvoir se baser sur un niveau
d’exposition cyber réel afin de prioriser
le déploiement d’une protection.
I N D I C AT E U R S
Une façon d’évaluer la surface d’attaque
humaine réelle de l’entreprise est de détecter
et d’analyser l’ensemble des indicateurs de
compromission humains (IoC-H ANOZR WAY)
exposés sur le web, dont les réseaux sociaux,
et fuités sur le darkweb. Nous avons défini
environ 40 types de données professionnelles
et personnelles (credentials, données
d’identité, financières, de santé, centres
d’intérêts, réseau de relations, etc.) à prendre
en compte dans la gestion des risques
humains. Ces IoC-H correspondent aux
données récoltées et exploitées par les
hackers dans leurs scénarios d’attaques
contre les dirigeants et collaborateurs.
C’est ce qui alimente notre algorithme de
scoring des cyber-risques humains.
Ce scoring évalue à la fois les risques à
l’échelle de l’entité, mais également à l’échelle
individuelle, permettant d’identifier les
dirigeants et collaborateurs les plus exposés
dans les yeux de l’attaquant. Ce diagnostic
de risque prend en compte les méthodologies
d’ingénierie sociale pratiquées par les
cybercriminels et le panel des menaces
à la prévalence la plus élevée : phishing ciblé,
usurpation d’identité, compromission de
comptes (ATO), contournement de l’authenti-
fication multi-facteur (MFA by passing), etc.
Comme cette approche se base sur des
vulnérabilités réelles exploitées par les
hackers, elle permet, au-delà de la simple
évaluation du risque, de pouvoir définir un
plan de remédiation concret. En effet, nous
constatons une diminution de la surface
d’attaque humaine et des risques associés
de 68 % en moyenne pour nos clients.
BENJAMIN VERDIER | Exper t sysops
et architecte cloud, Devoteam
Toute migration cloud apporte son lot
de nouvelles problématiques pour l’IT.
Les points les plus critiques en termes
de sécurité sont notamment :
La difficulté à encadrer les accès aux ressources
cloud, qui nécessite la mise en place d’un bastion
pour sécuriser ces accès ;
La difficulté à centraliser les sorties sur Internet,
qui nécessite la mise en place d’un proxy dédié ;
Le besoin de centraliser les logs générés par les
composants du parc ;
La capacité à gérer le patching des serveurs/
instances et, au-delà, de sécuriser la configura-
tion des OS de façon globale ;
La définition et mise en œuvre d’une politique
de tagging des ressources. Cette politique
permet de s’assurer de la cohérence et de l’uni-
formité des tags (les services techniques ou
FinOps s’appuient sur ces tags pour travailler de
façon efficiente).
Ces enjeux de sécurité cloud sont souvent les
mêmes qu’on-premise. Mais l’architecture des
dispositifs de protection/réaction mise en place,
et donc le suivi de la conformité de toutes les
ressources déployées, peut être très différente
dans un environnement cloud.
Par conséquent, dans le cas du projet client
pour lequel nous sommes intervenus, l’objectif
était de mettre en place une solution de super-
vision de la conformité à la fois des instances/
serveurs de production et des différentes res-
sources sécurité déployées pour répondre aux
enjeux cités ci-dessus. Ce client utilisait le cloud
AWS, et nous l’avons accompagné en construi-
sant avec lui deux tableaux de bord sécurisé : le
“panoptique” pour le suivi des conformités (tags,
proxy, bastion, log, antivirus, EDR, etc.) et le
“patching” pour le suivi des mises à jour OS. Les
résultats de ces tableaux de bord nous ont
également permis d’alimenter une mesure
innovante : la taxe sécurité projet !
B O N N E S P R AT I Q U E S
Gérer et diminuer les cyber-risques
humains passe par :
La détection des indicateurs de
compromission humains de l’ensemble
de son organisation, à l’échelle globale
et individuelle ;
L’évaluation de la surface d’attaque
humaine et le scoring des risques associés,
en prenant en compte les menaces
spécifiques à l’humain ;
I N D I C AT E U R S
Le “panoptique”
Ce tableau de bord permet de donner
une vision globale de l’état de
sécurisation des ressources. Actuelle-
ment, deux types de ressources sont
analysés en détail : les serveurs
(instances) et les équilibreurs de
charge (ALB/ELB). Les différentes
pages du tableau de bord permettent
de trouver des indicateurs détaillés
et/ou agrégés par entités (services).
Chacun peut voir rapidement et
simplement l’état de son infrastructure.
Un système de filtrage dynamique
permet de cibler les différentes
ressources en fonction de critères
(conforme/non conforme, nature
du service, type de ressources, etc.).
Le “patching”
Ce tableau de bord permet de
présenter un inventaire détaillé et
dynamique des niveaux de patching
des instances enrôlées dans le
système de mise à jour automatique
des OS. Il est ainsi possible d’avoir une
vue quotidienne des résultats de la
campagne mensuelle de mise à jour.
La taxe sécurité projet
En s’appuyant sur les résultats de
non-conformité produits, nous avons
pu enrichir le dispositif innovant de
taxe sécurité des projets non
conformes, instaurée par l’équipe SSI
en 2021. Elle a pour but d’encourager
les projets à mettre en place les
mesures de sécurité de base. Elle est
calculée en fin de mois à partir
d’extractions des tableaux de bord :
une somme de taxe globale est divisée
par le nombre de non-conformités
Proxy, Bastion, Journalisation des
serveurs sensibles et des équilibreurs
de charge exposés, EDR et Agent
Qualys. Ce calcul donne le coût
Le monitoring continu du risque :
les millions de données fuitées
sur le darkweb alimentent toujours plus
l’empreinte numérique exploitable des
dirigeants et collaborateurs ;
La remédiation : un plan d’action concret
et priorisé grâce à l’identification des
personnes les plus exposées, pour faire de
ses collaborateurs des cibles moins faciles
pour les hackers.
L’équipe SSI ne peut pas être seule face à
cette gestion : la condition de succès sine
mensuel de la non-conformité du
mois, multiplié ensuite par le nombre
de non-conformités total de chaque
client – qui reçoit la facture associée !
B O N N E S P R AT I Q U E S
La solution de patching automatique
client s’appuie sur le service “Système
Manager” d’AWS. En utilisant les infos
présentes dans SSM, il a été possible
de mettre en place une solution
agnostique assurant de façon simple
et rapide un suivi de patching des
instances enrôlées dans le service,
qui permet aussi le maintien en
conditions opérationnelles et la
sécurisation des OS. La diffusion des
résultats est accompagnée de coms
auprès des utilisateurs pour le suivi
des instances bénéficiaires du service.
ERREURS À ÉVITER
Les utilisateurs nous remontent
régulièrement leur intérêt pour ces
tableaux de bord, qui sont devenus
des outils incontournables de leur
activité. Ils apprécient notamment
la simplicité d’usage et la facilité de
lecture des infos, pour un sujet pas
si simple à appréhender pour les
non-initiés en sécurité. En revanche,
la taxe n’a pas forcément été “facile-
ment” accueillie dès le début. Pas tant
en raison du coût (mineur, en fait),
mais plutôt parce que les résultats
sont exposés de façon publique en
interne. Avec le temps, et avec un
travail important de sensibilisation
et de support aux utilisateurs, nous
avons pu faire valoir sa pertinence,
et notamment démontrer l’évolution
plus que positive du niveau de
conformité du SI. Ce travail d’évangé-
lisation est mené quotidiennement –
et ça paie (sans jeu de mots) !
qua none pour un plan de remédiation
efficace est l’implication des collabora-
teurs dans la correction de leurs propres
vulnérabilités. En résumé, une chaîne de
remédiation complète des cyber-risques
humains nécessite à la fois une évaluation
des risques réels du point de vue externe
des attaquants et l’implication des
collaborateurs les plus à risque pour
réduire leur propre surface d’attaque
humaine. Ainsi, la somme des protections
individuelles permet la protection de toute
l’entreprise.
_08 / _09
 ARNAUD OUR AG A | Manager gouvernance, audit & cybersécurité, Eviden an Atos Business

Le cycle de vie des projets, les architectures de sécurité,
le développement sécurisé et la gestion des identités et des
L’ E N Q U Ê T E accès sont centraux pour activer de nouvelles opportunités
métiers et pour protéger les données qui sont véhiculées
aux sein des organisations, mais également en dehors.
DÉVELOPPEMENT D’APPLICATIONS Dans les architectures dites “traditionnelles”, la défense en pro-
fondeur consiste à la mise en place de périmètre de sécurité
Mesurer la sécurité des applications doit s’inscrire au plus tôt dans couche par couche. Les nouvelles architectures basées sur la
souscription à des services de type cloud (IaaS, PaaS, SaaS) via
les phases de développement.
différents modes de déploiement (public/hybride/privé)
changent la donne : l’emplacement des données étant plus dis-
parate, l’approche de l’architecture de sécurité fera alors un
focus sur le contenu, et non sur le contenant. Il s’agira alors de
sécuriser la donnée (en mouvement et stockée), ainsi que la
façon d’y accéder.
DevSecOps est une combinaison de pratiques et d’outils qui amé-
liore la capacité d’une organisation à livrer des applications et des
services à un rythme aligné avec ses besoins métiers (services aux
clients, gain de compétitivité, conformité réglementaire, etc.).
Les avantages se matérialisent par la rapidité de livraison des
applications, la fiabilité de ce qui est produit et l’amélioration du
processus de gestion des évolutions. Les équipes en charge
travaillent de façon synchronisée afin d’aboutir à la mise en
production d’applications pour lesquelles les risques d’atteinte
à la disponibilité, à l’intégrité et la confidentialité sont réduits.
La gestion des identités consiste en la mise en place, ainsi qu’en
la gestion des dispositifs organisationnels et techniques visant
à identifier, authentifier et autoriser des personnes et des
systèmes, leur permettant ainsi d’accéder à tout ou partie des
données d’un système d’information.

JULIEN BRUINAUD | Solutions Engineer Manager EME A , Checkmar x
Dans le cadre d’un processus de développe-
ment logiciel, l’AppSec concerne les actions
de recherche, de correction et de prévention
des vulnérabilités applicatives, idéalement
le plus tôt possible.
Si les principaux programmes de gouvernance en matière de
sécurité s’appuient sur des indicateurs clés pour évaluer l’adé-
quation de la sécurité, la qualité du programme, le ROI et les
évolutions vs les objectifs, il n’existe cependant pas de normes
de mesure universellement reconnues. En outre, le niveau de
risque, ou le degré d’atténuation des risques demandé, est
souvent lié aux spécificités de l’organisation. La méthodologie
APMA développée par Checkmarx vise à aider les RSSI dans
leurs démarches. Au-delà de simples indicateurs, il s’agit de
mettre en place des KPI stratégiques, métriques opération-
nelles de haut niveau, qui vont présenter l’état du programme
de sécurité applicative : où en est l’organisation et où veut-elle
aller par rapport à la stratégie adoptée. L’objectif est ainsi d’ali-
gner ces KPI – qui vont dépendre du niveau de maturité AppSec
de l’entreprise – avec des objectifs à long terme prédéfinis et
à fort impact pour l’organisation.
Il convient en amont de répondre aux questions suivantes :
comment la sécurité de l’information contribue-t-elle à la réa-
lisation de la stratégie globale de l’entreprise ? Quelles sont les
initiatives stratégiques mises en place en matière de sécurité
applicative ? Les décisions stratégiques doivent avoir une inci-
dence sur les décisions tactiques, qui elles-mêmes vont se
répercuter sur les décisions opérationnelles.
Pour le RSSI, les KPI stratégiques doivent suivre la valeur du
programme en termes de risque, de conformité et de réponses
aux incidents au niveau de l’organisation, sur le long terme.
Pour le responsable AppSec, les KPI tactiques doivent mesurer
l’efficacité de l’implémentation de la stratégie définie, mais sur
le court terme (ex. : réduire le risque identifié à un niveau
acceptable).
Pour le DevOps Manager, les indicateurs opérationnels doivent
fournir des données pour le suivi du fonctionnement du
programme AppSec au quotidien.
I N D I C AT E U R S
 a Couverture du portefeuille applicatif indique la couverture
L travail, d’une authentification à plusieurs
des applications en fonction de leur criticité.
La Tendance du risque (pondéré) démontre l’évolution
du risque au fil du temps.
 a Densité des vulnérabilités (pondérée) démontre les progrès
L patch de sécurité sur des composantes
de la qualité de la protection du code et de la réduction
des risques et représente le nombre de vulnérabilités pour
1 000 lignes de code.
Le Temps moyen de résolution (MTTR) (365 derniers jours)
est le temps moyen pour remédier aux vulnérabilités
(pertinent pour les programmes matures).
Le Vieillissement des vulnérabilités présente les risques liés
aux vulnérabilités exposées trop longtemps afin d’identifier
les équipes projets/développement nécessitant une attention
particulière. Par rapport au MTTR, il reflétera la totalité
des problématiques, qu’elles aient été résolues ou non.
B O N N E S P R AT I Q U E S
1 Ne pas tout mesurer, mais se concentrer sur les données
clés qui permettront à l’organisation de tendre vers
l’accomplissement de ses objectifs sur le long terme.
2 Aligner les KPI sur des buts et objectifs précis pour mesurer
la progression et les succès.
3 Les KPI définis doivent être concis et pas trop nombreux.
ERREURS À ÉVITER
Ne pas prendre l’ensemble des données, mais les filtrer sur
différents niveaux pour obtenir des KPI stratégiques à plus grande
valeur ajoutée : privilégier le suivi des branches de version destinées
à aller en production pour avoir une représentation pertinente
de la posture de risques applicatifs, ainsi que le triage des résultats,
qui permettra aussi d’augmenter la précision des indicateurs en
réduisant le bruit (faux positifs). Ces données devront être organi-
sées en fonction de leur degré de criticité avant d’établir les KPI.
I N D I C AT E U R S
Architecture de sécurité :
% d’incidents évités par la mise en place
d’un dispositif de contrôle des communi-
cations et des accès tel qu’un WAF, un IDS/
HIPS, d’une protection contre les codes
malveillants au niveau des postes de
facteurs protégeant l’accès à un système
ou un ensemble de données sensibles.
% de couverture du déploiement d’un
du système d’information.
% de participation du middle management,
des représentants métiers et des représen-
tants de la sécurité aux comités architec-
ture (CAB), etc.
Identity management :
Nombre de comptes utilisateurs présents
dans l’annuaire de gestion des identités
vs le nombre de collaborateurs actifs pour
l’organisation.
Nombre de comptes applicatifs présents
dans l’annuaire de gestion des identités
vs les applications auxquelles les comptes
permettent d’accéder.
Nombre de comptes génériques présents
et leurs périmètres d’utilisation (oui, il y
en a, même si cette pratique devrait être
proscrite pour des raisons de traçabilité
et d’imputabilité des actions).
% d’utilisation de l’authentification
à plusieurs facteurs.
Nombre de comptes ayant des privilèges
élevés sur les systèmes et les applications.
Nombre de comptes n’ayant pas
de propriétaire identifié, etc.
Project lifecycle :
Le nombre de projets ayant suivi le
processus complet d’intégration de la
sécurité et de la conformité dans les
projets vs le nombre de projets.
Le nombre de projets dans chacune des
phases du cycle de vie et le niveau de
réponse aux attendus (complétude des
livrables, vérifications et validations
devant être réalisées, etc.)
SecDevOps ou DevSecOps :
Le nombre de projets de développement
ayant suivi le processus DevSecOps établi
au sein de l’organisation vs le nombre
de projets de dév. de l’organisation.
Le temps de disponibilité/d’indisponibilité
de l’application sur une période donnée, au
regard du niveau de service attendu (SLA).
Le nombre de vulnérabilités identifiées
sur le code d’une application et leur
niveau de criticité.
Le nombre d’échecs et de réussites
de l’application aux tests de sécurité
automatisés.
Le % de mise en production ayant échoué.
Le temps moyen nécessaire pour remettre
une application en condition
opérationnelle.
Le temps moyen entre les périodes
de panne, etc.
B O N N E S P R AT I Q U E S
Mettre en place une architecture de
sécurité avec une approche multidimen-
sionnelle en réponse à la stratégie
opérationnelle de l’organisation, aux
enjeux de sécurité et de conformité de
l’organisation, ainsi qu’à la maîtrise des
risques.
La bonne compréhension du triptyque
people/processus/technologie permettra
de mettre en place les dispositifs organisa-
tionnels et techniques adaptés de gestion
des identités et des accès. Une politique
de classification de l’information sera par
exemple utile pour définir le bon niveau
d’accès à l’information par les groupes de
personnes et les systèmes en fonction des
règles d’or, que nous espérons maintenant
largement connues, que sont la séparation
des tâches (où les tâches sont séparées
en plusieurs actions devant être réalisées
par différentes personnes ou systèmes),
le principe de moindre privilège (les
utilisateurs/systèmes n’accèdent qu’aux
informations et ressources qui leur sont
nécessaires pour réaliser une tâche)
et le besoin d’en connaître (s’assurer que
l’utilisateur ou le système a une légitimité
à accéder à une ressource).
ERREURS À ÉVITER
Une absence de communication large au
sein de l’organisation du processus de
gestion du cycle de vie des projets ou un
processus trop complexe pourraient
conduire à des pratiques non souhaitées
pouvant mettre en risque le système
d’information et les données de l’organi-
sation (souscription à des services en
dehors du processus, création de portes
d’entrée sur le système d’information sans
forcément le savoir, non-respect de
certaines exigences réglementaires, etc.).
Une absence de sécurisation des codes
produits. En effet, l’accès aux codes
produits et en cours de production doit
faire l’objet d’une attention particulière.
Les dispositifs de contrôles d’accès ne
doivent pas être exclusivement intégrés
aux solutions de stockage des codes,
mais s’appuyer sur des dispositifs
d’authentification à plusieurs facteurs
et externes aux applications.
Ne pas prendre le DevSecOps uniquement
via le prisme des solutions techniques
de stockage et de contrôle des codes et
ne pas s’arrêter uniquement aux aspects
techniques de production du code car il y
a un après, lorsque l’application produite
doit être maintenue en condition de
sécurité et en condition opérationnelle.

_Cyberun#30 _10 / _11

 Liste des contrôles de la norme ISO 27001:2022
Une bonne source d’inspiration pour vos indicateurs. Plus de détails sur https://dbarzin.github.io/deming/annexe.fr
 olitiques de sécurité
P  réparation de la gestion
P Contrôles physiques des accès  edondance des moyens
R
de l’information des incidents Séc. des bureaux et équipements de traitement
 esponsabilités de la sécurité
R Appréciation des événements sec. Surveillance de la sécurité physique Journalisation
de l’information Réponse aux incidents Protection menaces physiques Activités de surveillance
Séparation des tâches  irer des enseignements
T Travail dans les zones sécurisées Synchronisation des horloges
Responsabilités de la direction des incidents
Bureau propre et écran vide  tilisation de programmes
U
Relations avec les autorités Recueil de preuves à privilèges

Emplacement et protection
 elations avec groupes de travail
R 
Sécurité de l’information durant du matériel Contrôle des installation de logiciels
spécialisés une perturbation
Sécurité des actifs hors des locaux Mesures liées aux réseaux
Intelligence des menaces  réparation des TIC pour
P
la continuité Supports de stockage Sécurité des services en réseau
 écurité de l’information
S
en gestion de projet I dentification des exigences Services généraux Filtrage Internet
Inventaire des info. et actifs associés légales réglementaires Sécurité du câblage
Cloisonnement des réseaux
Utilisation correcte de l’information Droits de propriété intellectuelle Maintenance du matériel
Utilisation de la cryptographie
Restitution des actifs Protection des enregistrements Mise au rebut sécurisé du matériel
 ycle de vie de développement
C
Classification de l’information Vie privée et protection des DCP Terminaux utilisateurs sécurisé
Marquage des informations Revue indépendante de la sécurité Privilèges d’accès  xigences de sécurité
E
Transfert de l’information Conformité aux politiques et normes Restriction d’accès à l’information des applications
Contrôle d’accès  rocédures d’exploitation
P Accès au code source I ngénierie et d’architecture
documentées Authentification sécurisée sécurisée
Gestion des identités
Présélection Dimensionnement Codage sécurisé
Informations d’authentification
Conditions générales d’embauche  rotection contre les programmation
P  ests de sécurité
T
Droits d’accès
Sensibilisation, apprentissage malveillants dans le développement
 écurité de l’information
S et formation
avec les fournisseurs  estion des vulnérabilités
G Développement externalisé
Processus disciplinaire techniques
 écurité dans les accords
S  éparation environnements
S
fournisseurs Responsabilités du contrat de travail Gestion de la configuration dev/test/prod
Mgmt sec. de la chaîne d’appro. TIC Confidentialité ou de non-divulgation Suppression d’information Gestion des changements
 uivi, revue des services
S Travail à distance Masquage des données Informations relatives aux tests
fournisseurs Signalement des événements Prévention de la fuite de données Protection des SI en cours
Sécurité de l’information cloud Périmètre de sécurité physique Sauvegarde des informations d’audit/test

Qui sommes-nous ?
Cyberun est un magazine totalement indépendant, édité par
financement participatif. Il fédère une large communauté d’acteurs
de la cybersécurité qui souhaitent partager leurs expertises
et leurs expériences. Pour favoriser l’échange de connaissances
et ne pas se contenter d’approximations, chaque numéro est dédié
à un thème unique.

Cy-Bear, le gentil ours vivant en Alaska...

Abonnez-vous gratuitement à Cyberun !

Les grognements de Cy Recevez automatiquement le magazine en PDF

Cette année aura été celle de la réflexion (forcée). en vous inscrivant sur cyberun.net et découvrez
J’ai ainsi compris que mon ancien chef adorait les comment vous pouvez, vous aussi, participer
à cette aventure !
tableaux de bord. Au point que ses décisions finissaient
essentiellement en politique du chiffre et détruisaient
des organisations pourtant bien huilées, au lieu Contactez-nous !
d’améliorer les processus. Comme les indicateurs
Pour diffuser ce magazine lors d’un événement, rejoindre
étaient souvent parachutés par des consultants hors-sol,
la communauté, ou pour toute information complémentaire :
il était assez simple, la première année, de les améliorer,
essentiellement d’ailleurs par des mathématiques www.cyberun.net (lien “Rejoignez la communauté !”)
douteuses. Évidemment, les années suivantes, les
choses empiraient et les forceps et la matraque étaient
nécessaires pour vaguement bouger les lignes, Le magazine Cyberun est un bimestriel ISSN : 2677-5964. Toute reproduction,
et surtout faire taire les oppositions. édité par Cyberun, association loi 1901. traduction, reproduction intégrale ou
Boîte 81, 206 quai de Valmy, 75010 Paris. partielle est interdite, sans l’autorisation
Rassurez-moi, il y a bien des organisations où les Directrice de publication : écrite de Cyberun, sauf dans les cas
top-managers ont encore un peu de sens commun ? Hélène Windish prévus par l’article L122-5 du Code
Rédacteur en chef : Stéphane Darget de la propriété intellectuelle. En tant
Entre ceux qui sont imbus de leurs certitudes et ceux Création et maquette : qu’abonné au magazine, vous êtes
qui masquent leur incompétence en s’appropriant www.rodolpherrera.fr autorisé à imprimer votre exemplaire.
le travail des autres, je sens que je ne suis pas encore Correctrice : Amandine Olivier Prix au numéro (imprimé et expédié) : 25 €

prêt à retourner bosser… Bon été !

Imprimez-moi ! Ne me jetez pas, partagez-moi !