La cybersécurité est souvent mise en lumière lors de situations de crise, comme vous l’avez vu avec notre attaque sur l’hôpital Santé Céleste qui a été fortement médiatisée. Ce que vous n’avez pas encore vu, c’est qu’il existe un ensemble d’acteurs qui s’activent au quotidien pour prévenir ces crises, en réduisant leur fréquence et leur impact. Ces acteurs font partie d’un écosystème complexe, constitué également de réglementations spécifiques et de diverses organisations. Je vous propose un petit tour d’horizon pour en savoir plus !
Cet écosystème étant très dense et souffrant d’une pénurie de talents depuis des décennies, il y a un véritable enjeu de collaboration et de partage des ressources. Nous allons voir comment l’organisation de cet écosystème permet d’y répondre.
Tenez compte des réglementations qui encadrent la cybersécurité
On ne peut pas parler de cybersécurité sans mentionner les réglementations qui imposent des obligations aux organisations. On peut notamment en citer deux :
La protection des données à caractère personnel via le règlement européen RGPD (règlement général sur la protection des données, ou GDPR, en anglais), qui impose notamment la sécurité des données à caractère personnel (article 32), ou encore la notification à l’autorité de contrôle d’une violation de données à caractère personnel (article 33). C’est dans le cadre du RGPD que l’hôpital a dû déclarer l’incident à la CNIL.
La protection des infrastructures vitales via la loi de programmation militaire en France (LPM), qui impose pour les OIV (opérateurs d’importance vitale) des règles strictes renforçant la sécurité des organisations vitales pour la France.
Il existe bien d’autres réglementations imposant des contraintes de sécurité, comme la certification HDS (hébergement de données de santé) ou encore la norme PCI-DSS pour encadrer la sécurité des paiements avec carte bancaire (“Payment Card Industry Data Security Standard”).
Identifiez les organisations diverses qui œuvrent pour la cybersécurité
Nous avons déjà vu que la cybersécurité concernait tout type d’organisation, en tant que potentielle victime de cyberattaques.
Mais il existe aussi beaucoup d’organisations spécialisées dans le domaine, qui œuvrent ensemble pour un partage des connaissances et des ressources, pour un meilleur niveau de sécurité global.
On peut d’abord citer les régulateurs, qui posent des règles communes, des obligations légales à respecter. Vous avez rencontré plus tôt la CNIL, qui a été contactée dans le cadre de la cyberattaque, afin de déclarer la violation de données personnelles dont l’hôpital avait été victime.
Les fournisseurs de services spécialisés en cybersécurité peuvent aussi mettre à disposition de leurs clients des profils tels que des consultants, des formateurs, des auditeurs… Tous les métiers de la cybersécurité peuvent être externalisés ! Les fournisseurs de services permettent de mutualiser les compétences et de répondre à la pénurie de talents disponibles au sein des organisations sur des expertises spécifiques. Lors de la crise de l’hôpital, ce sont des experts externes qui ont aidé à analyser les traces de la cyberattaque, et à remédier aux faiblesses de sécurité. Il existe d’autres profils, qui aident les organisations en amont de la survenue d’une crise.
Les éditeurs de solutions de sécurité créent et vendent des logiciels permettant de traiter et d'automatiser des problématiques de la cybersécurité. Donc, même s’ils ne font pas partie d’une équipe Cybersécurité, il existe de nombreux métiers en lien avec le domaine, tels que : développeur d’une solution de cybersécurité, intégrateur, commercial, chercheur, équipes Marketing, équipes juridiques, etc. Les interlocuteurs privilégiés de ces métiers sont bien sûr les équipes Sécurité des organisations clientes.
Par exemple, l’hôpital a décidé, pour renforcer son niveau de sécurité suite à la crise, d’installer sur tous les postes de travail une solution d’EDR (Endpoint Detection & Response) fournie par un éditeur de solutions, qui permettra de mieux détecter des comportements malveillants sur le système d'information de l’hôpital.
Les organisations publiques apportent leur assistance et peuvent intervenir en urgence pour aider les organisations attaquées. Elles partagent des guides et des bonnes pratiques pour accélérer la mise en commun des compétences et des connaissances. L’hôpital Santé Céleste étant un opérateur d’importance vitale (OIV), il a très rapidement contacté l’agence de cybersécurité française, l’ANSSI. Pour tout type d’organisation, le service cybermalveillance.gouv.fr fournit des conseils et des informations pour se protéger contre les cyberattaques et savoir y réagir.
Ces organisations publiques collaborent avec les agences gouvernementales de cybersécurité, qui jouent un rôle très important sur leur territoire. Nous avons parlé de l’ANSSI en France, mais il existe d’autres agences de cybersécurité :
l’ENISA (European Union Agency for Cybersecurity) au niveau européen ;
le NCSC (National Cyber Security Centre, ou Centre national de cybersécurité) en Grande-Bretagne ;
Le CCB (Centre for Cybersecurity Belgium) en Belgique ;
le CISA (Cybersecurity & Infrastructure Security Agency) aux États-Unis.
Ces agences de cybersécurité portent notamment les missions suivantes :
coordonner les efforts concernant la cybersécurité sur leur territoire ;
accompagner les organisations et les particuliers dans la lutte contre les cyberattaques, notamment en fournissant des ressources et des services ;
agir dans les domaines politique, diplomatique et militaire pour protéger les infrastructures critiques du ou des pays concernés.
À ce paysage complexe s’ajoutent des institutions internationales non gouvernementales publiant des documents qui font référence dans le domaine de la cybersécurité. On peut en citer deux :
l’ISO (International Standard Organization, ou Organisation internationale de normalisation) est une organisation internationale non gouvernementale, indépendante, et qui élabore des normes sur des sujets spécifiques. La cybersécurité est notamment abordée dans les normes ISO 27000 (en particulier la norme ISO 27001 sur le management de la sécurité de l’information) ;
le NIST (National Institute of Standards and Technology, ou Institut national des normes et de la technologie) est une agence du département du Commerce des États-Unis. Il a publié de nombreux référentiels concernant la cybersécurité, tel que le “cybersecurity framework” (cadre de cybersécurité) sur lequel nous reviendrons un peu plus tard dans ce chapitre.
Enfin, il existe des associations spécialisées, permettant l’échange de bonnes pratiques dans une volonté commune de partage et de progression. En France, il existe par exemple les principaux clubs suivants :
le CLUSIF (club de la sécurité de l’information français) ;
le CESIN (club des experts de la sécurité de l’information et du numérique) ;
le Club 27001 (club d’échange sur les normes ISO 27001).
Remarquez les valeurs fortes incarnées par les acteurs
Vous l’avez vu, de nombreux acteurs sont intervenus pendant la cyberattaque de l’hôpital Santé Céleste :
les équipes internes de l’hôpital, qu’elles fassent partie de l’équipe de sécurité informatique ou d’autres équipes (équipe informatique, équipe légale, direction de l’hôpital, médecins participant à la gestion de la crise…) ;
des externes : les experts en cybersécurité mobilisés sur la crise.
Ce sont tous ces acteurs qui gravitent autour des sujets de cybersécurité dont nous allons parler dans la suite de ce cours. Nous nous focaliserons notamment sur celles et ceux qui agissent en amont des crises, et que vous n’avez pas encore rencontrés.
Il est important de mettre en évidence les valeurs portées par les acteurs de la filière Cybersécurité :
la coopération entre tous les acteurs : les acteurs sont unis sur un même front de défense contre les attaquants, leur objectif est le même : permettre à l’organisation attaquée de reprendre ses activités vitales le plus vite possible, tout en assurant la sécurité de son système d'information ;
la résilience : il s’agit d’assurer la capacité à se remettre d’un incident et d’une crise à travers une préparation et une organisation bien rodées ;
l’humilité et l’amélioration continue : les acteurs de la cybersécurité ne peuvent pas se reposer sur leurs acquis, il leur faut sans cesse contrôler leur niveau de sécurité et l’améliorer, car nul n’est protégé à 100 %.
Cet écosystème très riche permet d’avoir de multiples ressources à disposition sur tous les sujets de la cybersécurité ! Il existe donc de quoi nourrir tous les appétits en cybersécurité, la curiosité étant l’essentiel pour progresser.
En résumé
Dans ce chapitre, vous avez découvert l’écosystème collaboratif de la cybersécurité, et vous en avez compris les principales composantes :
les réglementations, qui permettent d’imposer des obligations aux organisations et de faire progresser leur maturité en cybersécurité ;
les organisations telles que les régulateurs, les fournisseurs de services, les éditeurs de solutions de cybersécurité, les organisations publiques et les associations spécialisées ;
les acteurs qui font la cybersécurité au quotidien et incarnent des valeurs fortes.
Maintenant que vous connaissez mieux l’écosystème cyber, vous avez envie d’en savoir plus sur les équipes qui travaillent à la prévention des cyberattaques ? Alors suivez-moi dans le prochain chapitre !
