Cybersécurité et SI : la nécessité de la conformité règlementaire

Le nombre d’attaques cyber se multiplie et ce n’est qu’un début !

Les récentes cyberattaques, d’une ampleur inédite dans le monde, nous rappellent notre vulnérabilité numérique. Ainsi, en octobre 2020, Sopra Steria est victime du Ransomware Ryuk qui met au chômage technique une partie de ses effectifs et impacte sa marge. Toujours en décembre de la même année, des pirates réussissent à faire émettre par SolarWinds, un éditeur américain de logiciels, des mises à jour piégées ouvrant des brèches sur les réseaux de ses clients, résultat : 18 000 utilisateurs touchés et une centaine de sociétés affectées. En mai 2021, Colonial Pipeline, opérateur d’un énorme pipeline américain, est paralysé par des hackers, provoquant un début de panique dans les stations-service quant à une éventuelle pénurie. Une invitation à la plus grande prudence pour les candidats et leurs équipes, mais aussi tous les citoyens.

Nouveaux usages numériques : une aubaine pour les hackers

En cause la vulnérabilité induite par l’accélération des nouveaux usages numériques. La masse de données, souvent sensibles, est en constante augmentation dans les Systèmes d’Information, générant une forte valeur économique, motivant davantage les hackers. Une partie des DSI a engagé des chantiers de migration de leurs data centers classiques vers le cloud, exposant d’avantage leur SI au monde extérieur, les rendant ainsi plus sensibles en cas de non-respect des bonnes pratiques. Le télétravail contribue également à ouvrir davantage le système informatique des entreprises sur internet et enfin les objets connectés se multiplient générant de nouvelles failles au regard de protocoles de communication encore insuffisamment sécurisés.

Des événements qui impactent douloureusement l’activité des entreprises

L’activité des entreprises est menacée. En cas de préparation insuffisante pour se prémunir des attaques, les impacts auxquels les entreprises s’exposent sont lourds de conséquences. Tout d’abord, des conséquences sur le plan économique en cas de fuite de données ou encore de paralysie de leurs systèmes informatiques. Ces actions entrainant immédiatement une perte d’exploitation pour l’entreprise. Les conséquences sont également d’ordre Juridique allant de sanctions financières à des peines plus lourdes. Il est important de rappeler que le détenteur de données personnelles doit mettre en œuvre, de façon préventive, les mesures de sécurité nécessaires pour protéger les données sensibles. En cas de dévoilement des données, les sanctions prévues par le code pénal (art 226-16) sont de 5 ans d’emprisonnement et 300 000 € d’amende. A noter que le non-respect du RGPD peut engendrer une condamnation financière qui peut atteindre de 2% à 4% du chiffre d’affaires global de l’entreprise. Quel que soit le cas de figure, ce sont la réputation de l’entreprise et son image qui sont en jeu, des impacts qui demanderont des efforts et des moyens considérables pour rétablir la confiance.

Cybersécurité : les fondamentaux de la conformité réglementaire à connaître?

Une règlementation cyber a pour objectif de lister les exigences à prendre en compte en matière de cyber sécurité, elle établit ainsi un cadre.  Cependant, il est important de faire la différence entre réglementation et normalisation. En effet, les réglementations sont issues des lois auxquelles les entreprises doivent se conformer, tandis que la normalisation s’appuie sur des normes établies par des organismes indépendants.  Les entreprises ont alors la possibilité d’obtenir une certification si elles remplissent les critères attendus et décrits par ces normes.  Au volet des réglementations, figurent la loi de programmation militaire LPM, la directive européenne NIS et le règlement général sur la protection des données RGPD.  Et enfin, en ce qui concerne les normes et les modèles de gestion du risque cyber : les normes CSP SWIFT, NIST CSF, ISO 27000, PCI-DSS. La conformité cyber signifie être conforme avec ces réglementations et normes, en respecter les principes et les exigences.

Quels sont les impacts des réglementations cyber sur l’architecture du SI ?

C’est inévitable, ces réglementations et ces normes ont un impact direct sur l’architecture des systèmes d’information. Elles doivent donc être prises en compte, au plus tôt, dès la conception des systèmes. Il faut donc maintenant, à l’image du Privacy by design, également penser Compliance by design ! Pour les systèmes existants, Nexworld recommande un effort particulier pour les élever au niveau de sécurité attendue quelles que soient les couches de l’architecture : fonctionnelle, applicative et technique. Prenons l’exemple des règles de la LPM, le schéma suivant représente l’ensemble de ses règles regroupées en 5 thématiques.

Comment implémenter les règles de la LPM dans le SI ?

Les cas de figures qui suivent ont pour objet de démontrer en quoi les réglementations impactent la conception des systèmes d’information. A ce titre, il ne faut pas perdre de vue qu’il est important de considérer que les bonnes pratiques associées à ces règles évoluent en fonction des nouveaux risques découverts, ce qui nécessite une veille et une maintenance continue.

Les 20 règles de la LPM regroupées en 5 thématiques.

Règle relative à la cartographie

Pour répondre à la règle 3, vous devez disposer d’une cartographie de vos systèmes couvrant toutes les couches d’architecture qui doit être maintenue à jour.

Règles relatives à la journalisation, à la corrélation et l’analyse de journaux

La journalisation et l’analyse de journaux (R5 et R6) nécessiteront par exemple la mise en place d’un SIEM pour centraliser les logs, les sécuriser, publier des rapports, croiser les informations pour déclencher des alertes… voire produire les indicateurs demandés par la règle R20.

Règles relatives au cloisonnement et au filtrage

Les règles R16 et R17 imposent un cloisonnement des systèmes et un filtrage des flux pour autoriser uniquement les flux nécessaires. Pour répondre à ces règles, l’utilisation de solutions type firewall (idéalement non mutualisé) et l’isolement des systèmes par des VLAN et des DMZ sont des bonnes pratiques à mettre en œuvre.

Règle relative aux systèmes d’information d’administration

Les flux, notamment ceux d’administration (R15) doivent être chiffrés avec des protocoles et des algorithmes à l’état de l’art. Ce chiffrement requiert la gestion de certificats au travers d’une PKI (Public Key Infrastructure).

Règles relatives aux systèmes d’information d’administration et au cloisonnement

L’administration des systèmes (R15, R16) doit être sécurisée par la mise en place d’un espace sécurisé type bastion, d’une authentification multi-facteurs pour les administrateurs avec des postes informatiques durcis et dédiés aux tâches d’administration (rupture de session, accès internet réduit ou mieux bloqué, pas de bureautique…).

Règle relative aux accès à distance

Les accès distants (R18) nécessitent une attention particulière. En effet, ils exposent le SI à l’extérieur. Vous devez authentifier, identifier et chiffrer. Un VPN avec identification multi-facteurs (hard token par exemple) est une solution envisageable.

Règle relative au cloisonnement

La virtualisation est aussi un point d’attention. Vous ne devez pas mutualiser des infrastructures d’administration avec d’autres infrastructures, des infrastructures de tests et de production ou des applications sensibles avec des applications demandant un niveau de sécurité moindre sur le même hyperviseur (R16).

Quels frameworks utiliser pour cadrer efficacement la sécurisation du SI ?

La mise en œuvre d’un framework tel que NIST CSF (NIST Cyber Security Framework) peut grandement faciliter le cadrage des travaux de sécurisation des SI, surtout si vous êtes soumis à de multiples réglementations. NIST CSF s’appuie sur des standards de sécurité existants, des principes et des bonnes pratiques. Il est conçu sur un noyau regroupant 5 grandes fonctions : identifier, protéger, détecter, répondre, rétablir. Autre avantage, le modèle du NIST invite également à la mutualisation des travaux de conformité pour les entreprises ou organismes soumis à plusieurs réglementations grâce à un référentiel unique. Aujourd’hui un grand nombre d’entreprises et organisations sont déjà concernées par les réglementations de type NIS, LPM et la RGPD.  

Source : RGPD : Amazon sanctionné d’une amende record au Luxembourg

Dans quel ordre procéder pour mettre en conformité son SI ?

Selon Onepoint, une démarche de mise en conformité passe par les étapes suivantes :

• Identifier des règlementations auxquelles vous êtes soumis ou celles auxquelles vous voulez vous conformer
• Auditer vos systèmes pour identifier les risques et les faiblesses de votre SI et en déduire les écarts avec le niveau de conformité attendu
• S’appuyer sur un modèle de gestion (NIST CSF, ISO…) pour faciliter le cadrage des travaux, surtout si vous êtes soumis à plusieurs règlementations
• Intégrer les recommandations et bonnes pratiques associées aux réglementations dans votre cadre de référence d’architecture
• Appliquer les bonnes pratiques de sécurité (notamment celles de l’ANSSI).

« Les directeurs informatiques pourraient craindre une lourdeur de la réglementation pour leur mise en œuvre. »

Cybersécurité et conformité réglementaire : deux combats à mener de front

Si depuis 2020 les cyberattaques font rage, avec les dégâts économiques que cela comporte, les réglementations et normes de sécurité ne sont pas en reste. Dans ce contexte de trouble numérique, la mise en conformité réglementaire peut constituer un sérieux challenge. Toutefois, les directeurs informatiques pourraient craindre une lourdeur pour leur mise en œuvre. Chez Onepoint, nous avons une conviction forte à ce sujet : la mise en conformité réglementaire et la mise en œuvre de bonnes pratiques de cybersécurité vont de pair. Ainsi, il devient essentiel que les équipes informatiques adoptent des frameworks tel que NIST, par exemple, pour exploiter les réglementations à leur avantage. En ces temps troublés, la cybersécurité associée aux normes et à la conformité réglementaire, devraient figurer dans toutes les feuilles de route des DSI.