La vie de CISO, aujourd’hui, n’a rien d’un long fleuve tranquille. L’extension des périmètres informatiques, avec une ouverture croissante au cloud et l’intégration d’applications extérieures, la multiplication des vulnérabilités, les nouvelles contraintes réglementaires (avec NIS2 ou encore DORA) rend considérablement plus complexe le quotidien des professionnels de la cybersécurité.

Arrow et IBM ont récemment convié les responsables de la sécurité informatique luxembourgeois à évoquer ces enjeux à l’occasion d’un executive lunch. En présence de Franck Bedell, CISO of The Year, et des experts d’IBM, une quinzaine de convives a eu l’occasion d’échanger sur leurs problématiques en matière de gestion de la sécurité, d’appréhension des vulnérabilités et de mise en conformité réglementaire.

« Aujourd’hui, l’évolution de la réglementation a tendance à nous aider à répondre aux enjeux de cybersécurité identifiés au sein d’une organisation. Au niveau du comité de direction, les enjeux de conformité constituent un driver clé, à côté du levier financier, qui nous soutient dans la mise en place des mesures requises, a introduit Franck Bedell, par ailleurs CISO de Baloise au Luxembourg. D’autre part, l’extension du périmètre, la multiplication des vulnérabilités internes et externes et l’intensification des attaques représentent des défis colossaux. Les sources de vulnérabilités que nous devons appréhender, notamment, sont de plus en plus nombreuses et nos équipes ne sont pas extensibles. »

Gérer la surface d’attaque

Le défi est de taille. Aujourd’hui, tout paraît sujet à vulnérabilité. Comme le rappelait un des convives autour de la table, il y a quelques mois de cela, des cyberattaques ont piraté un casino américain en exploitant une faille au niveau du thermomètre connecté d’un des aquariums de l’établissement. L’un des enjeux, dès lors, est de parvenir à bien identifier son périmètre, de se doter de la capacité de détecter les éventuels angles morts. Les CISO, en la matière, pointent notamment les problématiques liées au shadow IT, les acteurs du métier recourant de plus en plus facilement à des solutions extérieures. Dans son portefeuille de solutions et de services de sécurité, IBM a notamment intégré la solution Randori Recon, un logiciel SaaS de gestion des surfaces d’attaque. Cet outil surveille les surfaces d’attaque externes pour détecter les changements inattendus, les angles morts, les mauvaises configurations, les défaillances de processus et fournir à l’entreprise une vue similaire à celle que se construisent les hackers.

Consolider l’information et la mettre en perspective

Pour Jean-Michel Lamby, Associate Partner Security IBM Consulting, les challenges évoqués par Franck Bedell sont aujourd’hui vécus au sein de la plupart des organisations. « Un CISO doit, en outre, composer avec une diversification des sources d’information relatives à ces vulnérabilités, différentes technologies contribuant à leur détection. Il leur faut donc pouvoir consolider les différents flux d’information pour avoir une vue consolidée et globale sur les enjeux, assure l’expert. Au-delà de la centralisation de toutes ces données de sécurité, il est essentiel de parvenir à les mettre en perspective avec d’autres informations. D’une part, il y a le niveau de la menace à un moment donné. D’autre part, il faut pouvoir identifier les éléments de l’environnement, les systèmes, applications ou endpoints, exposant  cette vulnérabilité ainsi que déterminer leur criticité au regard de l’activité menée. A partir de là, on dispose des informations permettant d’identifier et de prioriser les contre-mesures requises».

Prioriser la gestion des vulnérabilités

Au-delà de l’identification des vulnérabilités, parvenir à les catégoriser en fonction de leur criticité est en effet un autre enjeu majeur. « Il y a encore quelques mois, nous devions gérer, à l’échelle de notre équipe, quelque 25.000 vulnérabilités, commentait Franck Bedell, CISO de Baloise à Luxembourg, responsable d’une équipe de 3 personnes. À ce stade, on est débordé. Il faut donc faire preuve de pragmatisme. Répondre à ces évolutions implique de parvenir à identifier les vulnérabilités qui représentent un réel risque pour l’activité. On peut, de cette manière, concentrer nos efforts sur la gestion de vulnérabilités critiques. Dans cette optique, il est nécessaire de se rapprocher du métier, de comprendre quelles sont les données critiques, les vulnérabilités auxquelles l’activité est directement exposée. »

Il faut donc partir du principe qu’une organisation peut fonctionner avec des vulnérabilités non gérées à l’échelle de système, pour peu qu’elle s’assure que le risque soit maîtrisé, que l’activité soit préservée et que des mesures garantissant la résilience soient prises.

Transformer les obligations réglementaires en opportunités

C’est d’ailleurs dans cette direction, comme l’a évoqué Anne Leslie, Cloud Risk & Controls Leader au sein d’IBM pour la région EMEA , que pousse la réglementation, qu’il s’agisse de DORA, pour les acteurs du secteur financier, ou encore de NIS2. « DORA a plusieurs objectifs, notamment celui de traiter de manière harmonisée à l’échelle de l’Union Européenne la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur des services financiers », explique-t-elle. Vis-à-vis de ces évolutions réglementaires, les entreprises sont invitées à renforcer la maîtrise de leurs capacités autour de quatre domaines clés : les données, les opérations, la gestion des risques et tout ce qui touche à l’automatisation et à l’intelligence artificielle. « Une bonne combinaison des technologies doit soutenir une meilleure orchestration des données, des opérations, des risques et capacités d’automatisation. De cette manière, les institutions financières peuvent appréhender DORA en cherchant à en tirer de la valeur, détaille Anne Leslie. Il s’agit notamment d’intégrer la sécurité et de renforcer la stabilité de l’ensemble des systèmes ICT, de veiller à atténuer les risques de manière proactive, de permettre une surveillance continue et une réponse rapide aux menaces. Au-delà, il faut veiller à garantir la continuité des opérations, en favorisant l’interopérabilité technique ou encore en priorisant l’allocation des ressources en fonction de la criticité des services de l’entreprise. »

Ces évolutions, en l’occurrence, doivent servir à positionner le CISO comme un partenaire du développement du business, un interlocuteur de premier ordre au cœur des organisations.

Pour plus d’information sur les solutions IBM Security, n’hésitez pas à contacter Francis Mukwayanzo, Business Development Manager IBM Security & ESA chez Arrow.