Transcription

• Speaker #0

  Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle cybersécurité, gouvernance et normes ISO sans coma. Je suis Fabrice De Paepe et j'accompagne les organisations dans leur développement GRC. Aujourd'hui, je vais te parler de géopolitique. Oh, mais avec quoi il vient, lui ? Et pourquoi ton système de management de la sécurité de l'information, ton SMSI, si t'es un fan ISO, devrait autant s'y intéresser que toi ? Imagine, tu plonges avec des requins. Ça y est, tu vois l'image ? Au moment d'écrire ces lignes, d'ailleurs, j'ai déjà une idée pour un autre podcast. Mais revenons à nos requins. Quand tu es sous l'eau, tu ne fixes pas un seul requin. Tu dois avoir une vision panoramique à 360 degrés parce que d'autres peuvent venir rôder autour et venir te mordre juste pour tester ta réaction. Le business autour de nous, c'est pareil. C'est plein de requins. Et entre tonton Vladimir et tonton Donald, l'environnement mondial impacte directement ta cybersécurité. Alors comment ajuster ton radar face à tout ça ? C'est ce qu'on va voir aujourd'hui. Let's go ! Avant d'aller plus loin, écoute bien, cet épisode va aussi te donner 9 points concrets que tu devrais vérifier ou adapter dans ton SMSI. Et ça, c'est plutôt suite aux évolutions qu'on va décrypter ensemble. Ne les rate pas, ils arrivent dans quelques minutes. Depuis le début de la guerre en Ukraine, les cyberattaques russes en Belgique ont explosé. Pourquoi ? Simple. Bruxelles, c'est le siège de l'OTAN et l'Union Européenne. Tonton Vladimir a donc tout intérêt à venir nous embêter. Et ce n'est pas nouveau, mais ça s'est intensifié. Plus récemment, les USA ont vu revenir Tonton Donald. Tu vois ? Tu vois tout de suite de qui je parle, hein ? Moi, il me fait penser à Picsou. aussi niveau style et aussi pour penser à Mickey Donald et tous les autres bref depuis qu'il est réélu il fout un peu le souk partout un peu comme un chaos monkey en développement d'ailleurs est-ce que tu sais c'est quoi un chaos monkey? c'est un petit singe relou qu'on lâche volontairement dans un système pour voir si tout tient debout à la base C'est Netflix qui a inventé ça. L'idée est simple. Dans la vraie vie, tout peut planter n'importe quand. Serveurs, réseaux, prestataires foireux. Donc plutôt que d'attendre la catastrophe, on balance nous-mêmes le bazar de façon « contrôlée » . Et donc je vais lancer mon Chaos Monkey. Il va couper des serveurs au hasard, faire crasher des applis, déconnecter des bases de données. Et toi ? Ton infra, elle doit tenir le choc. Si ton système est solide, tu continues de streamer tranquille. Si ton système est fragile, tout s'écroule. Pourquoi utiliser un Chaos Monkey ? Pour tester la résilience de ce qu'on construit, pour trouver des failles, avant qu'un vrai problème n'arrive en prod, pour forcer les équipes à penser au pire dès la conception. J'appelle ça le Shift Left, Privacy by Design et Security by Design. Et d'ailleurs, ça me donne aussi une autre idée de podcast. Bon. Et notre tonton Donald, dans tout ça ? Ben, il fait pareil que mon petit chaos monkey. Un jour, il impose des taxes. Le lendemain, il revendique des territoires. Le surlendemain, il bidouille l'économie mondiale. Sans qu'on sache vraiment où il veut en venir. Bref, il balance le chaos. Et ton SMSI, ton business, ta stabilité économique doivent encaisser. Une des trouvailles de Tonton Donald est d'annoncer qu'il arrêterait de contre-attaquer la Russie sur ses cyberattaques, ce qui donne plus de temps et de bande passante à la Russie pour attaquer d'autres cibles. Tu le vois, si tu es CISO, consultant cyber ou si tu veux le devenir, tu dois aussi surveiller le monde, pas seulement ton système d'information. Avoir une vision périphérique de tes menaces. Pour ça, il existe une méthode qu'on appelle le PESTLE. Politique, économique, sociétal, technologique, légal et environnemental. Yes, un acronyme de plus à retenir. Mais c'est surtout un outil pour analyser ton environnement externe. Maintenant, parlons d'un truc que tu connais peut-être, le programme CVE. CVE, ça vient de Common Vulnerability Exposure. Et en fait, c'est une boussole mondiale pour repérer et nommer les failles de sécurité. Chaque vulnérabilité reçoit un identifiant unique, un niveau de sévérité, ce qui permet aux chercheurs, aux CERT, pour Computer Emergency Response Team, et aux autres entreprises de parler le même langage. Et justement, c'est là que la géopolitique entre en jeu. Imagine si demain, la base CVE mondiale disparaît. Pas besoin d'imaginer très loin. Eh bien, il y a quelques semaines, le financement du CVE a failli s'arrêter. A la dernière minute. Le gouvernement américain a renouvelé le budget de la CISA. Et je ne te parle pas de la certification auditeur de l'ISACA ici. Non, non, car la CISA, c'est en fait l'agence de cybersécurité américaine. Ouf, mais tu vois bien, on a joué avec notre petit cœur. Des boîtes comme Tenable, Rapid7, Qualys, DataDog ont vu leurs actions bouger en bourse à cause de ça. Les investisseurs se sont dit... Et si la CVE tombait, on fait quoi ? Moralité ? Même dans ton SMSI, tu ne dois jamais dépendre d'une seule source critique. Sinon, un chaos monkey peut faire tout s'effondrer. Alors, qu'est-ce qu'on a en Europe pour contrer ça ? On a la Directive NIS 2. La Directive NIS 2, pour Network and Information Security, élargit le champ d'application de la Directive NIS 1. Elle renforce ses obligations en cybersécurité et impose des sanctions. en cas de non-conformité.

• Speaker #1

  Bon,

• Speaker #0

  je t'avoue que ça mérite bien un podcast ou deux. On va pas là-dessus. Mais en fait, grâce à la NIS2, l'ENISA, qui est l'Agence Européenne de Cybersécurité, lance ses propres travaux. Cert Luxembourg propose ses bases de vulnérabilité locales. Cert.be, en Belgique, centralise la veille et publie des rapports. Maintenant, parlons concret. Quel document tu dois revoir dans ton SMSI après tout ça ? J'ai identifié neuf éléments clés de manière générique. Le reste dépendra de ton scope, de ton analyse de risque et de ton SMSI et de ton secteur. Mais j'ai au moins listé neuf éléments clés. Et je te montre comment je fonctionne pour mes clients. Je vais d'abord modifier le processus Threat Intelligence ou le revoir. Je vais vérifier qu'on a bien diversifié les sources en termes de CVE et pas uniquement se baser sur tonton Donald. Je vais regarder au niveau des parties intéressées. C'est la clause 4.2 de l'ISO 27001. Je vais peut-être ajouter les différents CERTS, et pas me baser sur un seul. Je vais vérifier auprès des régulateurs, européens, pan-européens, locaux, nationaux, whatever, et différents adversaires. Et ça, ça dépend de où est-ce que je me trouve au niveau politique. Je vais identifier mon champ d'application, mon domaine d'application ou mon SCOPE de mon SMSI, c'est-à-dire c'est la clause 4.3. Donc je vérifie les dépendances critiques. Je vais aller modifier mon appétit du risque ou le revoir. Ça, c'est la clause 6.1.2. Est-ce que je vais redéfinir ma tolérance au risque externe ? Ça, je vais en parler dans un comité de direction. La gestion du changement, qui est la clause 6.3, que moi, j'appelle plutôt backlog, c'est-à-dire que c'est mon backlog dans mon SMSI. Et là-dedans, je vais vérifier si un changement externe par rapport à la géopolitique peut induire ou doit induire des changements dans mon SMSI. Je vais toucher également, c'est le point numéro 6, à mon SRM, mon Supplier Relationship Management. Je vais en fait analyser plus finement mes fournisseurs critiques. Sont-ils aussi dépendants de la CVE ou d'autres ? On va peut-être parfois trouver des cadavres avec ça. Je vais probablement mettre à jour mon BCP, Business Continuity Plan, ou en français, on appelle souvent ça le PRA, le plan de reprise d'activité. Donc, je vais prendre en compte la perte. d'une source crédible. Je vais revoir l'évaluation des risques vis-à-vis de mes fournisseurs, en profondeur et fournisseur critique par fournisseur critique, et je vais inclure tout ça dans ma gestion des actifs. Je vais classer les bases de vulnérabilité comme des actifs critiques. Ma base CVE est un actif critique. Si ma base CVE tombe, c'est comme si je plongeais en étant aveugle avec des requins et en étant seul. Je vais certainement me faire mordre. C'est une question de temps. Conclusion, le monde change vite. Ta sécurité doit être fluide, réactive et résiliente. Ton SMSI n'est pas un joli cadre ISO à montrer à l'auditeur ou à tes fournisseurs ou à tes clients. C'est ton filet de survie. Donc Chaos Monkey nous fait prendre conscience de ça. Il nous fait prendre conscience qu'on est vulnérable. C'est nous qui sommes en charge, pas lui. Et rien que pour cette prise de conscience, j'ai envie de lui dire merci. Alors prépare-toi, si tu as aimé cet épisode, Pense à laisser 5 étoiles sur Spotify ou un commentaire sur Apple Podcasts ou l'inverse. Ça m'aide beaucoup. Ça fait découvrir Compliance Without Comma à d'autres. Et merci d'avance pour ça.