Risk Management
Risques liés au cloud : comment les présenter à sa Direction générale?
Erin Sindelar, chercheuse en sécurité chez Trend Micro, présente trois méthodes d'évaluation des risques liés au cloud, pour aider les RSSI à mieux sensibiliser leur Direction générale aux cyber-risques.
L’identification et la qualification des cyber-risques constituent un défi de longue date pour les RSSI. C'était déjà le cas pour les infrastructures sur site dont les ressources étaient identifiées et les données localisées plus facilement. Avec une surface d'attaque en expansion, composée d'une infrastructure multisite et de ressources cloud gérées indépendamment et utilisées sur l’ensemble de l'entreprise, l’adoption du cloud nourrit la complexité et pèse sur l’identification des risques.
Pour aider les RSSI à sensibiliser de manière simple leur Direction générale aux risques liés au cloud et aux stratégies déployées, nous nous sommes interrogés : "Comment un RSSI peut-il expliquer les risques du cloud qui pèsent sur son entreprise en 15 minutes et à l’aide d’une seule diapositive de présentation ?"
La réponse est importante pour un CISO. Les enjeux sont considérables en matière de cybersécurité, peut-être même plus importants que ceux des systèmes informatiques ou des applications internes. Nos expériences auprès de nos clients nous ont permis de définir trois modèles d'évaluation des risques liés au cloud.
Comment évaluer les risques du cloud ?
Modèle 1 : l'approche traditionnelle
Les entreprises établies, qui investissent depuis longtemps dans la sécurité et la conformité réglementaire, sont des adeptes de frameworks traditionnels de type CSA ou NIST. Ces référentiels offrent de nombreux avantages et permettent aux équipes sécurité de capitaliser sur un modèle et un framework qu’elles connaissent déjà, pour les appliquer à leur infrastructure cloud.
Ils permettent également aux DSSI d’assurer un reporting auprès de la Direction générale à l’aide des codes couleurs NIST ou CSA (rouge/jaune/vert). Cette méthodologie, si elle est déjà connue de la Direction générale, rendra l'évaluation plus pertinente et signifiante, sans devoir fournir un trop-plein d’explications.
De nombreux acteurs majeurs du conseil utilisent ces outils pour leurs audits cloud. Certains d’entre eux, spécialistes dans le cloud, proposent également ces audits, mais uniquement sur l'infrastructure cloud, ce qui ne correspond pas aux attentes des entreprises pilotant une infrastructure hybride.
Ce modèle simple et connu présente néanmoins des inconvénients :
- Il n'est pas très dynamique et donc peu adapté au rythme de croissance du cloud.
- Il nécessite beaucoup de ressources, ce qui est un défi permanent en raison de la pénurie de compétences en cybersécurité. Il fait appel à des équipes sécurité déjà fortement mobilisées par ailleurs. Enfin, le recours à un consultant externe est souvent onéreux.
Modèle 2: l’approche DIY (Do It Yourself)
Certaines entreprises disposant d'infrastructures et de processus cloud matures auront à cœur d’évaluer les risques de manière autonome (Do It Yourself). Cette approche est intéressante pour les entreprises qui ne disposent pas de ressources nécessaires pour gérer et surveiller efficacement toutes leurs technologies de sécurité et ressources critiques.
Dans ces entreprises, toutes les applications et données critiques basées sur le cloud doivent être identifiées. Il s’agit de personnaliser l’approche à l'entreprise et de mener une auto-évaluation minutieuse : l'équipe en charge des opérations cloud (Cloudops) dresse une cartographie exhaustive. Le processus, qui s’initie par la détection des applications, des données et des utilisateurs, se poursuit par une évaluation de la surface d'attaque de l'entreprise.
Certaines entreprises tentent de développer des versions simplifiées de ce modèle, notamment lorsqu’elles ont besoin d'un modèle de type "cloud-first", mais qu’elles ne disposent pas des ressources humaines nécessaires pour élaborer leur propre modèle.
Les principaux inconvénients de ce modèle sont les suivants :
- L'équipe CloudOps est distincte des autres équipes pilotant l'infrastructure. Cette approche peut présenter des limites sur le long terme en matière de gestion des risques. Les deux composantes d'un environnement hybride peuvent être identifiées séparément dans un premier temps. Mais cette étape ne peut être que sur le court terme pour éviter l’émergence de failles de sécurité.
- Si ce modèle peut être exécuté rapidement, il implique néanmoins de mobiliser de nombreux développeurs pour le concevoir et déployer l’infrastructure sous-jacente. Un vrai défi quand on sait que les équipes de sécurité constituent une ressource limitée pour nombre d’entreprises.
Modèle 3 : évaluation du risque avec une faible visibilité
Pour certaines entreprises, la croissance de leur écosystème cloud est telle qu’il n’est pas possible de le gérer de manière centralisée. Dans une certaine mesure, on peut dire que ce modèle est une extension des deux premiers modèles, et qu’il est idéal pour les grandes entreprises multisites ayant lourdement investi dans le cloud.
Ce modèle s’adresse aux entreprises qui n'ont qu'une visibilité limitée sur l’activité de leurs développeurs, leurs ressources et les responsabilités opérationnelles. En revanche, du point de vue de la sécurité, il reste impératif d’identifier tous les nouveaux équipements déployés avant de pouvoir les évaluer.
Le modèle 3 tolère que la croissance du cloud se poursuive sans monitoring centralisé et mise sur l'automatisation pour compenser. Cette automatisation est essentielle puisque toutes les équipes qui interagissent avec le cloud ne se retrouvent jamais dans une même pièce pour rendre compte collectivement de leurs activités auprès des managers.
Ces entreprises ont investi lourdement dans DevOps et intègrent une fonction d’enregistrement autonome dédiée à l’évaluation des risques au cloud dans le processus DevOps.
Le principal écueil de ce modèle : la gestion informatique en autonome. Les responsables de la sécurité doivent comprendre les workflows dans le détail et s’assurer que toutes les parties s'accordent sur un mode de travail qui permet une prise en compte (enregistrement) automatique des équipements et des applications. Un responsable du développement doit "parrainer" une telle approche et l'appliquer à l'ensemble des services concernés pour s'assurer de l’adhésion et de la participation de tous.
S'adresser à la Direction générale
Le choix du modèle dépend de plusieurs facteurs. La principale question est de savoir si le cloud s’est généralisé au sein de votre entreprise ou si celle-ci n’en est qu’aux balbutiements. Un autre facteur est celui de vos ressources internes en matière de finances, de ressources humaines ou d’organisation.
Quel que soit le modèle choisi, le processus initial d'évaluation sera ardu, mais le résultat final gratifiant. Vous disposerez d’un bilan clair à présenter à votre direction générale.
Une direction générale est essentiellement préoccupée par l’impact financier d’un évènement de sécurité ou par un défaut potentiel de conformité réglementaire. La tendance en matière d’évolution des risques est également essentielle. Et les dirigeants d’entreprise sont plutôt compétents en matière d’impact financier et de gestion des risques.
Calculer un impact financier peut relever de la gageure, mais reste néanmoins possible :
- Ne vous contentez pas d’évoquer un scénario catastrophe. Prévoyez plusieurs scénarios clairement élaborés et dont les impacts diffèrent. Ainsi, le scénario redouté d’un ransomware qui paralyse la totalité d’une entreprise doit être associé à celui du même ransomware qui ne s’en prend qu’à certains segments opérationnels.
- Choisissez soigneusement vos références. En matière de cybersécurité, les impacts financiers d’un incident peuvent être particulièrement lourds, comme l’illustrent certains exemples du passé. Pour autant, vos chiffres doivent être basés sur les finances de votre propre entreprise et pertinents pour elle. Vous pouvez ainsi présenter une étude de cas qui illustre le coût potentiel d’une transgression des règles de conformité. Cette approche est plus pertinente que de présenter le montant moyen d’une amende infligée en cas de non-conformité au RGPD. En effet, ce montant ne tient pas compte du secteur d’activité de votre entreprise, de sa taille ou du type de transgression. Demandez l'aide de votre direction financière : faites-en une alliée et non une rivale.
- On vous demandera de justifier vos hypothèses, à l’instar d’un délai de restauration post-incident que vous pourriez avancer. Si vous ne pouvez vous exprimer avec aisance sur certaines hypothèses ou données, ne les incluez pas, ou citez-les en indiquant leurs limites.
- Soyez réaliste quant aux coûts estimés de mise en œuvre des mesures de protection. Ne sous-estimez pas les coûts finaux. Chaque dirigeant sait que les projets informatiques dépassent souvent le budget initial et que la sécurité est coûteuse. Il est préférable d'être franc dès le départ que de devoir demander une rallonge budgétaire par la suite.
- Ventilez vos estimations en fonction des attentes des membres de votre Direction générale. Un montant brut élevé risque de devenir le seul point de focus et laissera de côté la véritable discussion sur les risques. Exposez vos modes de calcul et présentez les montants dans le temps pour les coûts suivants : l’investissement initial, les coûts de maintenance et de support sur 5 ans, les charges de déploiement, les coûts de développement résultant de la croissance de votre entreprise, les modules supplémentaires, les mises à jour, la masse salariale des équipes, les formations et certifications, ainsi que les coûts divers résultant d’évènements non prévus.
- N'hésitez pas à présenter votre analyse financière en annexe, avec des synthèses pertinentes.
- N’abordez pas l'impact des coûts financiers sur le cours de l'action de votre entreprise, à moins d'être prêt à vous mettre en porte-à-faux. Ou préparez-vous à savoir à répondre à une question du type : pourquoi le cours de l'action de l'entreprise X a progressé suite à un piratage majeur ?
Selon le modèle d'évaluation choisi, des termes spécifiques seront utilisés. Ces termes ne seront pas forcément signifiants pour votre Direction générale ou pourraient être interprétés différemment selon ses membres. Parlez d’argent et de coûts et vous aurez l'assurance d'être entendu par toutes les personnes présentes dans la salle.
En exposant le résultat d’une analyse de risque et ses implications financières, il est également important d'expliquer le "pourquoi". À savoir, pourquoi cette évaluation a-t-elle été choisie, pourquoi le risque est faible, moyen ou élevé, etc.
En levant les objections, vous vous préparez déjà aux prochaines étapes. Si à l'avenir votre niveau de risque s'avère plus élevé que ce qui est anticipé, quelles seront les prochaines mesures à prendre et de quoi aurez-vous besoin ? Rendre la situation actuelle claire et concise est le meilleur moyen d'amener toutes les personnes présentes à s’intéresser à votre gestion des risques, pour optimiser vos moyens à disposition et maîtriser vos risques liés au cloud.