La roadmap idéale pour 2018

Gouvernance Risques et Conformité
La roadmap idéale pour 2018

Comme le disent les Shadoks, « quand on ne sait pas où l’on va, il faut y aller… et le plus vite possible ». Face à l’agitation du milieu de la sécurité, et après une année 2017 pleine de rebondissements, cette devise pourrait faire office de feuille de route tant les prédictions pour 2018 semblent floues. Pour éviter l’improvisation, voici nos idées pour construire la roadmap idéale pour 2018.

 

Une roadmap, pourquoi ?

Le besoin d’y voir clair et de planifier ses travaux n’est plus à justifier. On peut se demander tout simplement ce qu’il faudrait éviter l’an prochain. Chaque organisation identifiera ses risques mais voici quelques sujets à éviter à tout prix.

  • 4% du chiffres d’affaires : on ne sait pas sur qui la CNIL et ses homologues européens vont se faire la main, on ne sait pas si la première amende atteindra le plafond maximal. Mais tout ce qu’on sait, c’est qu’on aimerait que ce soit pour les autres…
  • Se faire remplacer par une machine : la déferlante « IA » n’a pas épargné le marché de la sécurité. Les RSSI seront-ils tous remplacés par une machine ou quelques algorithmes dans les mois à venir ? On espère tout de même garder le job pendant quelques temps encore…
  • Un cyber-conflit entre deux puissances : que se passe-t-il si le ton monte entre deux puissances au point d’en venir aux cyber-armes ? Quel impact sur les solutions globales comme les services de cloud public ? Faudra-t-il craindre des fermetures de frontière numérique ? Un nouveau marronnier dans les articles de cyber-prédiction… mais un sujet vis-à-vis duquel se préparer !
  • Perdre un deal à cause de la sécurité : il n’y a pas que Yahoo et ses data-breach pour démontrer l’impact de la cyber sur la valorisation d’une entreprise. A l’heure où les questionnaires Sécurité ou autre PAS se répandent, il serait mal vu que la sécurité soit un point noir dans une réponse à appel d’offres ou dans une fusion-acquisition.
  • Un crypto-worm décentralisé : le crypto-worm a fait son apparition cette année avec perte et fracas. Et si le prochain n’avait pas de « tête » à couper ? Et si le prochain malware était nourri à l’IA et aux technologies décentralisées comme la blockchain ? Que va-t-il se passer s’il est capable de se remettre en marche quand on désactive son « C&C » ?

 

Une roadmap, comment ?

La démarche sécurité idéale devra s’inspirer des 4 qualificatifs suivants :

  • Globale : pour couvrir tous les risques et toutes les zones d’exposition (vraiment toutes, comme le propose le chantier 2)
  • Intégrée : pour s’appuyer sur l‘implication du plan grand nombre et faire de la gestion des risques numériques un réflexe
  • Efficace : pour pouvoir (enfin) démontrer l’apport d’un euro investi sur tel sujet de la roadmap
  • Actuelle : pour répondre aux problèmes du quotidien, sans être en retard face à la transformation numérique, et sans pour autant être « 4.0 », « 5.0 » ou X.0 » trop tôt…

 

Une roadmap, avec quels chantiers ?

7 chantiers sont proposés pour la roadmap idéale en 2018.

 

Chantier #1 : Faire face à l’inconnu

L’objectif est tout simplement de se préparer au prochain malware ou à la prochaine attaque, ciblée ou non. D'une part il faut déployer des dispositifs de surveillance et de défense. Et d'autre part il faut tester ! L'une des idées : un test global alliant "redteam" et exercice de gestion de crise.

Les travaux à mener...

  • Se doter d’un SOC / Finir le déploiement du SOC
  • Enrichir et optimiser le SOC par l’analyse comportementale
  • Organiser un test de bout-en-bout du dispositif de cyber-défense

 

Chantier #2 : Maitriser tout le terrain de jeu

Il s'agit tout simplement de couvrir l'ensemble des périmètres à risque, en intégrant toutes les zones, tous les types d'actifs numériques et tous les fournisseurs, internes comme externes.

Les travaux à mener : 

  • Protéger l’IT mais aussi l’OT et l’IoT
  • Couvrir tous les métiers et toutes les géographies de façon cohérente
  • Challenger et protéger les clouds comme les solutions « on prem »

  

Chantier #3 : Domestiquer la machine

Pour ce chantier, il faut à la fois exploiter la machine au service de la sécurité mais également intégrer la sécurité dans les projets Métier d'intelligence artificielle. A ce sujet, quels sont les risques que va engendrer l'IA ? Comment se protéger d'une attaque par désinformation pour apprendre les mauvais réflexes à un algorithme de machine learning.

Les travaux à mener :

  • Tirer profit de l’Intelligence Artificielle pour étendre la démarche de sécurité
  • Intégrer la sécurité dans les projets Business s’appuyant sur l’Intelligence Artificielle

 

Chantier #4 : Dompter la transformation numérique

Le challenge est de ne pas se faire dépasser par le "digital". Il faut s'assurer que la démarche Sécurité est adaptée aux nouvelles approches et aux nouvelles méthodes. Cela passe par une sécurité plus agile et plus adaptée aux nouveaux utilisateurs - en particulier les générations Y et Z.

Les travaux à mener : 

  • Intégrer la sécurité dans les méthodes agiles et dans les approches type DevOps
  • Adapter l’approche et le vocabulaire aux acteurs du numérique… et aux nouvelles générations
  • Utiliser les technologies adaptées aux nouveaux usages (CASB, Data, etc.)

 

Chantier #5 : Rationnaliser et optimiser 

Pour ce chantier, il s'agit de s'assurer que les dépenses engagées en sécurité, en particulier en sécurité opérationnelle, soient correctement utilisées. Les budgets ont augmenté ces dernières années mais il se pourrait que la tendance évolue, ou que des justifications plus strictes soient demandées. Comment rationaliser les dépenses ? L'externalisation est-elle la clé pour optimiser le "run" ? Comment intégrer de nouvelles technologies issues de startups dans des processus achats parfois rigides ? 

Les travaux à mener : 

  • Optimiser l’usage et remettre en cause  les solutions en cause
  • Optimiser les dépenses de « run »
  • Acheter de la sécurité innovante et agile

 

Chantier #6 : Profiter de la conformité

L’objectif est simple : ne pas subir la conformité mais en faire un levier de valeur ! On sait déjà que le sujet du GDPR ne va pas s'arrêter en mai 2018. Bien d'autres référentiels sont à intégrer, comme le NIS pour certains et ePrivacy pour d'autres. 

Les travaux à mener : 

  • Profiter à son tour du GDPR pour valoriser la sécurité
  • Préparer les prochains référentiels incontournables (NIS, ePrivacy,…)
  • Se rappeler des bienfaits de l’ISO 27001 comme argument commercial et structurant en interne

 

Chantier #7 : Valoriser son travail

Le dernier et non le moindre : il s'agit, toujours et encore, de savoir expliquer ses travaux, de communiquer et valoriser le tout. Pour ce faire, toutes les astuces et "quick wins" sont bons à prendre. Nous aurons l'occasion de reparler des nouvelles formes de PSSI et des politiques opérationnelles...

Les travaux à mener : 

  • Trouver enfin les bons indicateurs de sécurité pour le board
  • Revoir sa PSSI et son corpus documentaire et en mesurer l’application
  • Continuer le marketing de la sécurité en interne comme en externe

 

 

En conclusion

La roadmap idéale pour 2018 doit…

  • Faire écho au board
  • Être justifiée par les risques
  • Couvrir tout le périmètre
  • Intégrer la sécurité dans les processus et les usages
  • Préparer à la crise autant qu’elle en protège
  • Exploiter mes investissements précédents
  • Tirer profit des nouvelles technologies
  • Assurer ou déléguer un run efficace
  • Evaluer chaque trimestre ma performance
  • Améliorer la visibilité sur mon exposition à la menace

 

Benjamin Leroux, Innovation & Marketing, Advens