Cyber-Sécurité : « Êtes-vous une victime consentante ou avez-vous mis en place une réelle stratégie de sécurisation qui fait que votre activité pourra résister aux attaques ? »« Think early, Act effectively and React promptly » : voici ce que vous proposeront d’appréhender EBRC, Deloitte et DataExpert lors de la conférence Cyber-Sécurité du 5 juin, dans les locaux d’Editus à Kayl.

L’actualité se répète chaque jour et les entreprises et organisations victimes d’actes de piratage ne cessent d’occuper les premières pages de nos journaux. Mais, plutôt que de commenter ces publications, de montrer du doigt ces victimes, il serait important de déterminer si ce sont de « bons » ou de « mauvais élèves » en termes d’approche de Cyber-Protection.

Un axe de comparaison pourrait être celui de l’aviation. L’industrie aérienne a, de tous temps, été scrutée pour les accidents qu’on y dénombre. Elle a mis en œuvre de vraies stratégies de réduction des risques (éradication de points de faiblesses, sensibilisation des collaborateurs…) pour en faire une industrie fiable – plus que l’automobile ! – mais continue de faire la « une » quand un évènement malheureux est à déplorer.

La sécurité de l’information comme sujet omniprésent

Si la sécurité de l’information à (trop) longtemps était considérée comme un coût, elle est aujourd’hui, devant l’ampleur du piratage informatique, un sujet omniprésent qui constitue un véritable défi pour les entreprises. Les menaces augmentent de façon exponentielle et les attaques sont de plus en plus sophistiquées et donc dangereuses : perte de réputation, perte d’information, perte d’intelligence (brevet, recherche), chute du cours en bourse, voire dépôt de bilan.
Ce seul chiffre devrait à lui seul interpeller toutes les organisations : 90% des sociétés font l’objet d’attaques régulières. Pire : dans 80% des cas, ce sont des partenaires ou des clients qui découvrent et révèlent ces failles.

Pour Deloitte et EBRC, la seule façon de maîtriser ces risques est de travailler sur tous les maillons avec une politique globale de sécurité adaptée aux risques encourus, une culture d’entreprise qui va de la sensibilisation des collaborateurs à la mise en œuvre et surtout à la gestion permanente de solutions de sécurité opérationnelles sophistiquées.

L’équipe Information Technology Risk de Deloitte accompagne quotidiennement les organisations dans l’évaluation et l’amélioration de leurs pratiques de protection et de réaction vis-à-vis des Cyber menaces. La contribution au Data Breach Investigation Report témoigne de la maturité des pratiques de Deloitte en matière de Cyber security.

« Identification, protection, détection, réaction et reprise des activités, EBRC « Trusted Security Europe » est une solution qui pense la sécurité informatique de bout en bout, en proposant un accompagnement pas à pas, introduit Yves Reding, CEO EBRC. Traiter les problématiques de sécurité, c’est la mise en place une politique d’entreprise gage de bonne gouvernance. »

Une matinée pour appréhender les étapes en sécurité

La conférence proposée par EBRC et l’équipe Information Technology Risk de Deloitte sera tout d’abord introduite par Stéphane Hurtaud (Partner – Information Technology Risk, Deloitte) qui profitera de cette introduction pour rappeler le contexte et les grands enjeux liés à la Cyber Securité. La conférence s’articulera autour de trois présentations :

Le paysage actuel de la Cyber-Sécurité (Sébastien Besson– Cyber Security Specialist, Deloitte)

Cette présentation commentera tout d’abord le dernier rapport « Data Breach Investigation Report 2014 » paru en avril, auquel Deloitte a contribué. Ce rapport a été construit avec des investigations concrètes, sur base de 63 437 incidents de sécurité et de 1 367 failles de sécurité analysés, combinant l’expertise de 50 organisations publiques et privées sur un total de 95 pays.

La deuxième partie de la présentation sera l’occasion de passer en revue les grandes étapes requises pour mettre en place une organisation Cyber Résiliente sur le long terme, en anticipant les menaces émergentes des Cyber-Criminels. Dans ce contexte, il sera notamment rappelé l’importance pour les organisations de connaitre les menaces auxquelles elles sont exposées, et en fonction de leur appétit au risque, de déterminer le modèle de défense le plus adapté. A cet égard, un panorama des principaux standards et frameworks de cyber sécurité, sur lesquels les organisations peuvent s’appuyer, sera également proposé. Une approche réfléchie, posée et intemporelle (de « sage ») qui correspond au positionnement de Deloitte : « Think early ».

Exemple pratique d’utilisation du nouveau framework du NIST – National Institute of Standards and Technology (Régis Jeandin, EBRC Head of Security Services)

Pour l’historique, la version 1.0 de ce framework est parue en février dernier sur l’impulsion du Président Obama pour prévenir des Cyber-Attaques les informations des organisations et de la nation. Ce framework, public-privé, peut être utilisé pour créer, orienter, évaluer ou améliorer les programmes globaux de Cyber-Sécurité. Bien qu’initié par les Etats-Unis, et dans un contexte de méfiance généralisée, ce framework s’applique à nos activités de gestion des données sensibles.

Le framework engage les participants sur la route de la sécurisation. Son objectif est d’encourager l’efficience, l’innovation et la prospérité économique en permettant de s’appuyer sur un socle IT fiable et sécurisé. L’intégration du framework avec les normes existantes est également intéressante car il est essentiel de créer une approche nouvelle sans faire table rase des investissements engagés dans le passé. Cela permet néanmoins, à travers des activités principales (core), de profilage et de maturité (tiers), de clarifier le chemin accompli de ce qui reste à accomplir.
Ce « document vivant » est le résultat d’un travail collaboratif d’une année qui a réuni des milliers de personnes et d’organisations de l’industrie, du milieu universitaire et du gouvernement.

Régis Jeandin, Head of Security chez EBRC, présentera ce référentiel NIST utilisé comme modèle de sécurité par EBRC avec l’offre « Trusted Security Europe » : une approche de la sécurité IT « vivante », évolutive et globale qui s’adapte aux besoins des sociétés et à leurs budgets et des solutions qui s’adaptent aux risques. « Si vous bâtissez un mur, même de 3 mètres pour vous protéger, et que les attaquants utilisent un hélicoptère… le résultat est nul, illustre Régis Jeandin. Les 2/3 des attaques sont opportunistes et doivent être éradiquées par des moyens simples. Pour le tiers restant, elles sont ciblées et de plus en plus complexes. Si elles ne peuvent pas être évitées à 100%, il faut au moins s’en protéger à la hauteur du risque estimé, les détecter le plus rapidement possible et les contenir au maximum. »
Il s’agit d’une approche active, factuelle, en lien avec le premier exposé et qui est intégrée aux offres d’EBRC : « Act effectively ».

Exemple de Forensics (Matthijs van der Wel de DataExpert)

Les produits de Forensics viennent en fin de processus de sécurité IT et ne doivent pas être négligés car il est très difficile de supprimer totalement les logiciels malveillants (par exemple les vers informatiques). Il est primordial de mettre en place des solutions de résolution adaptées pour ne plus être exposé à des attaques sans savoir gérer les « scènes de crime » éventuelles. La présentation initiera les participants aux solutions existantes et clôturera la conférence par une approche sur les réactions technologiques à anticiper : « React promptly ».

Ces présentations ne seront pas orientées « produits » car ces derniers ne sont qu’un maillon de l’approche prônée. « Nous ne sommes pas revendeurs mais désirons aider les acteurs économiques à se concentrer sur leur métier et les conseiller voire opérer leur problématiques de sécurité».
L’offre Trusted Security Europe d’EBRC est dans ce sens disponible à travers son SOC (Security Operation Center – certifié ISO 27001, ISO 20000 et ISO 9001) aux clients extérieurs (non hébergés par EBRC).

Informations pratiques pour le jeudi 5 juin :

8h30– 9h00 : Enregistrement et petit-déjeuner de bienvenue
9h00-11h00 : Conférences

Editus Luxembourg S.A.
208, rue de Noertzange
L-3670 Kayl

Pour plus d’infos, contacter luevents@deloitte.lu afin que votre demande puisse être évaluée.