Présentation d’Inssata RICOURT, Dirigeante de INSSATAD CONSULTING
Inssata RICOURT : Je dirige la société Inssatad Consulting. Je suis consultante experte en cybersécurité et Data Protection Officer (DPO) Externe. Je suis également auditrice de certification, et je dispense des formations en sécurité des systèmes d’information.
WINLASSIE : QUELLES SONT VOS MISSIONS AU QUOTIDIEN ?
Inssata RICOURT : J’accompagne les Chief Information Security Officers (CISO) ou des Responsables Sécurité des Systèmes d’Information (RSSI) dans le cadre du déploiement de solutions de sécurité et j’en assure le suivi. J’accompagne mes clients dans les tâches de la sécurisation, d’un point de vue opérationnel, du système d’information. Je dispense des formations et propose des sensibilisations à la sécurité des systèmes d’information. Il y a des formations qui sont effectuées en centre de formation ou en entreprise, et de la formation à la sensibilisation au quotidien, qui selon moi est la meilleure méthode pour protéger son système d’information.
QU’EST-CE QUE LA CYBERSÉCURITÉ ?
La notion de cybersécurité se compose de plusieurs points :
C’est la protection de son Système d’Information (SI) contre les accès non-autorisés.
C’est également la mise en place de solutions de sécurité pour empêcher que les données ne soient modifiées : on appelle ça la notion d’intégrité.
Elle est aussi basée sur la disponibilité de l’information d’un SI, la notion de traçabilité ou de preuve afin de s’assurer que les personnes qui accèdent au SI de l’entreprise sont les personnes ayant les droits d’y accéder.
Il y a une dernière notion : la non répudiation.
Plus globalement, la cybersécurité permet de s’assurer que les actions menées sur le SI ont été effectuées par les bonnes personnes, et qu’en cas de problème on puisse imputer l’action aux personnes concernées.
EN ENTREPRISE, QUI EST RESPONSABLE DE LA SÉCURISATION DES DONNÉES ?
La sécurisation des données est, de mon point de vue, une affaire de tous. On a tendance à croire que la sécurité c’est l’affaire de la direction des opérations. Selon moi ça va bien au-delà. C’est tout le monde qui doit être impliqué. D’un point de vue général, une personne ne faisant pas partie de la DSI peut être un SPOF (Single Point Of Failure), le point d’entrée au SI. Notamment sur la partie ingénierie et sociale où il est facile de passer par une personne pour accéder à l’information. La sécurité commence par les personnes qui sont en dehors de la DSI. Quand on descend dans la course inférieure, cela dépend de l’organisation de l’entreprise. Il y a des Grands Comptes qui disposent de plusieurs directions : la direction des fonctions de support, qui s’occupe essentiellement de la gouvernance de la sécurité des systèmes d’information; et la direction des fonctions opérationnelles, qui s’occupe de l’administration, du métier en condition de sécurité, … L’organisation de la sécurité d’une PME diffère d’un Grand Compte. Généralement, la sécurité en PME est plutôt centrée à la Direction Information ou chez les exploitants.
EN ENTREPRISE, QUI EST RESPONSABLE DE LA SÉCURISATION DES DONNÉES ?
La sécurisation des données est, de mon point de vue, une affaire de tous. On a tendance à croire que la sécurité c’est l’affaire de la direction des opérations. Selon moi ça va bien au-delà. C’est tout le monde qui doit être impliqué. D’un point de vue général, une personne ne faisant pas partie de la DSI peut être un SPOF (Single Point Of Failure), le point d’entrée au SI. Notamment sur la partie ingénierie et sociale où il est facile de passer par une personne pour accéder à l’information. La sécurité commence par les personnes qui sont en dehors de la DSI. Quand on descend dans la course inférieure, cela dépend de l’organisation de l’entreprise. Il y a des Grands Comptes qui disposent de plusieurs directions : la direction des fonctions de support, qui s’occupe essentiellement de la gouvernance de la sécurité des systèmes d’information; et la direction des fonctions opérationnelles, qui s’occupe de l’administration, du métier en condition de sécurité, … L’organisation de la sécurité d’une PME diffère d’un Grand Compte. Généralement, la sécurité en PME est plutôt centrée à la Direction Information ou chez les exploitants.
QUELS SONT LES MOYENS À LA DISPOSITION D’UN ÉDITEUR DE LOGICIEL ?
Un éditeur a la possibilité de sécuriser son logiciel. Pour cela, la sécurisation au niveau du développement doit se faire en plusieurs phases :
En amont du développement, il faut identifier le langage à utiliser et les vulnérabilités associées.
Ensuite, il faut mettre en place un Security Manager, qui sera en charge de vérifier l’accès au code source ainsi que les actions qui vont être faites sur le code source.
Enfin, il faut sécuriser le contenant, c’est-à-dire le composant qui héberge le code source . Cette dernière action se fait par la mise en place d’outils qui permettent de tracer les actions, d’outils qui permettent de filtrer ce qui en sort, ou encore d’alertes en cas d’actions sur le code source.
COMMENT S’INSCRIT LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD) DANS LA CYBERSÉCURITÉ ?
Le RGPD c’est un sous-ensemble de la cybersécurité, car il reprend les grandes lignes de l’ISO 27002, qui fait partie de l’annexe de la norme ISO 27001. C’est le cas notamment sur le point des mesures de sécurité pour les données (chiffrement et anonymisation des données), sur le point des mesures pour sécuriser la donnée dans sa globalité (mise en place de procédures) et le point des mesures de sécurité pour les procédures, qui permettront d’avoir des indicateurs sur la protection de ses données. Ces indicateurs peuvent être, dans le cadre du RGPD, le nombre d’accès à la donnée, de demandes de droits d’accès sur ces données, de demandes de suppression sur ces données, le droit à l’oubli.
QUELS ASPECTS DE LA CERTIFICATION ISO 27001 S’INSCRIVENT DANS LA CYBERSÉCURITÉ ?
La certification ISO 27001 permet de pouvoir s’appuyer sur des mesures de sécurité sur des aspects techniques. On voit qu’avec le RGPD, nous avons la notion d’anonymisation. Ici, nous sommes plutôt dans des notions techniques. Selon moi, elles sont complémentaires et vont au-delà du management de la sécurité, du management dans sa globalité.
AVEZ-VOUS UN EXEMPLE CONCRET, UNE ANECDOTE DE FUITE, DE PIRATAGE, DE VOL DE DONNÉES EN ENTREPRISES ?
J’estime que 80% des failles viennent de l’intérieur et 20% viennent de l’extérieur. Une personne qui ne connait pas le système d’information d’une entreprise aura beaucoup plus de mal à y entrer. Le plus gros risque est en interne. Mon exemple se porte sur un administrateur ayant accès à tout. Cette personne s’est permise de monter un VPN et de faire sortir des données sans que personne ne le voit. Les administrateurs ont la possibilité, avec leurs droits élevés, de supprimer, de créer, … Cette personne avait créé un VPN et s’était permise de faire sortir des données. Or, il ne s’était pas rendu compte que nous avions déployé un outil qui permettait de tracer tous les flux entrants et sortants de données. C’est pour moi un cas d’école. J’aimerais que l’on arrête de croire que la cybersécurité ne se fait que de l’extérieur. Le plus gros risque, selon moi, c’est l’interne.