Par Sofiane Chafai*
Pour de nombreux professionnels de la sécurité des systèmes d’information, la frontière existante entre sécurité et conformité devient facilement floue et peu perceptible dans de nombreux cas d’usage. Comment allier le besoin de mettre en place un programme de sécurité exhaustif et efficace à celui de répondre à des exigences de conformité?
Doit-on se suffire de l’exercice du maintien de conformité ? Comment trouver le bon équilibre qui va permettre à une organisation de sécuriser son système d’information et à se conformer dans le même temps à des normes et réglementations.
La sécurité d’un système de l’information est la pratique consistant à mettre en œuvre des contrôles administratifs, techniques et physiques efficaces pour protéger les actifs numériques contre les cyber menaces. La conformité est l’application de cette pratique pour répondre à des exigences réglementaires, normatives ou contractuelles de tiers. Une activité permettant d’attester de l’adhésion de l’organisation aux exigences minimales de sécurité des différents référentiels des normes telles que PCI, GDPR, SOX, ISO27001, HIPAA, SOC,…
Les menaces deviennent de plus en plus sophistiquées
La conformité n’est pas un gage de garantie et ne peut à elle seule mettre à l’abri une organisation des risques cyber. Les menaces évoluent pour devenir de plus en plus complexes et sophistiquées. Les attaquants ont fait évoluer leurs capacités et méthodes d’intrusion, plus furtives pour réduire leur empreinte afin de demeurer le plus longtemps possible indétectés par la panoplie de solutions de sécurité dites classiques mise en place.
Ces organisations criminelles sont dotées de ressources ayant des connaissances approfondies des environnements ciblées, des référentiels et contrôles en place qui leur permet de mettre en œuvre des stratégies d’attaques basées sur l’exploitation de failles présentes dans des technologies émergentes ou dans des environnements non encore suffisamment couverts par des normes et réglementations (IoT, ICS,…)
Les organisations et les régulateurs accordent de l’importance et de la ressource aux problématiques de conformité, à contrario les organisations criminelle et les pirates informatiques sont dans un mode opportuniste ou le moindre risque peut conduire à une violation majeure ou à une fraude massive et ce quel que soit le statut de conformité des organisations ciblées. C’est pourquoi nous comptons aujourd’hui de nombreuses organisations dites conformes à différentes normes victimes d’attaques massives ayant affectés gravement leur capacité d’opérer et ayant exposé les données de leur entreprise et clients.
A l’opposé, nous trouverons rarement une organisation sûre en termes de capacité de résilience mais non conforme.
Attaque du reseau SWIFT International
Un des meilleurs example reste les attaques ayant affecté les transactions financières opérées sur le réseau SWIFT International reconnu comme sûr en termes d’authentification, d’intégrité des messages financiers et des contrôles sous djacents.
La plate-forme SWIFT utilisée par la Banque centrale du Bangladesh a été ciblée, les attaquants ont pu compromettre le réseau de la Banque centrale en infectant des postes de travail par des logiciels malveillants concues pour injecter des messages frauduleux afin de transférer de l’argent dans des comptes contrôlés par des attaquants. Il ne fait aucun doute que tous ces organismes financiers font l’objet de d’audits de conformité et sont soumis à un processus strict de certification et de conformité géré par les régulateurs; cependant, il existe toujours un écart entre le référentiel de sécurité de la conformité et le savoir faire des cybercriminels à détecter les moindres failles et les exploiter Il s’écoule toujours un temps pour établir un référentiel de nouveaux contrôles de sécurité sur des technologies existantes ou émergentes telles que l’Internet des objets, les systèmes de contrôle industriel, l’intelligence artificielle. Ce délai (Time for Update) passé par les éditeurs, constructeurs, organisations et les organismes de certification à mettre à jour leurs contrôles de sécurité et référentiels est exploité par des attaquants et organisations criminelles pour tirer parti de technologies conçues sans fonctionnalités de sécurité de base ou comprenant des failles et des vulnérabilités (Time for Hack).
Certains de ces acteurs menaçants ont développé des savoir faire, de l’innovation et sont en avance par rapport aux controles de référentiels conçus pour les arrêter. Le cycle de changement des exigences de conformité reste lent et prévisible, alors que le panorama des menaces est en perpétuel changement. Par conséquent, la conformité accuse et accusera toujours du retard par rapport au cycle des menaces.
Les menaces définissent les stratégies de sécurité à mettre en place. La conformité est le résultat d’un programme de sécurité efficace mais ne constitue pas son moteur.
Devenir proactif que réactif
Pour combler l’écart et faire face aux menaces, les organisations ne doivent pas uniquement se baser sur des routines dites de conformité, des mécaniques de cases à cocher insuffisantes dans la préparation d’une entreprise à faire face à des menaces émergentes, souvent ces tactiques conduisent à un faux sentiment de sécurité.
Les organisations doivent aller au-delà de l’instantané de conformité, développer de la visibilité et de l’anticipation; ils doivent devenir proactifs plutôt que réactifs. Un processus de surveillance continue de tous les actifs numériques et une organisation opérationnelle de cyber-réponse doit être mis en œuvre.
Les Security Operation Center (SOC) fournissent les moyens de prévenir et de répondre à des cyber menaces. La modélisation et la connaissance de la menace Threat Inteligence permettent à l’organisation d’évaluer sa cyber-posture, son exposition face à ces acteurs menaçants afin de renforcer et mettre à niveau les capacités de contrôles et les compétences en matière de cyber sécurité.
Les Security Operation Center (SOC) performants, s’appuient sur de l’automatisation, des ressources qualifiées, des solutions de détection et de réponse, des capacités d’analyse couplées à de l’Intelligence Artificielle pour améliorer les contrôles de sécurité et réinventer de manière constante ses défenses contre les violations de données et les cyber attaques En plus du maintien du niveau de conformité attendu en termes de contrôles, les SOC fournissent le moyen et les méthodes d’aller au-delà pour assurer la sécurité du système d’information.
Le transfert du risque à des tiers peut fournir une réponse acceptable pour atténuer les risques cyber toujours plus complexes pour des organisations dépourvues de capacité de cyber détection et ou de réponse ou celles qui ne sont pas disposées à investir dans le renforcement de leur propre capacités.
Cependant, cette réponse ne les dispense pas de se soucier de la protection des données de leurs clients, même si ces dernières sont hébergées et traitées par des tiers.
Les organisations restent responsables des données de leur client, par conséquent des diligences doivent être prises, audit, revues avant la signature de contrat tiers, pendant l’exécution de ces derniers pour un stricte respect des SLAs, la conformité aux contrat et s’assurer de l’efficacité des mesures de sécurité en place.
Les tiers peuvent fournir une gamme complète de services cyber managés couvrant la supervision, la gestion des vulnérabilités, le Threat Inteligence, la réponse aux incidents et l’investigation.
Contracter une cyber assurance constitue également une option à envisager pour faire face à des risques peu ou pas couvert, des événements inattendus, menaces persistantes APT, zéro days pouvant impacter l’activité de l’organisation et avoir des impacts sur les revenus, image,…
Pour conclure, la conformité et le cadre de sécurité doivent être ré évalués en permanence et alignés avec la stratégie et les objectifs de l’organisation en termes de protection des actifs, alors que plusieurs référentiels de conformités peuvent avoir des contrôles qui se chevauchent, certains actifs hors périmètre du référentiel peuvent être dépourvus de mesures de protection, par exemple dans le cas d’une conformité PCI DSS, la norme imposera des protections pour tout actif pour lequel ou à travers lequel une donnée sensible d’un carte bancaire va être stockée ou transférer, en dehors du ce périmètre d’actif aucune recommandation particulière n’est fournie par la norme. Une attaque par ransomware sur des caisses enregistreuses n’aura pas d’incidence sur les titulaires de cartes de clients mais aura un impact pour le marchand qui subira un préjudice suite à l’arrêt de ces systèmes.
*Sofiane Chafai,
Intervalle Technologies Senior Director
CISSP, CISA, PCI DSS QSA, ISO 27001 LI, ISO 27001 LA, & PRINCE2
Authorized (ISC)2 Instructor, (ISC)2 EMEA Advisory Council , Authorized ISACA Instructor,
Authorized PECB Instructor