- il y a 4 semaines
Catégorie
🤖
TechnologieTranscription
00:00et poser vos questions à la fin avec le micro ou sinon les écrire le long de la présentation avec le chat.
00:08Donc voilà, avant de commencer, je vais me présenter rapidement.
00:11Je m'appelle Aliénor Denizet, je suis ingénieure cybersécurité au Centre Régional de Cybersécurité Bourgogne-Franche-Comté.
00:19Pour ceux qui ne connaîtraient pas, on est le Centre de Réponse aux Incidents de Sécurité Informatique pour la région Bourgogne-Franche-Comté.
00:28Donc c'est une mission de service public qui s'adresse aux collectivités, établissements publics, entreprises et associations de la région.
00:36Donc on a quatre missions. La première, la principale qui est la réponse à incident.
00:42La deuxième de l'alerte via par exemple les vulnérabilités ou quand on est averti d'une suite de données sur un acteur de la région.
00:53On fait aussi de la sensibilisation et de l'animation, notamment pour référencer les acteurs de la cyber en région et puis les valoriser.
01:03Donc c'est dans ce cadre que s'inscrit ce webinaire et que j'ai le plaisir aujourd'hui de recevoir Michael Arlo, consultant gouvernance risque et sécurité pour ACOV.
01:15Et je laisse la main.
01:18Eh bien je prends la main.
01:19Donc merci beaucoup et merci en effet pour l'invitation.
01:24Je vais, voilà.
01:25À partir de cet instant, sachez que je ne vous vois plus.
01:27Et sans doute je ne verrai plus le chat non plus.
01:31Donc il faudra me faire signe, Aliénor, s'il se passe quelque chose de grave.
01:35Si jamais vous vous êtes tous déconnectés, je ne le saurais peut-être que dans 10 ou 15 minutes.
01:42Bref, on va donc parler de GRC, l'acronyme un peu triste pour gouvernance risque et conformité.
01:52Et puis avant toute chose, parce que c'est comme ça que ça commence en général, je vous impose un petit passage sur mon CV.
02:00Donc moi je suis consultant indépendant en cybersécurité et en conformité.
02:04Alors ça fait quelques années que je pratique et avec une petite trentaine d'années d'expérience maintenant,
02:12dont 25 bientôt je pense en termes de cybersécurité.
02:16J'ai toujours un peu pratiqué la conformité en fil rouge, en parallèle ou en complément parfois de la partie cyber.
02:25Et aujourd'hui je fournis mes services essentiellement à des PME.
02:29Alors la PME, ça va représenter des tailles extrêmement variées sur trois grands domaines, on va dire.
02:35J'interviens en tant que RSSI externalisé, parce que tout le monde n'a pas les moyens ou la volonté d'avoir un RSSI à temps plein.
02:44En général plutôt pas les moyens.
02:47En tant que consultant GRC, on va parler entre autres de projet de mise en conformité.
02:51Et je suis aussi auditeur sur l'ISO 27001.
02:56Donc voilà pour les grandes lignes.
02:57Et on évacue tout ça pour parler du vrai sujet, la GRC.
03:03Alors la GRC, ce n'est pas une nouvelle approche.
03:05C'est peut-être une autre approche.
03:07Et dire une autre approche, c'est peut-être déjà un peu trop,
03:11parce que certains l'appliquent peut-être de manière consciente ou inconsciente.
03:15Mais finalement, c'est une approche un peu différente d'une vision un peu traditionnelle que l'on voit souvent,
03:22où la cybersécurité, fondamentalement, elle est plutôt subie que gérée.
03:27C'est perçu comme un sujet technique,
03:30quelque chose qui a une valeur ajoutée assez peu claire pour les dirigeants.
03:37Et puis parfois d'ailleurs associé à des sécurités qu'on va appeler un peu en mode châteaufort,
03:42on va construire de très grands murs autour de l'entreprise.
03:45Et puis, avec des solutions souvent assez génériques, en tout cas c'est ce que je vois,
03:50les éternels, firewalls, les solutions un peu standards,
03:53on va surtout espérer que tout va bien se passer.
03:55C'est la base.
03:57Alors attention, les gens qui sont ici sont peut-être déjà sur une approche un peu plus moderne.
04:02Pour autant, ça représente cette vision traditionnelle,
04:05quelque chose que je vois quasiment au quotidien dans pas mal de structures.
04:09Et le principe de la GRC, c'est d'avoir une vision un peu différente,
04:13alors déjà avec des investissements que l'on va pouvoir plus facilement justifier
04:17en faisant ce qu'on appelle un pilotage par le risque.
04:20Et je vais travailler sur ce point et présenter certains aspects dans la présentation.
04:26Et puis surtout une approche transverse.
04:28On est bien conscient que la technique ne fait pas tout.
04:30Il y a un gros volet aujourd'hui organisationnel,
04:32et la sécurité c'est aussi, pour ne pas dire parfois surtout, l'organisationnel.
04:36Et il y a une cybersécurité qui doit être proportionnée.
04:41C'est-à-dire qu'on ne va pas faire des choses génériques sans trop savoir ce que l'on protège,
04:44mais on va vraiment s'adapter aux enjeux de l'entreprise pour viser un sujet, un point.
04:50Ce qu'on aimerait tous voir dans les structures, c'est la résilience.
04:53C'est-à-dire qu'on est conscient que l'entreprise va se faire attaquer.
04:58On est quasi certain qu'un jour ça va passer.
05:00Et ce qu'on vise finalement, c'est la survie de l'entreprise.
05:04Ce n'est pas le fait d'éviter les attaques, c'est le fait de les gérer,
05:09d'utiliser éventuellement, peut-être pas aller jusqu'à utiliser la force de l'adversaire,
05:13mais en tout cas se dire, ce n'est pas grave, dans l'absolu,
05:17on a mis tout en place et on sait qu'on va survivre.
05:20Finalement ça tient en un mot simple.
05:23Alors, il y a trois grands piliers dans la GRC, bien évidemment.
05:27Gouvernance, risque et conformité.
05:28Alors, d'abord un rappel, la GRC, ce n'est pas une approche purement théorique des choses.
05:34C'est vraiment quelque chose de très opérationnel, si on le fait bien.
05:39Avec d'abord la gouvernance qui s'assure que finalement la cybersécurité
05:43devient un allié et est au service des objectifs de l'entreprise.
05:48Dit comme ça, ça peut sembler évident, mais ce n'est pas toujours le cas.
05:52On n'est pas des empêcheurs de travailler en rond,
05:54on est vraiment là pour aider l'entreprise et au contraire sécuriser l'activité.
05:57On va aussi travailler beaucoup sur l'analyse de risque qui va permettre d'identifier les menaces,
06:04de prendre les bonnes décisions en conscience, je dirais, pas juste se faire peur.
06:10Et puis enfin, on va travailler sur le respect des obligations.
06:13Et là, les obligations, ces derniers mois, on en entend parler à peu près tous les jours.
06:18Alors historiquement, il y avait des choses avec la LPM en France, avec HDS, avec RGPD.
06:24Depuis, on voit Nice 2, on voit le Cyber Resilience Act, on voit le règlement machine.
06:29Énormément de nouvelles règles, obligations, normes qui arrivent
06:32et qui vont venir structurer un peu par la force les différentes entreprises.
06:39Et structurer, c'est le point clé de la gouvernance.
06:42La gouvernance, le G de la GRC, c'est vraiment mettre en place des processus,
06:47mettre en place des politiques, s'assurer qu'on dispose de règles de fonctionnement qui sont claires.
06:53Ça passe par la fameuse PSSI, la politique de sécurité des systèmes d'information,
06:58par la charte informatique, par des plans de continuité, de résilience pour l'activité
07:03et de reprise, pardon, pour co-résilience, je vais le mettre partout.
07:07Les tests, évidemment, qui sont associés à tout cela, c'est vraiment l'enjeu aujourd'hui
07:12de faire, et on aime beaucoup dire ça dans la conformité,
07:17faire ce que l'on écrit et écrire ce que l'on fait.
07:20Voilà, vous l'avez déjà entendu, si certains font ou ont entendu parler de l'ISO 9001, par exemple,
07:27c'est un grand standard.
07:28Voilà, et on va surtout clarifier les responsabilités en interne.
07:33Qui fait quoi au quotidien ?
07:34Qui gère la crise ?
07:35Qui est-ce qu'on appelle en cas de problème ?
07:37Et tout un ensemble de choses, c'est presque un annuaire à construire
07:40avec une répartition des rôles et des responsabilités.
07:44Et surtout, l'un des points clés, obtenir l'engagement de la direction.
07:48Et parfois, ça se mérite, clairement, il faut aller chercher cet engagement de la direction,
07:53mais c'est un point essentiel, et d'ailleurs, dans les obligations de conformité,
07:57qu'elle s'appelle ISO 27001, qu'elle s'appelle NIS2, qu'elle s'appelle autrement,
08:02il y a une obligation qui est d'obtenir l'engagement de la direction.
08:06C'est-à-dire que la direction fait vraiment partie du modèle
08:10et partie prenante dans la démarche cybersécurité.
08:14Puis enfin, en gouvernance, on va faire le côté pilotage, fournir des indicateurs.
08:18Tout ça, c'est presque l'aspect un peu administratif des choses.
08:21Pour autant, en général, on va commencer par la cartographie et l'analyse de risque.
08:28Et c'est un point essentiel de l'aspect GRC, c'est comprendre d'où on part,
08:34ce que l'on cherche à protéger, et de quoi et de qui on cherche à se protéger.
08:39Et l'enjeu de l'analyse de risque, parce qu'on l'oublie un petit peu,
08:43ce n'est pas de protéger des serveurs, ce n'est pas de protéger des machines.
08:47En fait, fondamentalement, on s'en moque un peu.
08:49Ce qu'on veut protéger, ce sont des fonctions.
08:52Ce qu'on veut protéger, c'est ce qu'on appelle la valeur métier.
08:54Alors, ceux qui connaissent ou qui sont intéressés un peu à la boîte à outils
08:59qui s'appelle Ibiocerem, vous reconnaître certaines terminologies ici.
09:04On veut protéger finalement ce qui fait la valeur de l'entreprise,
09:07les joyaux de la couronne, en quelque sorte, ce qui fait tourner
09:11et ce qui permet de délivrer, à un moment donné, pourquoi pas,
09:14les produits finis jusqu'aux clients.
09:16Et l'enjeu, c'est d'avoir une prise de décision qui marche
09:20et surtout d'alimenter un plan d'action.
09:22Une analyse de risque sans un plan d'action derrière,
09:25c'est beaucoup de temps perdu pour finalement pas grand-chose.
09:29Et tout le sujet pour un consultant GRC, c'est vraiment d'animer
09:33la partie analyse de risque.
09:35On n'est pas là pour faire tout dans notre coin,
09:38pondre un fichier Excel à 500 entrées et dire voilà votre analyse de risque.
09:42C'est quelque chose qu'on a tendance maintenant à co-construire
09:46avec tous ceux qui portent vraiment les sujets au quotidien,
09:50à prendre des décisions en mode partagé.
09:53Moi, je suis là plutôt pour éclairer un risque,
09:55dire à des gens, mais est-ce que vous auriez pensé à ce sujet éventuellement ?
09:59Plutôt que de dire voilà où est votre problème.
10:03On doit amener les gens à comprendre et à prendre conscience
10:05à un moment donné des risques qui portent sur eux.
10:07Et tout ça, c'est un objectif assez simple finalement,
10:11qui est de prioriser, prioriser des budgets, prioriser aussi des actions.
10:15Donc ça commence en général, ou en tout cas ça arrive très très vite
10:18jusqu'au sujet de l'analyse de risque.
10:22Et l'un des points clés, je dirais, de ce que l'on fait en GRC,
10:28c'est la vulgarisation.
10:30Parce que sans vulgariser, on n'aura jamais à un moment donné
10:34de gens qui vont se responsabiliser ou qui vont adhérer à la politique de sécurité.
10:39Et on doit savoir, lorsqu'on fait de la GRC, totalement oublier la technique.
10:43Je peux vous parler de technique pendant des heures,
10:46mais il arrive un moment où je débranche la partie de mon cerveau
10:49qui pense technique.
10:50Parce qu'une direction, lorsqu'elle va faire des arbitrages,
10:54elle va le faire en fonction de données purement financières.
10:56elle se moque d'une vulnérabilité, d'une faille, d'une CVE, ou ainsi de suite.
11:02Donc il faut parler à un moment donné, le langage des affaires.
11:06Et il faut arriver à faire des analyses de risque,
11:09et idéalement des analyses un peu d'impact,
11:11qui vont parler au plus grand nombre,
11:14et en particulier à ceux qui vont libérer des budgets
11:17et autoriser des initiatives.
11:19Si je prends un exemple, si j'arrive demain,
11:23et si vous arrivez demain face à un dirigeant en disant
11:25on a un problème sur un logiciel, il est obsolète,
11:29on ne peut même pas pousser un patch,
11:32on pourrait avoir une élévation de privilèges,
11:34on sait que ça nous amènerait à un mouvement latéral,
11:36et là on va se retrouver avec un hyper-V derrière qui...
11:40Là vous êtes sûr de perdre tout le monde,
11:42normalement au bout du troisième ou quatrième mois.
11:45Et c'est un défaut, un peu qu'on a eu tous,
11:47moi y compris pendant longtemps,
11:48c'est-à-dire qu'on a beaucoup parlé de technique,
11:51finalement, pour valoriser le risque.
11:54Il faut faire cette traduction du risque vers les impacts.
11:58Là j'ai pris des exemples,
11:59un peu caricaturaux, un peu bateaux peut-être,
12:03mais finalement vous avez l'idée,
12:05il faut pouvoir expliquer à un moment donné,
12:06de manière extrêmement claire et pragmatique,
12:09ce que sont les impacts,
12:10ce que sont les conséquences d'un risque
12:13sur une entreprise, sur une structure donnée.
12:15J'ai donné l'exemple de la vulnérabilité.
12:20Si j'arrive en disant,
12:21j'en ai parlé avec les équipes,
12:23remonter le RP,
12:24c'est quand même assez complexe aujourd'hui,
12:26les procédures ne sont pas complètement claires,
12:29ça risque de prendre du temps,
12:31les gens me disent qu'on peut tourner 24 heures sans,
12:35mais qu'au bout de 24 heures,
12:36on va commencer à perdre beaucoup d'argent,
12:38et que ça va être difficile de revenir un petit peu,
12:40et de pouvoir absorber un petit peu le buffer qu'on aura créé.
12:45Si je commence à chiffrer cette perte,
12:48j'ai forcément une écoute qui se fait assez directement.
12:52Et c'est vrai pour les fuites de données aussi.
12:54Alors, j'ai arrêté de pousser le risque juridique
12:57et le risque de sanctions,
12:58parce que les gens se moquent en fait assez royalement
13:02du risque de sanctions sur les fuites de données.
13:05En tout cas, ils ont du mal à le prendre en compte
13:07pour plein de bonnes et de mauvaises raisons.
13:10Aujourd'hui, je vais insister plus sur la perte d'images.
13:13S'il y a une fuite de données, ne rêvez pas.
13:16Pendant deux ans,
13:16quand on va chercher le nom de votre société sur Internet,
13:19tout ce qu'on va trouver,
13:20c'est les articles qui parlent de la fuite de données.
13:23D'autant plus qu'aujourd'hui,
13:24il y a des sites entiers qui ne font que recenser les fuites,
13:26donner le nom des sociétés, et ainsi de suite.
13:30Et tout cela, ce sont des choses que l'on va vraiment pouvoir utiliser
13:34pour valoriser l'impact des risques
13:37et de faire obtenir, à un moment donné, budget et validation.
13:43Et ça tombe bien, parce qu'on en a beaucoup besoin
13:45de budget et de validation,
13:47parce qu'aujourd'hui, il y a vraiment un sujet clé,
13:50c'est l'inflation réglementaire.
13:52Certains diront explosion réglementaire.
13:54Parce qu'aujourd'hui, l'Europe a décidé finalement
13:58de siffler la fin de la récréation.
14:01En disant, les structures ne prennent pas correctement,
14:05à un moment donné, la mesure du risque cyber,
14:11et ne font pas suffisamment d'efforts pour être protégées.
14:14On sait que les grosses structures, elles sont protégées,
14:17ça fait bien longtemps,
14:18mais que le risque, forcément,
14:20s'est déporté sur des structures de taille plus petites
14:22qui, elles, sont moins bien protégées.
14:25Et donc, on va forcer les gens à se protéger.
14:27On va forcer avec des obligations réglementaires.
14:30Et je passe, par exemple, pas mal de temps,
14:32ces derniers, depuis quelques mois,
14:34à travailler sur un sujet qui est Nice 2,
14:36qui est l'une des obligations réglementaires,
14:39qui est parue en novembre pour l'acte d'exécution 2024,
14:45qui commence à plus que se déployer sur les grands groupes,
14:49et qui, tout doucement, commence à infuser par obligation
14:54sur les fournisseurs de ces grands groupes.
14:56On peut parler de DORA pour la finance,
14:58on peut parler du Cyber Resilience Act pour les produits,
15:00du règlement machine, qui touche plutôt l'industrie.
15:03Ne vous attendez pas à ce que les obligations réglementaires diminuent,
15:08ce n'est pas du tout la tendance de fond,
15:11et on va plutôt avoir aujourd'hui une vision qui dit
15:13que la cybersécurité n'est plus une option, c'est la loi.
15:16C'est la version courte et résumée, aujourd'hui, des obligations réglementaires.
15:21Et j'ai mis ce petit logo avec le port du casque obligatoire,
15:27parce que si on prend un peu de recul,
15:28ce ne sera pas la première fois qu'on va faire avancer la sécurité,
15:32globalement, et pas juste la cybersécurité, avec des lois.
15:35Pensez, ceinture de sécurité,
15:38carter de protection sur des machines outils dans l'industrie,
15:42sécurité incendie,
15:43à chaque fois qu'on a voulu faire vraiment avancer la sécurité,
15:47globalement, dans la société, dans les entreprises,
15:50ça s'est fait plutôt par des obligations.
15:54Donc, ce n'est qu'une obligation de plus,
15:56avec quand même des impacts qui sont forts,
15:59c'est-à-dire qu'en cas de manquement à ces obligations,
16:01d'abord, la responsabilité des dirigeants pourra être engagée,
16:05ça peut aller assez loin,
16:07il y aura des notions de sanctions financières,
16:09et de manière générale, dans tous les cas,
16:10le fait que l'incident cyber, ce n'est plus une excuse.
16:14Personne ne pourra plus dire,
16:15« Ah, désolé, je me suis fait attaquer. »
16:17Non, ce sera considéré, d'un point de vue légal,
16:21comme de la négligence de ne pas être complètement prêt,
16:23et de n'avoir pas correctement implémenté ces différents points.
16:27Ça, c'était le volet désagréable de la conformité.
16:33Il y a quand même un point un peu plus positif,
16:36et les opportunités qui vont avec.
16:39Certains l'ont fait depuis longtemps avec l'ISO 27001,
16:41qui est une norme volontaire, contrairement à celle qui arrive.
16:46Pourquoi ? Parce que ça permet de prouver la qualité de ces services.
16:48Vous voyez plein de camionnettes,
16:52de logos ISO 9001, ISO 14001,
16:55sur des véhicules parfois,
16:57parce que les gens ont compris que montrer de la qualité,
17:01c'était aussi, à un moment donné, un argument de vente.
17:04L'autre point, c'est qu'on voit de plus en plus des marchés
17:07dans lesquels il y a un volet cybersécurité,
17:10en plus des renseignements administratifs,
17:12organisationnels, sur les aspects financiers.
17:15On commence à devoir prouver qu'on a pris en compte
17:18le facteur cybersécurité dans son organisation.
17:23J'ai vu plus d'une fois, surtout sur la dernière année,
17:27des consultations de grands groupes, surtout,
17:30avec un volet cyber à remplir.
17:33Et si on ne le remplit pas,
17:35ce n'est pas la peine de remplir la consultation,
17:37parce que de toute façon, on sera éliminé d'entrée.
17:41Et puis avec NIS2, il y a une petite subtilité dans NIS2,
17:44c'est que NIS2 concerne ce qu'on appelle
17:45les entités importantes et les entités essentielles.
17:49D'abord, les essentielles pour les plus hautes
17:51et les importantes ensuite.
17:54Elles ont une obligation légale,
17:56parce qu'elles sont des entités soumises,
17:59à un moment donné, à une contrainte réglementaire.
18:02Elles ont, et elles héritent, en quelque sorte,
18:04de la responsabilité de leurs fournisseurs.
18:07Donc les donneurs d'ordre, aujourd'hui,
18:09je le vois régulièrement,
18:11et ça a déclenché des projets encore dans les derniers mois.
18:15Les clients se tournent vers les fournisseurs
18:18et leur disent, prouvez-nous que la cybersécurité est conforme.
18:22Alors, avec des questions très précises,
18:24pas toujours en mentionnant NIS2,
18:26mais c'est toujours entre les lignes.
18:28Et si la réponse n'est pas satisfaisante,
18:30finalement, vis-à-vis de ces clients,
18:32on devient un risque.
18:34Et devenir un risque,
18:35ce n'est jamais une très bonne chose
18:36pour le maintien de la relation.
18:37Donc, il y a vraiment ce volet conformité
18:40qui prend de l'importance
18:41et auquel beaucoup de structures,
18:44et certaines ne l'avaient vraiment pas du tout anticipé,
18:47se retrouvent confrontées
18:49et pour lesquelles il va falloir avancer assez vite.
18:53Alors, l'un des rôles d'un consultant en GRC
18:56ou d'une personne en interne
18:58qui aurait la responsabilité de la GRC,
19:01c'est la traduction.
19:02Parce que les exigences dans les normes,
19:06dans les lois,
19:07sont en général assez génériques.
19:10Typiquement, l'exemple que je donne ici
19:12peut se trouver dans certaines normes.
19:15L'exigence, c'est garantir la continuité d'activité
19:18en cas de sinistre majeur.
19:20Si je demande à cinq ou six personnes
19:22qu'est-ce que vous feriez, vous,
19:24pour satisfaire cette exigence,
19:26je vais avoir trois, quatre, cinq réponses différentes
19:30avec un tronc commun,
19:32mais des variations en fonction des personnes,
19:35de leur connaissance, de leur sensibilité,
19:37de ce qu'ils connaissent éventuellement,
19:38des problématiques de leur entreprise.
19:41Et tout l'enjeu, c'est de faire la traduction des exigences
19:44et de traduire les exigences en mesure.
19:48Et ça demande un petit peu de travail,
19:50ça demande entre autres un travail de veille.
19:51parce que pour bien traduire aujourd'hui les exigences,
19:56il faut utiliser un concept qu'on appelle l'état de l'art.
19:59L'état de l'art, c'est l'ensemble des bonnes pratiques
20:01et des documents que l'on va trouver publiquement,
20:06que ce soit sur Internet,
20:07que ce soit dans des publications,
20:09que ce soit dans des groupes de travail,
20:11et qui vont permettre de définir, finalement, globalement,
20:14ce que sont les meilleures pratiques
20:16pour répondre à une exigence donnée.
20:19Et souvent, pas juste sur l'axe technique,
20:22à nouveau, l'organisationnel, le technique, le juridique.
20:25Là, j'ai un exemple,
20:26et je dis bien un exemple de réponse,
20:28parce que la véritable réponse va dépendre
20:31du contexte de l'entreprise,
20:32va dépendre de l'analyse de risque,
20:34de tout ce que l'on aura pu collecter.
20:36Mais finalement,
20:37on va devoir adapter, à un moment donné,
20:39les mesures,
20:40alors en étant extrêmement pragmatique,
20:42on a une notion qui est,
20:44la notion de proportionnalité qui est importante,
20:46et qui va permettre de dire,
20:48pour une entreprise de 40 personnes,
20:51avec une informatique, finalement,
20:53dont on ne dépend pas tant que ça,
20:55ou qui nous permettrait de survivre en quelque temps,
20:59la haut dispo n'a pas de sens.
21:00Je vais peut-être me contenter d'un PRA,
21:02d'un PCA digne de ce nom,
21:04et puis surtout,
21:05mettre le paquet sur les sauvegardes
21:06et les procédures qui vont avec.
21:10Mais vraiment, c'est du sur-mesure,
21:12et c'est l'un des gros aspects de la GRC,
21:15traduire dans la conformité,
21:17le quoi, en comment.
21:20Et,
21:21un point sur lequel j'insiste toujours,
21:23parce que,
21:24parce que ça ne manque jamais d'arriver dans les discussions,
21:27il y a une différence entre conformité et sécurité.
21:31La conformité, c'est être en règle,
21:33c'est cocher des cases.
21:34La sécurité, c'est être protégé,
21:36ce qui est un petit peu différent.
21:38Il y a toujours une tentation.
21:40En général, sur les débuts de projet,
21:42il y a ce moment où je vais croiser un dirigeant
21:44dans un couloir qui va me dire
21:45« Qu'est-ce qu'on devrait faire
21:47pour être sûr d'être conforme
21:50le plus facilement possible ? »
21:53Sous-entendu,
21:53sans forcément faire trop de choses derrière.
21:57Ça, c'est le risque absolu.
21:58Faire de la conformité pour cocher des cases,
22:01ce n'est pas du tout l'objectif.
22:03L'objectif, c'est vraiment,
22:05j'insiste sur ce point-là,
22:07c'est la conformité pour la sécurité.
22:10Ce n'est pas la conformité pour cocher des cases.
22:12Sinon, finalement,
22:14le projet ne sert absolument à rien.
22:16Donc, la sécurité, c'est un processus continu.
22:19Ce n'est pas juste au moment de l'audit
22:20où on va venir prouver
22:22qu'à un moment donné,
22:22on est plutôt bon.
22:25Et c'est ce qui fait la différence
22:27pour gérer la continuité d'activité.
22:30Alors, je l'ai dit,
22:31moi, je suis indépendant.
22:33Il existe quand même des structures
22:35dans lesquelles la fonction GRC est internalisée.
22:38Finalement, c'est assez rare encore.
22:40C'est assez rare parce que la GRC,
22:43ça fonctionne quand même beaucoup en mode projet.
22:46On va sortir le consultant GRC du placard.
22:50Il va travailler sur le projet de mise en conformité.
22:53Et puis, on va le ranger en attendant la revue,
22:56les tests, les audits.
22:59Donc, finalement, l'externalisation
23:01est un peu plus simple pour les entreprises.
23:03Et surtout, il y a un point dans la GRC
23:06qui est extrêmement consommateur,
23:08chronophage, littéralement,
23:10en termes de temps passé.
23:11C'est la veille.
23:13La veille réglementaire,
23:15la veille sur l'état de l'art,
23:16la veille sur les évolutions de la loi,
23:19le journal officiel,
23:21tout ce que l'on peut trouver.
23:22Ça demande un temps assez conséquent.
23:25Et finalement, pouvoir le mutualiser
23:27entre les différentes entreprises,
23:29c'est quand même beaucoup,
23:30beaucoup plus intéressant.
23:31Et l'autre point, c'est le regard externe.
23:34Un consultant externe,
23:36il n'est pas jugé parti.
23:38Ce n'est pas celui qui a mis en place la solution
23:40qui va juger de la qualité de la mise en place.
23:42Et on ne va pas demander, à un moment donné,
23:45à celui qui monte un mur
23:47de certifier la solidité d'un immeuble.
23:50C'est plutôt un tiers qui va venir le faire.
23:52Et on est un peu dans ce mode-là.
23:54Et accessoirement, ça permet quelque chose
23:56qui fait la différence.
23:57Vraiment, croyez-moi,
23:59c'est pouvoir poser les questions qui fâchent.
24:01La question qui fâche,
24:02c'est celle qu'on a mis de côté
24:03parce qu'on préfère pas y penser.
24:06La question qui fâche,
24:07c'est celle qui est un peu politique
24:09où on pourrait se retrouver en porte-à-faux
24:11à mettre en cause une décision
24:12qui aurait été prise par son propre patron.
24:16Bref, on va avoir beaucoup de valeurs ajoutées
24:19à un regard externe sur ce point-là.
24:21Et puis, l'efficacité,
24:24je ne vais pas trop passer de temps sur ce point
24:27parce qu'on est déjà bien avancé
24:30et on y est presque, je vous rassure.
24:33Un petit point de détail aussi,
24:34c'est l'indépendance.
24:36Aujourd'hui, dans les projets de conformité,
24:38il y a beaucoup de flou,
24:40en particulier avec Nice 2.
24:42On lit des énormités.
24:44Il n'y a pas d'autres mots
24:45sur ce que ça implique de passer à Nice 2.
24:47Beaucoup de gens fournissent et arrivent
24:50en disant, j'ai des solutions technologiques
24:52qui vont vous permettre d'être conformes à Nice 2.
24:55C'est faux.
24:57Et c'est toujours compliqué
24:59lorsqu'on vend des solutions,
25:01finalement, d'arriver avec la bonne solution.
25:04Donc, l'objectif, c'est d'être indépendant
25:06des vendeurs de solutions
25:07pour choisir une approche
25:10et finalement faire du choix spécifique
25:14d'un type de produit,
25:15un sujet qui est secondaire
25:19ou en tout cas qui ne vient pas mêler
25:22à un moment donné des intérêts
25:23et des besoins d'entreprise.
25:27Donc ça, c'est le bénéfice résumé de la GRC.
25:31Vraiment transformer la contrainte réglementaire
25:34parce que c'est une contrainte,
25:36si on le gère mal,
25:37en un atout.
25:39Ce matin, j'ai rajouté
25:40« Et mieux dormir ».
25:41Sachez que ça me concerne aussi très directement,
25:44pas juste les clients.
25:45parce que quand je commence mes missions
25:47et que je fais l'état des lieux,
25:49je ne dors pas forcément très bien
25:50tant qu'on n'a pas mis en place
25:51les premières actions les plus urgentes
25:54pour un peu solidifier les choses.
25:57Mais au-delà de ça,
25:58et pas très blague à part,
26:01le sujet, c'est vraiment
26:03donner lieu et donner vie
26:05à un projet qui est un projet d'entreprise.
26:07Il faut que la cybersécurité
26:09se soit vue comme
26:10quelque chose d'aussi important
26:13que la fonction financière,
26:14que la fonction commerciale.
26:16Ça vient supporter l'entreprise,
26:19ça vient la rendre plus forte,
26:21et ce n'est pas le moindre des bénéfices,
26:24et ça permet de satisfaire des obligations.
26:27Et qui dit satisfaire,
26:28dit prouver.
26:29Parce qu'à un moment donné,
26:30il faut pouvoir sortir
26:32de son cartable
26:34les preuves qui montrent
26:35que l'on est conforme à des obligations.
26:37Donc, voilà,
26:39c'est la version extrêmement résumée,
26:41et pourtant déjà bien trop longue,
26:42peut-être,
26:43concernant l'AGRC,
26:46et peut-être qu'il y aura
26:48quelques questions sur ce point,
26:50dont certains ou certaines
26:52parmi l'audience connaissent peut-être déjà,
26:54et se disent,
26:56je n'ai pas tout appris,
26:59mais je suis intéressé
27:00si vous avez des questions
27:01sur ce point et sur l'approche.
27:03ce qui me permet de boire.
27:07Merci beaucoup,
27:08Mickaël.
27:10Si vous avez des questions,
27:11vous pouvez soit les écrire,
27:12soit allumer votre micro.
27:25Un message.
27:26Ah, un message.
27:28Je crois.
27:29Ce n'est pas une question.
27:31Ce n'est pas une question,
27:32en effet.
27:33ce n'est pas une question.
27:35Cela dit,
27:35pour alimenter un petit peu,
27:37parce que je peux aussi parler
27:38des points,
27:41des quelques points basés
27:43sur mon expérience,
27:45c'est plus un complément.
27:48Il y a un sujet qui revient souvent,
27:50c'est que
27:50il y a beaucoup,
27:52beaucoup,
27:52beaucoup de réglementations,
27:54et les gens sont un peu perdus
27:55aujourd'hui sur les obligations.
27:57Je dois faire du RGPD,
27:58je dois faire du NIS2,
28:00je dois faire ci,
28:01et finalement,
28:03lequel je choisis.
28:05Et il y a une réponse à ça,
28:06c'est qu'on ne les choisit pas,
28:08on doit tous les mettre en place.
28:10Et l'un des enjeux,
28:11finalement,
28:12c'est de faire tout le travail
28:13de consolidation,
28:14en disant,
28:15si je prends l'exemple
28:16de l'arrivée
28:17d'une personne
28:18dans une entreprise,
28:19d'un nouvel employé,
28:20ça concerne le RGPD,
28:22ça concerne l'ISO 27001,
28:24ça concerne le NIS2,
28:25qui ont chacune
28:26leurs obligations associées,
28:29et le travail à faire,
28:30c'est aussi de dire,
28:31je dois trouver le chemin milieu,
28:32je dirais,
28:33qui va permettre de couvrir
28:33les exigences
28:34de toutes les normes
28:36en une fois.
28:37Et ça,
28:39c'est un gros sujet aussi
28:40de plus en plus,
28:42parce que certaines entreprises,
28:43aujourd'hui,
28:44sont concernées par
28:45quasiment trois types,
28:48trois règlements
28:49qui arrivent
28:50dans les prochains mois,
28:52et en même temps.
28:55Et d'ailleurs,
28:56là-dessus,
28:57est-ce que c'est pertinent
28:58de définir sa PSSI
29:00en fonction
29:01des réglementations
29:02auxquelles on est sujet,
29:05ou pas forcément ?
29:07Alors,
29:07j'ai envie de dire
29:08un peu pas forcément.
29:09Alors,
29:09les PSSI,
29:11donc les politiques de sécurité
29:12des systèmes d'information,
29:15alors ça doit être,
29:16d'abord,
29:16un,
29:16quelque chose d'opérationnel.
29:18Je me méfie
29:19des PSSI
29:19qui sont extrêmement théoriques,
29:21que finalement,
29:22personne n'applique
29:23ou qui vont dériver
29:24au bout de jours
29:26ou de semaines.
29:29La plupart des réglementations,
29:31et c'est la bonne nouvelle,
29:32elles s'appuient finalement
29:33sur les mêmes socles
29:35et sur beaucoup de bon sens,
29:37quand même.
29:39Que ce soit Nice 2,
29:40que ce soit l'ISO,
29:41que ce soit d'autres contextes,
29:45on retrouve fondamentalement
29:47un peu les mêmes demandes.
29:48Donc,
29:49il faut trouver le chemin milieu
29:50et la PSSI
29:52qui va permettre
29:52d'en couvrir le maximum.
29:55Et une PSSI,
29:56il ne faut pas hésiter
29:57non plus à la faire vivre.
29:59Si on veut faire
29:59la PSSI ultime
30:01qui va couvrir
30:01toutes les obligations
30:02d'aujourd'hui
30:03et de demain,
30:04on risque de se retrouver
30:06avec quelque chose
30:06qui est assez éloigné
30:07de ce qu'on peut faire
30:08au quotidien.
30:09Mais dans tous les cas,
30:15il faut écrire les choses.
30:19Il y a beaucoup de rédactionnels
30:20dans l'approche GRC,
30:22on ne va pas se mentir.
30:24La bonne nouvelle,
30:25c'est que vous pouvez en déléguer
30:26une grosse partie.
30:31Autre point,
30:32autre question.
30:33Je n'ai pas l'impression.
30:40Non.
30:41Je peux poser aussi,
30:43je peux rebondir
30:44sur une question
30:45qui en général
30:45revient très vite
30:47au-delà du combien ça coûte,
30:51qui est
30:52quelle méthode
30:52on prend pour faire
30:53de l'analyse de risque.
30:54Parce que ça,
30:55c'est un grand sujet.
30:56Les gens se perdent
30:57un petit peu
30:57dans ce sujet.
31:00Aujourd'hui,
31:01des méthodes,
31:01il y en a plein.
31:02Si vous regardez
31:02sur le marché,
31:03historiquement,
31:04Méhari,
31:05Parle-Occlusif,
31:06l'ISO 27005,
31:09IBIOCRM,
31:10la méthode FAIR
31:11pour faire
31:11de la quantification,
31:13etc.
31:13Vous pouvez,
31:14sans compter
31:15les méthodes maison,
31:16entre guillemets,
31:17des consultants
31:18et des gens en interne
31:19qui ont construit
31:20leur fichier Excel
31:22avec des macros
31:22et autres.
31:24J'ai mis du temps,
31:26et je vais être
31:27très transparent
31:27sur ce point,
31:28à apprécier
31:29IBIOCRM.
31:30mais de fait,
31:33c'est quand même
31:34la méthodologie
31:36qui marche bien
31:37aujourd'hui,
31:38surtout
31:39si la maturité
31:40n'est pas très élevée,
31:43finalement,
31:43mais pas seulement,
31:45parce que c'est hyper collaboratif.
31:47Ça peut même être
31:48assez ludique.
31:49Moi,
31:49j'arrive à faire
31:50des ateliers
31:51où on passe
31:53un bon moment,
31:53et ça paraît
31:54presque étonnant
31:56quand on parle
31:56d'analyse de risque,
31:57parce que tout le monde
32:00a sa voix
32:00au chapitre,
32:01parce que les gens
32:02prennent conscience
32:02des choses.
32:03C'est vraiment
32:04une méthode
32:04que j'apprécie beaucoup.
32:06Pour autant,
32:07ce n'est pas la seule,
32:08et retenez que
32:09dans la majorité
32:11des cas,
32:12les normes
32:12n'imposent pas
32:13une méthode
32:14d'analyse de risque,
32:16mais que pour Nice 2,
32:17il pourrait y avoir
32:18un petit piège,
32:19parce que la directive
32:20n'en impose pas,
32:21la transposition française
32:22n'en impose pas,
32:24mais que l'ANCDI,
32:25la méthode
32:27d'analyse de risque
32:28pour les systèmes
32:29réglementés
32:29s'appelle
32:30IBIOCRM.
32:33C'était un petit détail,
32:36je conseille
32:37à tout le monde
32:38de regarder,
32:38il y a un très bon MOOC
32:40qui est sorti,
32:41une formation en ligne
32:42qui est sur le site
32:44de l'ANCDI
32:44concernant IBIOCRM,
32:45elle est top,
32:47et je conseille
32:48vraiment à tout le monde
32:49d'aller jeter un oeil.
32:53On a déclenché
32:54des questions,
32:55mince.
32:59Comment fais-tu
33:00pour aider les organisations
33:01à se conformer
33:02à Nice 2,
33:03par exemple,
33:03sachant que la France
33:04n'a pas réellement
33:05transposé son texte ?
33:07Alors,
33:08ça c'est marrant
33:09parce que c'est quand même
33:10la vraie grosse question
33:11qui vraiment revient souvent.
33:14Nice 2,
33:15techniquement,
33:16n'est pas transposée
33:17au sens où
33:18elle n'est pas inscrite
33:19dans la loi française.
33:21Pour autant,
33:23il y a une directive
33:24d'exécution,
33:24un acte d'exécution
33:26qui a été publié
33:27il y a un an déjà,
33:28plus d'un an,
33:29qui concerne
33:30les entreprises essentielles.
33:32Ces entreprises essentielles-là,
33:34transposition ou pas,
33:35elles sont déjà conformes.
33:36Elles sont déjà
33:37obligées d'être conformes.
33:39C'est maintenant,
33:39c'est tout de suite.
33:40donc le problème
33:42est réglé pour elles.
33:44Ensuite,
33:45tout ce qui manque
33:46aujourd'hui,
33:46finalement,
33:47pour la transposition
33:48de Nice 2 en France,
33:50c'est la désignation
33:51de l'autorité
33:52qui va chapeauter tout ça.
33:55Tout le monde sait
33:56que c'est l'Annecy.
33:57Et la désignation
33:59de ce qu'on appelle
33:59le comité des sanctions,
34:01c'est-à-dire les gens
34:02qui vont se réunir
34:02pour dire
34:03on va venir
34:04sanctionner une entreprise
34:06qui n'est pas conforme.
34:08Pour tout le reste,
34:09je vais être très honnête,
34:10on a tout.
34:11Il n'y a aucune excuse
34:12à ne pas démarrer.
34:13Les obligations,
34:15la liste des pratiques
34:16attendues,
34:17les exigences,
34:18elles sont parfaitement listées.
34:21La France,
34:22dans l'état actuel
34:23de la transposition,
34:24et je fais partie
34:24des gens un peu débiles
34:26qui ont même regardé
34:27les réunions
34:29à l'Assemblée nationale
34:31pendant l'été,
34:32a fait une transposition
34:33là encore
34:35assez classique
34:36et standard.
34:37On n'a pas échappé
34:38une fois de plus
34:38à la sur-transposition
34:40c'est-à-dire que la France
34:41a rajouté des contraintes
34:42qui n'existaient pas
34:43à l'origine.
34:44On aime beaucoup faire ça,
34:46ne me lancer pas
34:46sur ce sujet.
34:48Pour autant,
34:49on a tout.
34:50Tout ce qui manque
34:51aujourd'hui,
34:52c'est finalement
34:54le décret d'application.
34:56Mais il est important
34:58de ne pas attendre.
34:59Et d'ailleurs,
35:00depuis la semaine dernière,
35:01l'ANSI a ouvert
35:02le portail
35:02qui permet de faire
35:04les déclarations
35:05préalables
35:06pour les entreprises
35:07concernées.
35:08alors que la loi
35:09n'est pas là.
35:11Donc,
35:12n'attendez pas
35:13si vous percevez
35:14que vous êtes concerné
35:15directement ou indirectement
35:17parce que vous êtes
35:17le fournisseur
35:18d'une entité concernée,
35:20il est urgent
35:21de démarrer
35:21parce qu'un projet
35:23de conformité,
35:24c'est beaucoup plus facile
35:25quand on se donne le temps.
35:27Voilà.
35:29C'était l'ASPENIS 2.
35:31Donc,
35:32il est urgent
35:33de démarrer.
35:34Et puis,
35:34l'autre question,
35:35c'est vouloir
35:36se conformer
35:37à la majorité
35:39des normes.
35:39Est-ce qu'on ne va pas
35:40passer du temps
35:40à modifier
35:41ces PSSI,
35:42gestion des risques
35:43et ainsi de suite ?
35:44Finalement,
35:45ça revient
35:45à ce que je disais
35:47précédemment.
35:49Il faut,
35:49à un moment donné,
35:50passer le temps
35:51nécessaire
35:51pour,
35:52je dirais,
35:54et c'est marrant
35:54parce que je crois
35:55que c'est quelque chose
35:57que j'avais mis
35:58dans mon deck
35:59et que j'ai gardé
36:00dans les annexes.
36:00Donc,
36:01je vous l'enverrai
36:01pour ceux
36:01qui le souhaitent.
36:02Il faut vraiment
36:03faire un travail
36:04d'alignement
36:04des référentiels
36:05pour s'assurer
36:07que la PSSI
36:09elle intègre
36:10un maximum
36:11de choses
36:12et qu'on ne va pas
36:13laisser un trou
36:14tout bête
36:14dans la raquette
36:15qui nous obligera
36:16à la revoir.
36:18La PSSI,
36:19ça doit être vivant
36:20et pour autant,
36:21si on publie
36:22et qu'on diffuse
36:23une nouvelle PSSI
36:24tous les six mois,
36:26plus personne
36:26ne va la lire.
36:27Déjà,
36:27personne ne l'a dit
36:28dans les faits.
36:30En tout cas,
36:31ça va être un peu
36:31plus compliqué.
36:33Il faut trouver
36:33ce juste milieu
36:35mais à nouveau,
36:37si on fait acte
36:39de bon sens,
36:41qu'on choisit
36:42de prendre des exigences
36:43et de mettre en place
36:44des règles internes
36:46qui sont finalement
36:48l'état de l'art
36:49de manière générale,
36:51on ne devrait pas
36:52avoir à modifier
36:53les choses régulièrement.
36:54pour autant,
36:56ça n'empêche pas
36:56qu'une analyse de risque
36:57par exemple,
36:58ce n'est pas figé.
37:00Si on ne revient pas
37:01de temps en temps
37:01sur l'analyse de risque
37:03pour tenir compte
37:04de l'évolution du contexte,
37:06de l'évolution
37:07de la société elle-même,
37:08de l'arrivée
37:09de nouveaux tiers
37:10ou fournisseurs,
37:11on risque d'avoir
37:12quelque chose
37:13qui nous protège
37:14d'une vision passée
37:15de notre système
37:16et non pas
37:17de la vision actuelle.
37:19Donc oui,
37:19il y a un travail
37:19d'équilibrage à trouver.
37:21Notez que je ne suis pas
37:24un grand fan
37:24de la revue permanente
37:25qui, pour autant,
37:29on doit à minima
37:31quand même
37:31la conserver
37:32raisonnablement actuelle.
37:35Je suis assez pragmatique
37:36dans ces sujets-là.
37:39Certains sont des documentaristes,
37:42pas moi.
37:46Est-ce que ça répond
37:48à la question ?
37:51De la première personne
37:53qui s'était connectée ?
37:54Je tiens à signaler.
38:01Sans doute.
38:03A priori, oui.
38:05Oui.
38:06Pour ceux que ça intéresse,
38:09j'ai la preuve
38:10avec cette page-là.
38:12J'ai passé plus de temps
38:13à supprimer des pages
38:14qu'en ajouter
38:16dans ma présentation.
38:17Je pourrais la faire passer
38:19ou je vais la faire passer
38:20à Alienor,
38:20tout simplement
38:21qui la diffusera
38:21à ceux qui le voudront.
38:22Comme ça,
38:23vous n'avez même pas
38:23l'obligation
38:24de me contacter,
38:25moi.
38:26Ça vous permettra
38:27peut-être d'avoir
38:28des informations
38:29complémentaires.
38:33Je vous mets
38:33dans le chat
38:35l'adresse mail
38:37du CISERT.
38:37Comme ça,
38:38vous pouvez me demander
38:39si ça vous intéresse.
38:44Je pense qu'on peut
38:45s'arrêter là.
38:45merci beaucoup,
38:47Michael,
38:47pour cette présentation
38:48de qualité.
38:51Merci à vous.
38:51Le webinaire est enregistré
38:54et je posterai
38:55la rediffusion
38:57sur notre chaîne
38:57Dailymotion
38:58dans les prochains jours.
39:00N'hésitez pas
39:01à repartager
39:02cette présentation
39:03qui pourrait être bénéfique
39:04pour tout le monde.
39:05Merci à tous
39:07et n'hésitez pas à m'attendre.
39:10C'est le mot de la fin.
39:12Le mot de la fin.
39:13Merci à toutes et à tous.
39:15À bientôt.
39:16Merci beaucoup.
39:17Bonne journée.
39:18À bientôt.
39:19Bonne journée.