1. Comment se protéger contre les ransomwares

Le ransomware est la deuxième attaque de malware la plus fréquente derrière les attaques d’exfiltration. Le courrier électronique reste le principal mécanisme de livraison pour tous les logiciels malveillants, y compris les ransomwares.

Alors, comment pouvons nous empêcher les utilisateurs de cliquer sur les liens ?

Conseil des professionnels : Vous ne pouvez pas, les humains feront des choses humaines. Nous devons donc aborder le problème des ransomwares différemment. Dans cet article, nous aborderons les bases des ransomwares et expliquerons comment un système de détection et de prévention automatisé est la solution à prendre pour empêcher les attaques de ransomwares de détruire votre système d’information.

1.1. Conseils de base 

Pour construire une défense contre les attaques rançongiciels, il y a des choses que les entreprises peuvent faire pour prévenir l’infection. Tout d’abord, il faut sensibiliser les utilisateurs de ce fléau « Surtout ne cliquez pas sur le lien ! » dans les emails des expéditeurs inconnus.

Je sais, je sais, vous en avez déjà entendu parler. Mais cela vaut toujours la peine d’être répété. Les e-mails phishing ont généré un pourcentage important de logiciels malveillants en 2019. Les humains ne vont pas arrêter de cliquer sur le lien, et je le sais parce que moi aussi, j’ai cliqué sur le lien. Ainsi, en tant qu’humains mortels faillibles, nous pouvons au moins être un peu plus sceptiques vis-à-vis des e-mails. Et peut-être que ce petit scepticisme fait baisser la quantité de logiciels malveillants que nous permettons d’infecter nos entreprises.

1.2 Créer des règles de protections

Créer les règles de protections sur la messagerie et utiliser des protections Endpoint tels que les antivirus, anti-Malwares, pare-feu locaux, IPS hôte, etc.

Nous savons que les humains cliqueront sur le lien et les pirates aussi. C’est pour cela que les ransomware continuent à exister.

• Analysez tous les e-mails à la recherche de souches de logiciels malveillants connues et maintenez les pares-feux et les protections des terminaux à jour avec les dernières signatures de logiciels malveillants connus.

• Faites la campagne de sensibilisation à vos utilisateurs sur les e-mails provient des expéditeurs inconnus.

• Fournir des VPN pour les utilisateurs à utiliser en dehors du réseau

• Conserver les sauvegardes

• Tant pour les entreprises que pour la protection personnelle, conservez les sauvegardes actuelles de vos données importantes. Le moyen le plus rapide et le plus efficace pour contrer les ransomwares est de faire un snapshot du disque, puis une restauration des données à partir de la dernière bonne sauvegarde à moins que les attaques n’exfiltrent également les données, ce qui est un problème différent.

1.3. Protégez vos informations personnelles

Les humains sont génétiquement prédisposés à faire confiance aux autres humains. C’est l’une des raisons évolutives de vaste prolifération de notre espèce. Cette confiance fondamentale est de savoir comment les mentalistes peuvent nous faire croire que c’était notre idée de faire un certain choix, d’où comment les attaquants révèlent nos mots de passe ou les noms de jeune fille de la mère.

Encore une fois, soyez sceptique et suivez le protocole lorsque quelqu’un vous demande des informations sensibles. C’est le même problème que les liens, mais cela peut être une interaction réelle en personne. Ces conseils sont doublés pour les utilisateurs dans un domaine sensible, qui sont souvent les cibles des campagnes de phishing.

1.4 Qui expose au risque ?

Techniquement, tout le monde court le risque d’une attaque de ransomware. Sur le plan économique, les attaques les plus sophistiquées semblent viser les grandes organisations ayant une plus grande capacité de paiement. Mais toutes les attaques de ransomwares ne sont pas non plus ciblées que les grandes organisations. Certains attaquants utilisent des techniques de carpet-bombing et tentent d’infecter autant d’utilisateurs que possible à la fois.

En fin de compte, les ransomwares représentent un réel risque pour les utilisateurs et les organisations.

2. Comment résoudre à une attaque de ransomware

Suivez ces étapes pour gérer et atténuer une attaque de ransomware active.

2.1 Isolement

La première étape de la gestion d’une infection de ransomware consiste à isoler les systèmes infectés du reste du réseau. Arrêtez ces systèmes et retirez le câble réseau. Éteignez le WIFI. Les systèmes infectés doivent être complètement isolés des autres ordinateurs et périphériques de stockage du réseau.

2.2 Identification

Ensuite, déterminez quel type de malware a infecté les ordinateurs. L’équipe de support aux incidents, ou un consultant externe sera en mesure de déterminer la souche du ransomware et de commencer à planifier la meilleure façon de faire face à l’infection.

2.3 Impliquer les autorités

Selon l’impact de l’incident et les réglementations applicables, il peut être nécessaire de signaler l’incident à la Police ou à d’autres organismes gouvernementaux. En France, l’organisme le plus apte sur la cyberdéfense est la CSIRT (CERT pour les Anglophone) qui comptabilise des rapports sur les ransomwares pour aider à augmenter leurs capacités et leur compréhension sur ces attaques.

2.4 Supprimez le logiciel malveillant

Supprimez maintenant le malware sur les systèmes infectés pour éviter d’autres dommages ou propagation du malware.

2.5 Récupérer des données

Une fois l’attaque du logiciel malveillant contenue, démarrez le processus de récupération après l’attaque. Payer la rançon est une option, peut-être que les attaquants sont des voleurs honorables et vous donneront les clés dont vous avez besoin pour décrypter les données. La meilleure option consiste à restaurer à partir de la sauvegarde la plus récente disponible. En supposant qu’il existe une bonne sauvegarde disponible.

3. Devriez-vous payer le ransomware ?

Non. Dans la plupart des cas, vous ne devriez pas payer la rançon. Pour moi, la prévention des ransomwares en priorité est la sauvegarde de vos données qui permet d’empêcher et protéger les données contre les ransomwares. Donc payer la rançon n’est jamais une bonne option.

Cependant, c’est un problème beaucoup plus compliqué que cela, surtout si vous lisez cet article après coup.

• Existe-t-il une cyberassurance pour les attaques de ransomwares ?

• Peut-on acheter des bitcoins pour payer la rançon à temps ?

• Existe-t-il des sauvegardes pour les systèmes attaqués ?

• Les données sont-elles même essentielles à la mission ?

Ce sont là quelques questions que les organisations peuvent avoir à poser et à répondre lorsqu’elles envisagent de payer la rançon ou non.

3.1 Avant d’envisager des paiements

Voici quelques éléments à considérer avant de prendre la décision de payer ou pas.

Vérifiez votre police d’assurance cyberassurance.

La cyberassurance est une invention relativement nouvelle qui peut aider à couvrir les coûts de gestion d’une violation de données ou d’un incident de cybersécurité similaire.

La cyberassurance peut aider à gérer et à couvrir des coûts tels que :

• Notification des clients et des parties concernées en cas de violation de données

• Restaurer les identités et indemniser les parties concernées

• Récupération de données compromises

• Reconstruction de systèmes informatiques

• Coopérer avec les forces de l’ordre

Les autorités n’encouragent officiellement pas de paiement d’une rançon. Cependant, cela ne signifie pas que si vous vous adressez aux forces de l’ordre, ils vous recommanderont de ne pas payer. Si les forces de l’ordre s’impliquent, elles disposeront de l’expertise et des connaissances qui les aideront à prendre ces décisions, donc, le cas échéant, faites-les participer. 

Par exemple, ils peuvent dire si l’attaque provient d’un groupe qu’ils connaissent déjà, ce qui apporte les connaissances et l’expérience préalables à cet incident.

De plus, les autorités peuvent s’assurer que vous ne payez pas par inadvertance un terroriste si vous payez la rançon. Rembourser des organisations terroristes connues peut être illégal, et personne n’en a besoin dans sa conscience.

3.2 Recherchez un outil de décryptage

Allez en ligne pour voir si un outil de décryptage existe. Si les clés de cette attaque existent déjà, il n’est pas nécessaire de payer. Parfois, lorsque la police et les experts en sécurité enquêtent sur une activité cybercriminelle, ils peuvent potentiellement obtenir des clés de déchiffrement de serveurs malveillants et les partager en ligne. En voici quelques-uns :

• CoinVault

• TeslaCrypt

• CryptoLocker

3.3 Quand devriez-vous envisager de payer

Si vous payez, la plupart des paiements de ransomware se situent généralement entre 200 $ et 10 000 $.

Les spécialistes de la cybercriminalité ont déclaré « Pour être honnête, nous conseillons souvent aux gens de ne payer que la rançon. » la raison c’est, « Le succès du logiciel de rançon finit par profiter aux victimes, parce que tant de gens paient, les auteurs de logiciels malveillants sont moins enclins à arracher des bénéfices aux victimes, ce qui maintient les rançons à un niveau revenu bas. Et la plupart des escrocs de rançongiciels vont abandonner cette manière de la cybercriminalité ou ils vont devenir respectueux à leur parole. Et là, nous gagnerons la bataille contre ce genre d’escroquerie. 

Il y a des moments où payer est la bonne décision. Il s’agissait en fait de choisir entre perdre toutes ces données et être incapable de fournir les services essentiels à votre organisation ou plutôt de dépenser pour une survie de l’entreprise.

C’est pour cela, la sauvegarde de vos données importantes est essentielle.

Ransomware Ressources

• Ransomware Meets Its Match With Automated Cyber Defenses
• Cerber Ransomware: What You Need to Know
• The Malware Hiding in Your Windows System32 Folder: Mshta, HTA, and Ransomware
• New SamSam Ransomware Exploiting Old JBoss Vulnerability
• 107 Must-Know Data Breach Statistics for 2020

1. Introduction

Les systèmes de détection d’intrusion (IDS) analysent le trafic réseau à la recherche de signatures correspondant aux cyberattaques connues. Les systèmes de prévention des intrusions (IPS) analysent également les paquets, mais peuvent empêcher la livraison du paquet en fonction du type d’attaques qu’il détecte, ce qui aide à arrêter l’attaque.

2. Fonctionnement

Les systèmes de détection des intrusions (IDS) et les systèmes de prévention des intrusions (IPS) font tous deux parties de l’infrastructure réseau. IDS/IPS comparent les paquets réseaux à une base de données de cybermenace contenant des signatures connues de cyberattaques et signalent tous les paquets correspondants aux attaques.

La principale différence entre eux est que l’IDS est un système de surveillance, tandis que l’IPS est un système de contrôle.

IDS ne modifie en rien les paquets réseau, tandis qu’IPS empêche la livraison du paquet en fonction du contenu du paquet, tout comme la façon dont un pare-feu empêche le trafic par adresse IP.

3. Systèmes de détection d’intrusion (IDS)

Analysez et surveillez le trafic réseau à la recherche de signes indiquant que les attaquants utilisent une cybermenace connue pour infiltrer ou voler des données de votre réseau. Les systèmes IDS comparent l’activité actuelle du réseau à une base de données de menaces connue pour détecter plusieurs types de comportements tels que les violations de politique de sécurité, les logiciels malveillants et les scanners de ports.

4. Systèmes de prévention des intrusions (IPS)

Vivent dans la même zone du réseau qu’un pare-feu, entre le monde extérieur et le réseau interne. IPS refuse de manière proactive le trafic réseau basé sur un profil de sécurité si ce paquet représente une menace de sécurité connue.

De nombreux fournisseurs IDS / IPS ont intégré des systèmes IPS plus récents avec des pares-feux pour créer une technologie de gestion unifiée des menaces (UTM) qui combine les fonctionnalités de ces deux systèmes similaires en une seule unité. Certains systèmes fournissent les fonctionnalités IDS et IPS dans une seule unité.

5. La différence entre IDS et IPS

Les deux IDS / IPS lisent les paquets réseau et comparent le contenu à une base de données des menaces connues. La principale différence entre eux est ce qui se passe ensuite. Les IDS sont des outils de détection et de surveillance qui n’agissent pas seuls. IPS est un système de contrôle qui accepte ou rejette un paquet basé sur l’ensemble de règles.

IDS nécessite qu’un opérateur ou un autre système examine les résultats et détermine les actions à entreprendre. Ensuite, ce qui pourrait être un travail à temps plein en fonction de la quantité de trafic réseau généré chaque jour. IDS constitue un meilleur outil d’examen criminalistique que le CSIRT ou le SOC peut utiliser dans le cadre de ses enquêtes sur les incidents de sécurité.

Le but de l’IPS, d’autre part, est d’attraper des paquets dangereux et de les déposer avant qu’ils n’atteignent leur cible. Il est plus passif qu’un IDS, exigeant simplement que la base de données soit régulièrement mise à jour avec de nouvelles données sur les menaces.

En tout cas, les IDS / IPS ne sont aussi efficaces que quand leurs bases de données de cyberattaques sont à jours et vous devez préparer à effectuer des ajustements manuels pour des nouvelles attaques d’où la signature d’attaque n’est pas dans la base de données.

6. Pourquoi IDS et IPS sont essentiels pour la cybersécurité ?

Lorsque les équipes de sécurité sont confrontées à une menace croissante de violations de données et la conformité tout en continuant à lutter contre les restrictions budgétaires et la politique de l’entreprise, la technologie IDS / IPS couvre des tâches spécifiques et importantes d’une stratégie de cybersécurité.

6.1 Automatisation

Les systèmes IDS / IPS sont en grande partie sans intervention, ce qui en fait un idéal choix pour une utilisation dans la chaîne de sécurité actuelle. IPS offre la tranquillité d’esprit pour que le réseau est protégé contre les menaces connues avec les besoins en ressources limités. Alors que pour une grande structure, il faut utiliser l’IDS car il correspond plus pour un trafic plus imposant avec un opérateur dédié, mais on peut également coupler les deux solutions.

6.2 Conformité

Pour la conformité nécessite souvent de prouver que vous avez investi dans des technologies et des systèmes pour protéger les données. La mise en œuvre d’une solution IDS / IPS est nécessaire dans la démarche de conformité et qui traite un certain nombre de contrôles de sécurité. Plus important encore, les données d’auditées sont un élément précieux des enquêtes de conformité.

6.3 Application des stratégies

Les IDS / IPS sont configurables pour appliquer les stratégies de sécurité internes au niveau du réseau.

Par exemple, si vous ne prenez en charge qu’un seul VPN, vous pouvez utiliser l’IPS pour bloquer tout autre trafic VPN.

Alors que la sécurité du réseau est essentielle pour la protection contre les violations de données et que IDS / IPS remplissent parfaitement ce rôle. Sokem Technologies pourra surveiller son activité en temps réel sur les données, qui sera très rassurant pour toute stratégie de cybersécurité de l’entreprise.

1. Introduction du RGPD

Le décret de loi daté du 2018 du le Règlement Général sur la Protection des Données (RGPD) en France.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037085952&categorieLien=id

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitiez les données (clients, collaborateurs, etc.).

Par ce décret de loi, les entreprises devront classifier les données qui y transitent dans l’ordre de confidentialité pour les protéger. Ils sont également dans l’obligation d’informer les personnes concernées de la disponibilité de ces données au cas où, ils veulent les modifier ou supprimer ou refuser.

Ci-dessous, la procédure pour mettre en conformité du RGPD, elle permet de vous aider à comprendre et à faire la démarche.

2. La démarche pour la mise en conformité

2.1 Etape 1: Nommer un DPO (Data Protection Officer)

Le délégué à la protection des données (DPO), c’est un rôle juridique une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité.

Ses missions principales sont : d’une part d’informer et de conseiller son organisation, et d’autre part de contrôler l’application des textes légaux et des règles internes en matière de données personnelles. Il fait office de point de contact entre son organisation et une autorité de contrôle nationale, comme la CNIL.

2.2 Etape 2: Cartographier les traitements

Cartographier les traitements des données consiste à identifier les processus concernés par le RGPD et calculer leur niveau de conformité en les soumettant à une étude d’impacts PIA (Privacy Impact Assessment).

Commencer d’abord à identifier les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données.

Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

• L’objectif poursuivi (la finalité – exemple : la fidélisation client) ;

• Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;

• Qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;

• La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

Pour chaque fiche de registre créée, vérifiez que :

• Les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;

• Vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (voir la fiche « Traitements de données à risque : êtes-vous concerné ? ») ;

• Seules les personnes habilitées ont accès aux données dont elles ont besoin ;

• Vous ne conservez pas vos données au-delà de ce qui est nécessaire.

A cette occasion, améliorez vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

2.3 Etape 3: Établir un plan d’action

Sur la base de cet état des lieux, un plan d’actions est mis en œuvre. Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données doit être établie. Ce qui entraîne une révision en profondeur de la politique de confidentialité.

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Informez les personnes

A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte les éléments suivants :

• Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;

• Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;

• Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;

• Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;

• Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;

• Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne pour peu qu’ils gèrent des données de citoyens européens.

Bien traiter les demandes des consommateurs quant à leurs données personnelles c’est :

• Renforcer la confiance qui sécurise la relation-client ;

• Vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.

2.4 Etape 4: Poser le cadre de gouvernance

Pour inscrire ce plan d’actions dans la durée, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression.

• Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (privacy by design) ?

• Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ?

• Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?

Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.

Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

2.5 Etape 5: Sensibiliser les collaborateurs de RGPD

L’étape finale de RGPD est de sensibiliser les collaborateurs sur la protection des données pour que cette démarche de RGPD sera encore plus efficace dans la durée.

1. Introduction

L’entrée en application de la LPM implique nécessairement un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV (Système d’information d’importance vitale), mettre en conformité leurs Systèmes d’Information à chacune des règles et aligner leurs processus et corpus documentaire sur les exigences imposées par la LPM.

L’ANSSI estime à 3 ans la durée nécessaire aux OIV pour assurer un déploiement global des mesures de cybersécurité de la LPM.

2. Par où commencer ?

Pour une mise en conformité efficace, il convient de commencer par dresser la liste des SIIV, réaliser la cartographie des SIIV et recenser les écarts en matière de protection des systèmes d’information.

Ci-dessous une liste précise des différentes étapes du processus d’homologation :

• Stratégie d’homologation et mise en place d’une architecture robuste :

• • Identifier les Systèmes d’information d’importance vitale de l’opérateur ;
  • (SIIV) à homologuer et le justifier ;
  • Identifier les acteurs de l’homologation et leur rôle ;
  • Instruire le contenu du dossier d’homologation et définir le planning ;
  • Mettre en conformité les systèmes d’information avec la LPM (gestion des incidents de sécurité et protection des systèmes des systèmes d’information) ;

• Maîtrise des risques :

• • Effectuer une analyse des risques pesant sur les SIIV ;
  • Mesurer l’écart entre les objectifs de sécurité et la réalité (audit PASSI) ;
  • Mise en place du plan d’actions nécessaires à la réduction des risques ;
  • Identifier les risques résiduels ;

• Décision d’homologation

3. Les 20 règles de la LPM

Les arrêtés de la loi de programmation militaire prévoient un délai variant de 3 mois à 2 ans pour mettre en place les mesures de mise en conformité des SIIV. Ces mesures sont listées dans la loi, au nombre de 20, et regroupées en fonction des thématiques de mise en conformité présentées ci-dessous :

3.1. Le coût

Les SIIV représentent en moyenne 3% des SI des OIV, ainsi les budgets nécessaires à leur mise en conformité sont encore difficiles à déterminer.

Selon l’enquête, la taille des SI dont le budget nécessaire peut aller de 5 à 45 millions d’euros.

Toutefois, ces budgets peuvent être largement minorés lorsque le niveau de maturité de l’opérateur en matière de cybersécurité est déjà élevé.

3.2. Les acteurs

De par ses relations privilégiées avec l’ANSSI et son rôle au sein de son entreprise, le RSSI (responsable de la sécurité des systèmes d’information) est l’acteur légitime pour piloter et animer la mise en conformité.

Ainsi, le RSSI est le chef d’orchestre qui mobilise les différents acteurs, de la généralisation des principes de sécurité à la planification des différents chantiers de mise en conformité.

Les RSSI sont les premiers interlocuteurs de l’ANSSI, mais aussi la direction, les responsables de la sécurité, les équipes conformité, les métiers, la DSI, et les achats.

3.3. Le contenu du dossier d’homologation

• PSSI (politique de sécurité des systèmes d’information)

• Stratégie d’homologation

• Procédure d’homologation

• Rapport d’analyse de risque

• Rapport de l’audit PASSI (audit de configuration, architecture, organisationnel et physique)

• Plan d’actions réduisant les risques

• Liste des risques résiduels

• Cartographie des SIIV

• Avis commission d’homologation

• Décision d’homologation

3.4. Le cycle d’homologation

1. Ce cycle d’homologation est à renouveler tous les 3 ans.

2. Si le SIIV est déjà en production, c’est une rétro homologation.

3. Si le SIIV est nouveau, l’homologation permettra la mise en production.

4. Si un SIIV connait un changement majeur, cela peut impliquer un réexamen du dossier d’homologation pouvant conduire à une nouvelle décision d’homologation ou à un retrait de la décision d’homologation. Il est donc recommandé que la commission d’homologation soit réunie une fois par an par l’autorité d’homologation pour vérifier le respect des conditions d’homologation.

4. Conclusion

Ces 20 règles qui sont une contrainte réglementaire permettant aux OIV d’améliorer leur niveau de sécurité de leur SI en matière de processus, d’organisation humaine, d’analyse des risques et de sécurisation technique.

Cela permet de réduire grandement le risque de piratage des systèmes d’information d’importance vitale des opérateurs, de sensibiliser les équipes informatiques et de se préparer.

La sécurité informatique a un coût, mais également un bénéfice : le vol d’informations stratégiques, le sabotage d’une infrastructure ou l’indisponibilité d’un système vital peuvent engendrer des impacts négatifs bien supérieures au coût de la cybersécurité que ce soit en matière de coût financier, organisationnel, juridique, réglementaire ou de déficit de réputation et d’image.

Ce qui peut occasionner un coût global pour un opérateur d’importance vitale de plusieurs centaines de millions d’euros.

Dans une stratégie de réduction des risques, il s’agit donc plus d’une opportunité qu’une contrainte.