- Shakerz
- Posts
- Insight 〰️ N'achetez pas de stratégie cyber sur étagère
Insight 〰️ N'achetez pas de stratégie cyber sur étagère
Prenons l’hypothèse suivante : vous êtes expert.e cyber, risk manager ou dirigeant.e. Peut-être même CISO, DSSI ou RSSI.
Voici votre défi
Imaginez un instant que vous êtes coach d’une équipe de foot. A l’approche d’un grand match, vous devez vous assurer que l’équipe est prête. Le plus possible, mais vous « faites avec » votre budget et vos joueurs. Tout le monde n’a pas Mbappé dans son équipe et ne peut pas se payer les meilleurs préparateurs sportifs, un kiné magicien, un hypnothérapeute etc.
Le match, c’est déjà demain. Il ne vous reste que peu de temps.
Mais comme vous êtes consciencieux, pro et engagé.e, vous voulez quand même vous assurer que les derniers ajustements soient faits, car même un petit détail peut faire la différence entre perdre et gagner.
Par acquis de conscience, vous décidez de vérifier que votre stratégie est la meilleure. Vous avez un accès au Web. Qu’allez-vous faire ?
Est ce que vous allez regarder les matchs remarquables des équipes adverses ? Ou bien les stratégies d’autres sports collectifs, par exemple des équipes de volley-ball ? Ou tiens, celles des équipes pros en paint-ball ? Après tout, ce sont aussi des équipes…
Quand une entreprise copie ses voisins
Ce n’est pas si absurde.
C’est bien ce que font de nombreuses entreprises en matière de stratégies de cybersécurité. Elles recopient des équipes qui sont dans d’autres sports, sur des terrains très différents. Sans s’en rendre compte. Comme si, alors que vous jouez sur un terrain de foot, vous copiez les stratégies et techniques du tennis. C’est très bien, mais rien à voir avec vous.
En cyber, un « me too » ou plagiat de stratégie peut s’avérer fatal.
Ainsi :
Se comparer aux autres (benchmarks budgets etc) ou prendre les mêmes fournisseurs que son voisin ne peut pas se substituer à une boussole et à une méthode (expérience, science et data).
Pas de copie de framework même Américain, célèbre, en 5 fonctions (NIST CSF).
Pas de suivi aveugle de recommandations, même étatiques, même s’il n’y en a « que » 42, comme le guide des mesures d’hygiène de l’ANSSI.
Sous peine de défaillance « by design » : car chaque équipe, chaque club est différent.
En cybersécurité, le bricolage ne paie pas (ou plus). Disposer d’une belle boîte à outils et d’un établi bien équipé ne fait pas tout.
Oui il y a des similitudes entre les entreprises, on peut reprendre des tactiques et techniques du défenseur (MITRE D3FND). Et justifier ces choix (pas seulement par le risque).
Mais en cyber chaque entreprise joue sur un terrain différent, le sien : sa propre part de cyberespace, spécifique en surface (d’attaque) comme en profondeur (de défense).
Chaque stratégie cyber est unique
Chaque stratégie cyber doit être unique. Dans ses dimensions business (ou métier), humaine et technique.
Voici pourquoi. Prenons deux groupes, dans le même secteur d’activité, implantés dans le même pays.
Ce sont Alfa et Beta. Deux sociétés de prestations de services aux entreprises, implantées en France : elles disposent toutes deux d’un portefeuille d’activités diverses, allant du nettoyage, restauration d’entreprise, services informatiques et enfin la fourniture de matériel. Si Alfa a 7000 collaborateurs, Beta en a 9000. Le chiffre d’affaires d’Alfa et de Beta sont à 10% près équivalents, mais Beta dégage plus de marge. A première vue, ces deux sociétés sont globalement équivalentes et leurs stratégies cyber devraient être très similaires.
Alfa a une filiale en “Ipaly”, pays qui n’est pas stratégique pour elle. En terme de R&D, Alfa travaille sur de nouveaux produits de nettoyage, à sec, qui peuvent révolutionner sa structure de coûts. Pour Alfa, l’informatique est un centre de coûts.
Beta a les mêmes activités que Alfa, mais dans une proportion différente. Ainsi, les activités de services informatiques ont actuellement une part plus faible que chez Alfa, mais la direction générale y voit un fort relais de croissance, sur lequel elle va investir. La R&D de beta est focalisée sur l’intelligence artificielle, elle emploie plusieurs chercheurs dans le domaine. Beta a une filiale en “Ipaly”, où elle souhaite poursuivre son développement
Autant dire qu’il ne devrait y avoir aucune stratégie cyber identique. Donc aussi aucune feuille de route identique.
En effet, une fois que les actifs stratégiques (ou joyaux de la couronne) auront été identifiés par chaque entreprise, chacune pourra en définir sa propre stratégie cyber.
Alfa pourra choisir de déployer un SOC dans tous ses pays hors “Ipaly”. Alfa va prioriser le déploiement d’un projet PAM (gestion des comptes à privilèges, ou comptes administrateurs) sur son centre de recherche.
De son côté, Beta va commencer par l’Ipaly pour déployer son SOC.
Bien d’autres critères entrent en jeu. Comme les projets d’achat / revente de filiales (M&A), stratégie d’innovation et R&D, les implantations, le degré d’autonomie des entreprises qui composent le groupe…
S’y ajoutent les critères de stratégie IT, comme l’obsolescence, le cloud, le workplace, la stratégie data et machine learning, etc.
Ainsi, en cyber, chaque entreprise joue sur son propre terrain. On est bien loin d’une application séquentielle et non priorisée des recommandations ou des “politiques cybersécurité” de l’entreprise.
Malgré tout, il reste que l’un des problèmes, c’est qu’au moment de l’affrontement ne s’appliquent pas les règles de l’entreprise (par exemple ses règles de conformité cyber, “politique” cyber ou framework interne) ou des règles négociées. S’appliquent les règles de l’adversaire (ou ses modes opératoires, cf. MITRE ATT&CK). Sans que l’entreprise ne sache, à l’avance, quel adversaire va se présenter ni à quel moment.
Chaque détail compte
De la stratégie aux opérations, comme dans les opérations militaires, chaque élément du dispositif cyber doit être parfaitement aligné. Impossible de rester en surface. Chaque “flag” compte. Même s’il ne s’agit que du changement de valeur d’un “booléen” : vrai, faux ou null. Cela peut faire la différence entre un data leak et non, une intrusion ou non.
Les composantes de la stratégie cyber doivent être alignées mais également flexibles et réactives. Face à l’annonce d’un 0-day, il faut aujourd’hui pouvoir prendre en compte et ajuster ses défenses en moins de 3 heures. C’est un gros challenge.
Et personne, sauf un inconscient, ne va téléphoner à son adversaire pour lui donner les principes et les détails de sa stratégie. Ou l’afficher sur son site web ou dans un rapport public. Surtout pas avant un grand match.
Pourtant, bon nombre d’entreprises indiquent publiquement le squelette de leur stratégie.
Souvent, il s’agit du “Cybersecurity framework” du NIST (NIST CSF).
En cyber, chaque match de votre équipe doit être joué comme une finale. Elle est demain. Ou cette nuit. Elle ne prévient pas. Une mauvaise préparation peut être fatale. Passer à côté de ce prochain match risque de vous faire perdre la confiance de votre direction. Pensez votre stratégie cyber en profondeur, avec toutes ses facettes.
Sylvan Ravinet, fondateur de Shaker
Le débat continue…
Reply