#43 : Everest (Comment évaluer sa maturité) | La cybersécurité expliquée à ma grand-mère

Description

On ne gravit pas l'Everest d'une seule traite, et on ne devient pas mature en cybersécurité du jour au lendemain. Dans cet épisode, l'ascension de la plus haute montagne du monde sert de fil conducteur pour comprendre comment évaluer la maturité cyber d'une organisation : les camps successifs, l'acclimatation qu'on ne peut pas brûler, la zone de la mort où l'on ne s'installe jamais.

On y explore les grands référentiels, l'échelle CMMI à cinq niveaux, le NIST Cybersecurity Framework et ses Tiers, le C2M2, le CMMC, l'ISO 27001, les outils de l'ANSSI et COBIT, avant de voir, très concrètement, comment mener une évaluation, quels pièges éviter, et comment transformer un diagnostic en feuille de route.

Une certitude pour finir : sur cette montagne-là, le sommet n'est jamais le but. L'objectif, c'est de savoir y rester.

NB: Si vous souhaitez voir le côté sombre le l'Everest aujourd'hui : https://www.youtube.com/watch?v=sV4xAaoaNy8

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le 29 mai 1953, en fin de matinée, deux hommes posent le pied sur un endroit où aucun être humain ne s'est jamais tenu, le sommet de l'Everest, 8814 mètres, le point le plus élevé de la planète. Le premier s'appelle Enmunidari, c'est un apiculteur néo-zélandais, le second s'appelle Tanzing Norgay, c'est un Sherpa népalais. Ils resteront quelques minutes là-haut, le temps de planter un drapeau et de prendre quelques photographies, puis ils entameront aussitôt leur descente. ce que l'histoire retient moins C'est tout ce qu'il y a eu avant. Avant Hillary et Tenzing. Des dizaines d'expéditions s'étaient cassées les dents sur la montagne. La plus célèbre est celle du Jacques Mallory en 1924. Mallory, à qui l'on demandait pourquoi il voulait tout prix gravir l'Everest, avait eu cette réponse mythique, parce qu'il est là. Mallory a disparu près du sommet, et aujourd'hui encore, on ignore s'il l'atteint avant de mourir. Personne n'a jamais pu le prouver. Retenez bien ce détail parce que nous y reviendrons. En haute montagne, comme en cybersécurité, atteindre un niveau ne suffit pas. Encore faut-il pouvoir le démontrer. Et puis, il y a quelque chose que tout alpinisme himalayen sait, et que le grand public ignore souvent. On ne grimpe pas à l'Everest d'une seule traite. On ne part pas du fond de la vallée pour foncer vers le sommet. Ce serait la mort assumée. L'ascension se fait par étapes, par camps successifs, de plus en plus haut, séparés par de longues semaines d'acclimatation. Le corps a besoin de temps pour s'adapter à l'altitude. Monter trop vite, brûler les étapes, c'est s'exposer à l'œdème pulmonaire, à l'épuisement et à la mort. La montagne ne sait que faire de votre impatience. Vous l'avez compris, je vais vous parler aujourd'hui de maturité en cybersécurité. Et plus précisément des méthodes qui permettent de mesurer cette maturité. Parce que, exactement comme on gravit l'Everest, on ne devient pas mature en cybersécurité du jour au lendemain. Il y a une montagne à gravir, il y a des camps à franchir, il y a une acclimatation à respecter, il existe des méthodes pour savoir à chaque instant et à quelle altitude on se trouve. Avant d'aller le plus loin, posons-nous une question toute simple. Qu'est-ce que la maturité en cybersécurité ? Quand on parle d'un fruit mature, on évoque un fruit qui a atteint son plein développement, son optimum du goût, de couleur, de texture. Quand on parle d'une personne mature, on dessine quelqu'un qui a acquis le recul, la sagesse, la stabilité nécessaire pour faire face aux situations de la vie.
Speaker #1
À vous Simon.
Speaker #2
Bonjour, je m'appelle Simon Catassin. Moi j'ai été élevé avec 8 frères, donc on est une fratrie quoi. J'ai été suivi par une personne qui m'a expliqué que si j'étais infidèle, c'est rapport que je cherchais l'image de ma mère.
Speaker #1
Ah !
Speaker #2
Hum.
Speaker #1
Ah bien, et vous en pensez quoi Simon ?
Speaker #2
Bah moi je pense que c'est des conneries. Parce que moi j'aime bien les cougars plus. Les cougars... tapés. Enfin, bien tapés.
Speaker #1
D'accord. Euh...
Speaker #2
mûrs. D'accord. Mais mûrs... mûrs... fins de carrière.
Speaker #1
D'accord.
Speaker #2
Oui, plus qu'à besoin... peut-être même d'assistance. Je parle aide à la personne.
Speaker #1
D'accord, Simon. Et vous trouvez que votre femme était trop jeune ?
Speaker #2
Non, elle va vieillir. Mais je me demande si je n'aurais pas dû peut-être partir avec sa mère.
Speaker #0
Quand on parle d'une démarche mature dans une entreprise, on évoque une démarche qui est non seulement mise en œuvre, mais comprise, maîtrisée, mesurée et améliorée en continu. La maturité, ce n'est donc pas une question de « j'ai installé tel outil » ou « j'ai recruté tel expert » . C'est une question de niveau global de maîtrise. Pensez-y comme à l'alpinisme. Vous pouvez acheter la meilleure doudoune en duvet, les crampons les plus performants, le piolet le plus cher du magasin, cela ne fait pas de vous un alpiniste. Une organisation peut avoir le meilleur firewall du monde, le meilleur antivirus du marché, le meilleur CM disponible et afficher une maturité cyber très faible. A l'inverse, une organisation au moyen plus modeste peut afficher un niveau de maturité plus élevé si ses processus sont solides, ses équipes formées, Sa gouvernance claire et son amélioration continue effective. Le matériel ne fait pas le grimpeur. Évaluer les maturités, c'est donc répondre à trois questions fondamentales. A quelle altitude sommes-nous aujourd'hui ? Jusqu'où voulons-nous monter ? Et quel est l'itinéraire pour y parvenir ? Ces trois questions, en apparence simples, sont en réalité d'une complexité redoutable. Et c'est précisément pour y répondre que des méthodes et des référentiels ont été développés au fil des décennies. Mais d'abord... Pourquoi se donner la peine de mesurer cette maturité ? La première raison ? La première raison, c'est tout simplement qu'on ne pilote bien que ce qu'on mesure. Un alpiniste qui ignore son altitude, sa position sur la montagne et le temps qui lui reste avant la nuit est un alpiniste en danger. Vous ne pouvez pas non plus demander à votre direction générale d'investir 1 million d'euros dans la cybersécurité sans pouvoir justifier précisément où vous en êtes et ce que cet investissement va apporter. La maturité fournit un langage commun. Partagez ! compréhensible par les financiers, les opérationnels, les juristes et les techniques. La deuxième raison, c'est qu'une évaluation de maturité permet de prioriser. C'est comme une boussole pour les feuilles de route pluriannuelles, et c'est un outil de dialogue avec les métiers. La troisième raison, c'est la conformité. De plus en plus de réglementations, comme NIS2 en Europe ou DORA dans le secteur financier, exigent que les organisations démontrent un niveau de maturité minimum. De plus, ne pas pouvoir le démontrer, c'est s'exposer à des sanctions, mais aussi à des pertes de crédibilité auprès de ses clients et ses partenaires. La quatrième raison, la plus stratégique encore, c'est que la maturité influence directement la valorisation d'une entreprise. Lors d'une fusion-acquisition, Lors d'une levée de fonds, lors d'un appel d'offres important, l'évaluation de la maturité cyber est devenue un critère discriminant. Une entreprise immature en cybersécurité, c'est une entreprise risquée, et le risque est un coût qui se traduit toujours, à un moment ou à un autre, dans le prix à payer. Reprenons notre montagne. L'ascension de l'Everest, par la voie classique, s'organise autour d'une succession de camps. Le camp de base, d'abord, installé vers 5400 mètres. Puis les camps d'altitude, de plus en plus haut. Jusqu'au dernier camp, perché à près de 8000 mètres, à la lisière de ce que les alpinistes appellent la zone de la mort. Et enfin, tout en haut, le sommet. Entre chaque camp, des allers-retours d'acclimatation, ce principe qu'on résume par la formule « grimper haut, dormir bas » . Dans le monde de la maturité organisationnelle, il existe une échelle qui ressemble étonnamment à cette progression par camp. Elle a été formalisée à la fin des années 1980 par le Software Engineering Institute de l'Université de Carnegie Mellon, à Pittsburgh. dans un modèle qui s'appelait à l'époque le Capability Maturity Model, ou CMM. Ce modèle a ensuite évolué pour devenir le CMMI, le Capability Maturity Model Integration, qui est aujourd'hui une référence mondiale. Et ces cinq niveaux se retrouvent sous des formes diverses dans presque tous les référentiels de maturité, y compris ceux dédiés à la cybersécurité. Le premier niveau s'appelle l'initial, c'est le départ depuis la vallée, sans carte et sans plan. À ce niveau, les pratiques de cybersécurité existent peut-être, mais elles sont essentiellement réactives, individuelles, dépendantes de la bonne volonté de quelques personnes. Quand un incident survient, on se débrouille. Quand une menace émerge, on improvise. Il n'y a pas de processus formalisé, pas de documentation, pas de mémoire organisationnelle. C'est l'âge des héros, des administrateurs système qui sauvent l'entreprise à 3h du matin et dont personne ne sait exactement ce qu'ils font ni comment ils le font. Le deuxième niveau s'appelle « Gérer » . C'est le camp de base. Une organisation existe enfin. On a planté les tentes, on a installé la logistique. Certaines pratiques sont devenues récurrentes. On a des procédures pour traiter les tickets, pour appliquer les correctifs, pour intégrer les nouveaux collaborateurs. Mais ces procédures restent souvent locales, propres à une équipe, à un camp, à un système. Ils ne sont pas formalisés au niveau de l'organisation. Si la personne qui les pratique part en vacances, ou quitte l'entreprise, une partie du savoir-faire s'évapore avec elle. Le troisième niveau s'appelle défini ou define. Ce sont les camps d'altitude reliés entre eux par des cordes fixes soigneusement posées et balisées. A ce niveau, les processus sont documentés, standardisés, partagés à l'échelle de l'organisation. Tout le monde suit le même itinéraire, tout le monde sait comment réagir à un incident parce que la procédure existe et qu'elle est appliquée de la même manière partout. La formation est organisée, la gouvernance est claire, les rôles et les responsabilités sont définis. C'est le seuil à partir duquel on peut affirmer Aucune organisation est sérieuse en matière de cybersécurité. Le quatrième niveau s'appelle « mesurer quantitativement » . C'est le dernier camp, à près de 8000 mètres, et à la limite de la zone de la mort. Là-haut, on ne fait plus rien au hasard. On surveille la pression partielle de l'oxygène, on guette la fenêtre météo, on fixe une heure de demi-tour qu'on ne dépassera sous aucun prétexte. On ne se contente pas d'appliquer des procédures, on les mesure. Combien de temps fait-il en moyenne pour détecter un incident ? Combien pour le contenir ? Combien de correctifs sont-ils appliqués dans les délais cibles ? Quel pourcentage du personnel a effectivement suivi la formation prévue ? La donnée devient le carburant de la décision. Et puis vient le cinquième niveau, le « optimize » ou « optimiser » . C'est le sommet et même au-delà. À ce niveau, l'organisation utilise les mesures du niveau précédent pour s'améliorer en permanence. Elle anticipe les évolutions, innove dans ses pratiques, partage ses retours d'expérience, ouvre de nouvelles voies. La cybersécurité n'est plus un coup. ou une contrainte, c'est un avantage compétitif. C'est rare, très rare. Et comme le sommet de l'Everest, et comme le sommet de l'Everest, ce n'est jamais un lieu où on s'installe. C'est un point que l'on atteint, et qu'il faut aussitôt savoir quitter intelligemment. Cette échelle à cinq niveaux, qu'on appelle CMMI ou autre, est le squelette commun de la plupart des référentiels que nous allons maintenant explorer. Mais chaque référentiel apporte ses spécificités, ses domaines d'application, sa philosophie. Commençons par celui qui est probablement le plus connu à l'international. Le NIST Cyber Security Framework ou NIST SF. Le NIST, c'est le National Institute of Standard and Technology. L'agence fédérale américaine en charge des normes techniques. Le CSF a été publié pour la première fois en 2014, à la demande du président américain qui souhaitait un cadre pour protéger les infrastructures critiques. Une nouvelle version, profondément remaniée, a été publiée plus récemment. Le CSF s'organise autour de fonctions principales dans sa version originale. On en compte cinq, à savoir identifier, protéger, détecter, répondre et récupérer. La nouvelle version a ajouté une sixième fonction, Gouverner, qui chapeaute toutes les autres. Et c'est une excellente nouvelle, parce que sans gouvernance, les meilleures pratiques techniques restent fragiles et finissent toujours par s'éroder. Mais ce qui nous intéresse particulièrement aujourd'hui, ce sont les niveaux d'implémentation du CSF, qu'on appelle les tiers. Ces tiers sont au nombre de quatre. Le premier s'appelle Partial, le partiel. Il correspond à des pratiques ad hoc, réactives, peu coordonnées avec la stratégie globale. Le deuxième tiers s'appelle « Risk Informed » . A ce niveau, les pratiques tiennent compte des risques, mais sans être encore systématisées. Le troisième tiers s'appelle « Repeatable » . Répétable. Les processus sont formalisés, appliqués de manière cohérente, et la cybersécurité est intégrée à la culture de l'organisation. Le quatrième et le dernier tiers s'appellent « Adaptive » . Adaptif. L'organisation apprend de ses expériences, anticipe les menaces, partage avec son écosystème et améliore continuellement ses pratiques. Vous reconnaissez la philosophie ? C'est encore et toujours l'échelle de maturité, déclinée à la sauce NIST. La force du CSF, c'est sa souplesse. Il ne dit pas à une organisation quel tiers il doit atteindre. Il lui demande de définir son tiers-cible en fonction de son contexte, de ses risques, de ses obligations. Toutes les expéditions ne visent pas le sommet de l'Ebreste. Certains se fixent un camp d'altitude comme objectif, et c'est parfaitement légitime. Une petite PME et une banque systémique n'ont pas pour vocation à viser les mêmes niveaux. Et c'est très bien comme ça. Une autre force du CSF, c'est l'idée de profil. Un profil, c'est une photographie de l'état de chaque fonction et chaque catégorie de framework à un instant donné. On distingue le profil actuel, qui décrit la situation présente, le profil cible, qui décrit la situation visée. L'écart entre les deux, c'est précisément l'itinéraire à tracer. C'est la carte topographique de votre ascension, celle qui montre où vous êtes et où vous voulez aller. C'est concret, c'est actionnable. et c'est devenu une référence dans le monde entier. Reprenons un instant la généalogie. Le CMMI, donc, est le grand-père de la plupart des modèles modernes. Né dans les années 1980 pour évaluer la maturité des éditeurs de logiciels qui travaillent pour le département de la défense américaine, il a essaimé dans tous les domaines, et notamment la cybersécurité. Un des descendants directs les plus intéressants est le C2M2, prononcé C2M2 en anglais, pour Security Capability Maturity Model. Ce modèle a été développé par le département de l'énergie américain, à l'origine pour les acteurs du secteur de l'électricité. Mais il est aujourd'hui utilisable par toutes les organisations. Il couvre une dizaine de domaines, allant de la gestion des risques à la gestion des accès, en passant par la gestion des incidents, la formation ou encore la sécurité des supply chain. Pour chaque domaine, il définit des pratiques à différents niveaux de maturité et l'organisation peut s'auto-évaluer ou se faire évaluer. L'intérêt du C2M2 C'est qu'il est gratuit, librement téléchargeable, et qu'il vient avec un outil d'évaluation qui produit des graphiques visuels très parlants. On voit immédiatement où sont nos forces et nos faiblesses. La roue de la maturité, sorte de toile d'araignée à plusieurs branches, ressemble un peu au profil d'altitude d'un parcours de montagne. D'un coup d'œil, on repère les passages bien négociés et les pentes encore un peu raides. Et c'est facile à présenter à un comité de direction. Or, vous le savez, en cybersécurité, savoir parler à la direction et probablement la moitié du métier. Toujours du côté américain, mais dans un registre beaucoup plus contraignant, le CMMC, le Cyber Security Maturity Model Certification. Celui-là, ce n'est pas un référentiel d'auto-évaluation pour s'améliorer tranquillement. C'est une certification obligatoire pour les entreprises qui souhaitent travailler avec le département de la défense américaine. Le CMMC s'appuie sur les contrôles définis dont le NIST SP 800-171 Merci. et le NIST SP 800-172. Et il organise des exigences à plusieurs niveaux de certification. Au niveau le plus bas, on parle de pratiques de cyberhygiène de base. Au niveau plus élevé, on parle d'une protection avancée contre les menaces persistantes et ciblées, qu'on appelle les APT, pour Advanced Persistent Threats. La particularité du CMMC, c'est qu'elle introduit la notion d'évaluation par un tiers. Pour les niveaux les plus élevés, l'entreprise ne peut pas s'auto-déclarer conforme. Elle doit faire appel à un évaluateur externe accrédité. C'est exactement comme la qualification d'un guide en haute montagne. On ne s'auto-proclame pas guide capable de mener une cordée sur l'Everest.
Speaker #3
Eh bien messieurs, on vous remercie beaucoup.
Speaker #4
On n'a rien, on était à 500 mètres du village.
Speaker #3
Tout seulement, il faut connaître la montagne.
Speaker #5
Ah oui.
Speaker #4
Il faut connaître la montagne.
Speaker #5
N'empêche que sans ces messieurs, on ne serait pas arrivés. Emmenez-moi. Oui, oui. Bon, écoutez, messieurs, il ne reste plus qu'à vous remercier beaucoup de votre hospitalité, puis on va se retirer. Ah ben,
Speaker #4
vous n'allez pas repartir comme ça sans boire un petit coup. Ah non,
Speaker #5
Non, non, non, on n'a pas le temps.
Speaker #4
Mais volontiers, avec plaisir. Je vais chercher la bouteille. Allez ! Je t'en prie, c'est le cadre un peu dur. Ils sont charmants.
Speaker #6
Sans eux, vous seriez encore dans la montagne.
Speaker #3
C'est le moindre des politesses, non ?
Speaker #4
Vous êtes fou, vous savez pas ce qu'ils bouffent ?
Speaker #6
C'était très bon ! Et voilà ! Dites-moi, comment vous faites pour faire passer le... le crapaud à l'intérieur de la bouteille ?
Speaker #4
Alors ça, on le fait sécher, et puis alors il devient tout fin. Alors il rentre, et puis après, avec l'humidité, il grandit.
Speaker #6
Ah oui.
Speaker #0
Une instance indépendante pour évaluer, vérifier votre expérience réelle et vous délivrer une qualification. Elle est possible ou la refuser. Souvenez-vous de Georges Mallory, une affirmation sans preuve ne vaut rien. Le CMMC, c'est précisément l'exigence de la preuve et beaucoup de réglementations européennes regardent cet égale avec grand intérêt, notamment dans le cadre de la transposition d'ISD. Traversons maintenant l'Atlantique. Le grand standard international en matière de management de la sécurité de l'information, c'est la norme ISO 27001, accompagné de toute la famille de normes 27000. L'ISON 27001 définit les exigences pour mettre en place un système de management de la sécurité de l'information, qu'on appelle CMMI. A première vue, l'ISON 27000 n'est pas un modèle de maturité, c'est une norme de certification binaire. Soit votre organisation est certifiée, soit elle ne l'est pas. C'est un peu comme un permis d'ascension délivré par les autorités népalaises. Vous l'avez ou vous ne l'avez pas. Mais la réalité est un peu plus nuancée. La norme exige de mettre en place un cycle d'amélioration continu, le fameux PDCA. PDCA pour Plain, Do, Check, Act, que vous connaissez peut-être sous le nom de route de daming. Et ce cycle, par nature, structure une véritable démarche de progression. Pour aller plus loin, l'ISO a publié une norme complémentaire, l'ISO 27004, dédiée aux mesures et indicateurs de sécurité. Cette norme aide les organisations à définir des indicateurs pertinents, à les collecter, à les analyser et à les communiquer. Et c'est précisément à ce niveau qu'on bascule du simple « gérer » vers « mesurer quantitativement » de notre échelle de maturité. Beaucoup d'organisations utilisent l'ISO 27000 comme socle et ajoutent une grille de maturité maison, ou empruntent à d'autres référentiels pour évaluer plus finement où ils se situent au-delà du simple « certifier ou pas » . Avoir le permis d'ascension vous autorise à entrer sur la montagne. Il ne dit rien de l'altitude que vous avez réellement atteinte, ni de la qualité de votre acclimatisation. Restons en Europe. Et plus précisément en France, l'ANSI, l'Agence Nationale de la Sécurité des Systèmes d'Information, propose plusieurs outils particulièrement utiles pour évaluer et améliorer la maturité. Le plus connu est sans doute le Guide d'hygiène informatique, qui définit une quarantaine de mesures que toute organisation devrait mettre en œuvre. C'est volontairement basique, accessible, pragmatique. C'est la liste de vérification de base, celle qu'on coche avant même de quitter le camp de base. Les crampons sont-ils affûtés ? Le baudrier est-il bouclé ? L'accord est-elle en bon état ? Le simple fait de pouvoir cocher honnêtement la mise en œuvre de ces mesures place déjà une organisation au-dessus du premier niveau de maturité. Et cela ne nécessite ni consultant, ni licence, ni logiciel particulier. L'ANSI propose également la méthode EBIOS Risk Management, EBIOS RM, qui est une méthode d'analyse des risques et qui peut s'utiliser conjointement avec une démarche d'évaluation de maturité. Et plus récemment, l'agence a publié des référentiels sectoriels et des grilles d'évaluation spécifiques, notamment dans le cadre de la transposition de la directive NIS II dans le droit français. L'approche de l'ANSI est particulièrement intéressante. Elle insiste fortement sur l'idée qu'une mesure de sécurité, pour être réellement efficace, doit être implémentée à un certain niveau de qualité, suivie dans le temps et intégrée dans l'organisation. Cocher une case ne suffit pas. La maturité, c'est la profondeur de l'implémentation, autant que la largeur du périmètre couvert. C'est une notion fondamentale. parce que beaucoup d'organisations sont contentes de déclarer, oui, on fait du patch management, alors qu'en réalité, le patch management est délégué à un prestataire qui n'est jamais vraiment vérifié, et que les résultats ne sont jamais réellement consolidés. Sur la montagne, une corde fixe mal arrimée est plus dangereuse que l'absence de corde, parce qu'elle inspire une fausse confiance. Mentionnons également COVID, un référentiel un peu différent, puisqu'il n'est pas strictement dédié à la cybersécurité, mais à la gouvernance et au management des systèmes d'information, Dans leurs ensembles, COBIT est porté par l'ISACA, une association internationale d'auditeurs de systèmes d'information. Dans sa version actuelle, COBIT 2019, le référentiel propose un modèle de capacité et de maturité qui s'inspire à nouveau de CMMI. Pour chaque processus, on évalue le niveau de capacité, c'est-à-dire la manière dont le processus est exécuté individuellement, et le niveau de maturité, c'est-à-dire la manière dont l'organisation, dans son ensemble, gère ces processus. L'intérêt de COBIT, c'est qu'il permet de positionner la cybersécurité dans une démarche plus large de gouvernance des systèmes d'information. C'est la logique d'ensemble de l'expédition, pas seulement de la cordée qui grimpe, mais de tout ce qui rend possible le ravitaillement, la communication, la coordination entre les camps. Beaucoup de RSSI utilisent COBIT pour parler le même langage que leurs DSI, leurs auditeurs internes, leurs commissaires aux comptes. C'est un pont entre les mondes techniques et le monde de la gouvernance de l'entreprise. Et soyons honnêtes, sans ce pont, le RSSI risque de rester un beau parleur incompris dans son couloir. Nous avons fait le tour des grandes méthodes. Mais comment fait-on, concrètement, pour mener une évaluation de maturité dans une organisation ? Préparer une évaluation, c'est préparer son expédition. Cela ne s'improvise pas, et cela suit un protocole. La première étape, c'est de définir le périmètre. Quelle montagne attaquons-nous ? Et par quelle face ? Voulez-vous évoluer toute l'entreprise ou seulement une filiale ? Tous les systèmes d'information ou seulement les plus critiques ? Cette définition est plus cruciale parce qu'elle conditionne tout le reste. Un périmètre trop large n'aura l'évaluation dans la moyenne. Un périmètre trop étroit donnera une vision déformée. La deuxième étape, c'est le choix du référentiel. NIST CSF, ISO 27000, C2M2, un référentiel sectoriel. Le choix dépend de plusieurs critères. Quelles sont vos obligations réglementaires ? Quelles sont les attentes de vos clients et de vos partenaires ? Quels sont les référentiels que vos pairs utilisent ? Et surtout, quel référentiel votre équipe est capable de comprendre, d'utiliser et de faire vivre ? La meilleure carte du monde, mal lue, mène droit dans la crevasse. La troisième étape, c'est de constituer l'équipe d'évaluation. Faut-il faire en interne ou faire appel à un cabinet externe ? L'évaluation interne a l'avantage du coût et de la connaissance fine du contexte. Elle a l'inconvénient de la complaisance et du manque de recul. L'évaluation externe apporte le regard neuf. L'expérience de la comparaison entre d'autres organisations et une certaine forme de garantie d'objectivité. C'est le rôle du sherpa et du guide, des gens qui connaissent la montagne pour l'avoir gravi 100 fois et qui vous diront sans ménagement ce que vous ne voulez pas entendre. Pour des évaluations à enjeu, en vue d'une certification ou d'une publication des résultats, l'évaluation externe est souvent indispensable. La quatrième étape, c'est la collecte des éléments de preuve. Et ici, il faut être méthodique. Une évaluation de maturité repose sur trois types de sources. Les entretiens, avec les responsables et les opérationnaires, pour comprendre comment les choses se passent réellement. Les documents, pour vérifier que les politiques, les procédures, les rapports existent bien et sont à jour. Et les éléments techniques, comme les configurations des outils, les logs, les traces d'exécution. Quand les trois sources convergent, on peut affirmer le niveau. Quand elles divergent, il y a quelque chose à creuser. C'est dans ces divergences que se cachent les vrais sujets. La cinquième étape, c'est la cotation. Pour chaque domaine de référentiel, L'équipe d'évaluation attribue un niveau de maturité en s'appuyant sur les éléments collectifs. Cette cotation doit être documentée, justifiée, traçable. Elle doit être discutée. On voit trop souvent des évaluations menées en chambre par une seule personne, qui aboutissent à des conclusions impossibles à défendre quand quelqu'un les remet en question. La sixième étape, c'est la restitution. C'est probablement la plus délicate. Vous allez devoir présenter à votre direction des résultats qui ne seront pas tous brillants. C'est même le but. Une évaluation... où tout est vert n'apporte aucune valeur, et est probablement fausse. La restitution doit être franche, factuelle, mais aussi constructive. Pas de stigmatisation, pas de chasse aux sorcières. La maturité, c'est une altitude à un instant donné, pas un jugement moral. Et la restitution doit dépoucher sur un itinéraire, parce que sans l'itinéraire, l'évolution n'aura servi à rien. Maintenant que nous avons décrit la méthode, parlons des erreurs classiques. Pour cela, permettez-moi d'évoquer une tragédie restée célèbre. En 1996, plusieurs expéditions commerciales se retrouvent piégées près du sommet de l'Everest, par une tempête soudaine. Le bilan fera 8 morts en une seule journée. Cette catastrophe, racontée notamment dans le livre « Tragédie à l'Everest » de John Kroger, illustre presque toutes les erreurs que l'on commet aussi en évaluation de maturité. La première erreur, c'est de confondre maturité et sécurité. Une organisation très mature peut être attaquée et compromise, comme un alpinisme chevourné, peut mourir dans une avalanche. Une organisation peu mature peut, par chance ou parce qu'elle n'intéresse personne, ne jamais subir d'incidents sérieux. La maturité ne garantit pas l'absence d'incidents, elle augmente la capacité à les prévenir, à les détecter rapidement et à les contenir efficacement, et à en tirer des enseignements. C'est différent. Et c'est important de le rappeler quand un dirigeant demande « mais si on était vraiment mature, on ne se ferait pas attaquer, n'est-ce pas ? » La deuxième erreur, c'est l'auto-évaluation complaisante. C'est humain, Personne n'aime se voir attribuer une mauvaise note, surtout quand on est responsable du sujet. Spontanément, les acteurs ont tendance à se surnoter, comme un grimpeur se surestime sur sa forme du jour. Pour contrer ce biais, plusieurs techniques existent. Demander des éléments de preuve systématique pour chaque niveau revendiqué. Faire évaluer le même domaine par deux personnes différentes et confronter les résultats. Ou tout simplement faire appel à un cabinet externe. La troisième erreur, c'est de viser le niveau 5 partout. C'est l'erreur de la zone de la mort. Au-dessus de 8000 mètres, le corps humain ne récupère plus. Il se dégrade minute après minute. On ne vit pas dans la zone de la mort. On ne fait qu'y passer, et le plus vite possible. Vouloir maintenir en permanence le niveau 5 sur tous les domaines, c'est vouloir installer son camp dans la zone de la mort. C'est épuisant, ruineux et intenable. Sur les domaines vraiment critiques pour votre métier, visez le plus Ausha du sens. Sur d'autres domaines plus périphériques, viser le niveau 3 sera amplement suffisant. La maturité n'est pas un concours d'altitude, c'est un alignement entre les enjeux et la capacité. La quatrième erreur, c'est d'ignorer l'heure du demi-tour. Sur l'Everest, les guides fixent une règle absolue. Si vous n'avez pas atteint le sommet à une certaine heure, vous faites demi-tour, sommet ou pas. En 1996, plusieurs alpinistes ont ignoré cette règle, obsédés par le sommet si proche. Ils ont continué, et la tempête les a rattrapés sur le chemin du retour. En matière de maturité, l'équivalent... c'est de traiter l'évaluation comme un événement ponctuel. On fait l'exercice une fois, on produit le rapport et on range dans un tiroir. La maturité doit être pilotée en continu, avec des points d'étape réguliers, des indicateurs suivis dans le temps, des ajustements de l'itinéraire au fur et à mesure que le contexte évolue. La cinquième erreur, plus subtile, c'est d'oublier les dépendances. Sur la montagne, vous êtes en cordée. Le niveau du grimpeur le plus faible de la cordée détermine la sécurité de toute la cordée. En cybersécurité, c'est pareil. Vous évaluez votre propre maturité, mais qu'en est-il de celle de vos fournisseurs, de vos prestataires, de vos partenaires ? La maturité d'une chaîne dépend de son maillon le plus faible. Et plus vos systèmes sont interconnectés, et plus cette dépendance compte. Les attaques sur le supply chain logiciel, où l'on a vu des éditeurs compréhens devenus des vecteurs d'infection de milliers de leurs clients, sont là pour nous le rappeler de manière douloureuse. Une évaluation de maturité n'a de valeur que si elle débouche sur l'action. Une fois que vous savez à quelle altitude vous vous trouvez, il faut tracer la route vers le camp suivant. On ne saute pas un camp, on ne vise pas directement le sommet depuis la vallée. C'est exactement la démarche d'un itinéraire de maturité. Pour chaque domaine où vous voulez progresser, vous identifiez les actions à mener, les ressources nécessaires, les délais raisonnables et les indicateurs de progression. Vous priorisez en fonction des risques, des efforts et des valeurs ajoutées. Vous validez avec votre direction et vous vous exécutez. Un bon itinéraire s'étale généralement sur trois ans, divisés en étapes semestrielles. La première étape se concentre sur les fondamentaux non couverts, ce qu'on appelle parfois les quick wins. Ces actions à fort impact et à coût modéré. Les étapes suivantes approfondissent les domaines plus complexes, qui nécessitent souvent des transformations organisationnelles et des investissements technologiques significatifs. Il faut savoir attendre la bonne fenêtre. Sur l'Everest, on ne tente le sommet que quelques jours par an, quand la météo le permet. Une organisation, elle aussi, a ses fenêtres. Un budget qui se développe, une réorganisation, une nouvelle exigence réglementaire, l'arrivée d'un dirigeant sensibilisé. Savoir saisir ses fenêtres, pour faire avancer la maturité, fait partie du métier. Et bien sûr, à un intervalle régulier, on refait une évaluation, pas forcément complète à chaque fois, mais ciblée sur les domaines où l'on a investi, pour mesurer les progrès et ajuster le tir si nécessaire. Sans cette boucle de mesures, on avance à l'aveugle. Dans l'eau brouillard, sans altimètre. Une dernière remarque importante. La maturité de votre programme de formation et de sensibilisation, dont je parlais en détail dans un épisode précédent à propos du référentiel NIST SP 800-50, fait évidemment partie intégrante de la maturité globale. Et c'est même souvent le levier le plus rentable. Faire monter en maturité ces pratiques de sensibilisation, ces formations basées sur les rôles, ces exercices de crise, coûte beaucoup moins cher que de déployer un nouveau SIEM. Et le retour sur investissement est souvent supérieur à méditer quand on prépare ses arbitrages budgétaires. Vous l'avez compris, l'évaluation de la maturité en cybersécurité n'est ni un gadget de consultant, ni une formalité administrative. C'est un outil de pilotage stratégique, un langage commun et une boussole pour savoir où l'eau se trouve sur la montagne. Mais je voudrais terminer par ce détail que je vous ai demandé de retenir tout au début. Quand Hillary et Tenzing ont atteint le sommet de l'Everest, ils sont restés quelques minutes. Et savez-vous où se produisent la grande majorité des accidents mortels en haute montagne ? Pas à la montée, à la descente. Quand l'alpiniste, épuisé, à court d'oxygène, euphorique d'avoir touché son but, relâche son attention. Le sommet n'est jamais l'objectif réel. L'objectif, c'est de revenir vivant. Pour vos organisations, c'est exactement pareil. Atteindre un niveau de maturité n'est pas la fin de l'histoire. Le maintenir, l'entretenir, le défendre contre l'érosion naturelle du temps, les départs... Les réorganisations et les nouvelles menaces, c'est souvent plus difficile que d'atteindre une première fois. La maturité ne s'achète pas, elle ne se déclare pas, elle se construit camp après camp. Et elle se maintient jour après jour, avec patience, méthode et humilité. Alors prenez le temps de l'acclimatation, respectez les étapes, mesurez votre attitude, encordez-vous avec des partenaires solides, et n'oubliez jamais que sur cette montagne-là, on n'arrive jamais tout à fait au sommet, on apprend simplement à monter un peu plus haut, et un peu plus sûrement chaque année. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie et de mort. C'est bien plus sérieux que ça.
Speaker #1
Oh I woke up today in a very simple way

Description

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Le 29 mai 1953, en fin de matinée, deux hommes posent le pied sur un endroit où aucun être humain ne s'est jamais tenu, le sommet de l'Everest, 8814 mètres, le point le plus élevé de la planète. Le premier s'appelle Enmunidari, c'est un apiculteur néo-zélandais, le second s'appelle Tanzing Norgay, c'est un Sherpa népalais. Ils resteront quelques minutes là-haut, le temps de planter un drapeau et de prendre quelques photographies, puis ils entameront aussitôt leur descente. ce que l'histoire retient moins C'est tout ce qu'il y a eu avant. Avant Hillary et Tenzing. Des dizaines d'expéditions s'étaient cassées les dents sur la montagne. La plus célèbre est celle du Jacques Mallory en 1924. Mallory, à qui l'on demandait pourquoi il voulait tout prix gravir l'Everest, avait eu cette réponse mythique, parce qu'il est là. Mallory a disparu près du sommet, et aujourd'hui encore, on ignore s'il l'atteint avant de mourir. Personne n'a jamais pu le prouver. Retenez bien ce détail parce que nous y reviendrons. En haute montagne, comme en cybersécurité, atteindre un niveau ne suffit pas. Encore faut-il pouvoir le démontrer. Et puis, il y a quelque chose que tout alpinisme himalayen sait, et que le grand public ignore souvent. On ne grimpe pas à l'Everest d'une seule traite. On ne part pas du fond de la vallée pour foncer vers le sommet. Ce serait la mort assumée. L'ascension se fait par étapes, par camps successifs, de plus en plus haut, séparés par de longues semaines d'acclimatation. Le corps a besoin de temps pour s'adapter à l'altitude. Monter trop vite, brûler les étapes, c'est s'exposer à l'œdème pulmonaire, à l'épuisement et à la mort. La montagne ne sait que faire de votre impatience. Vous l'avez compris, je vais vous parler aujourd'hui de maturité en cybersécurité. Et plus précisément des méthodes qui permettent de mesurer cette maturité. Parce que, exactement comme on gravit l'Everest, on ne devient pas mature en cybersécurité du jour au lendemain. Il y a une montagne à gravir, il y a des camps à franchir, il y a une acclimatation à respecter, il existe des méthodes pour savoir à chaque instant et à quelle altitude on se trouve. Avant d'aller le plus loin, posons-nous une question toute simple. Qu'est-ce que la maturité en cybersécurité ? Quand on parle d'un fruit mature, on évoque un fruit qui a atteint son plein développement, son optimum du goût, de couleur, de texture. Quand on parle d'une personne mature, on dessine quelqu'un qui a acquis le recul, la sagesse, la stabilité nécessaire pour faire face aux situations de la vie.
Speaker #1
À vous Simon.
Speaker #2
Bonjour, je m'appelle Simon Catassin. Moi j'ai été élevé avec 8 frères, donc on est une fratrie quoi. J'ai été suivi par une personne qui m'a expliqué que si j'étais infidèle, c'est rapport que je cherchais l'image de ma mère.
Speaker #1
Ah !
Speaker #2
Hum.
Speaker #1
Ah bien, et vous en pensez quoi Simon ?
Speaker #2
Bah moi je pense que c'est des conneries. Parce que moi j'aime bien les cougars plus. Les cougars... tapés. Enfin, bien tapés.
Speaker #1
D'accord. Euh...
Speaker #2
mûrs. D'accord. Mais mûrs... mûrs... fins de carrière.
Speaker #1
D'accord.
Speaker #2
Oui, plus qu'à besoin... peut-être même d'assistance. Je parle aide à la personne.
Speaker #1
D'accord, Simon. Et vous trouvez que votre femme était trop jeune ?
Speaker #2
Non, elle va vieillir. Mais je me demande si je n'aurais pas dû peut-être partir avec sa mère.
Speaker #0
Quand on parle d'une démarche mature dans une entreprise, on évoque une démarche qui est non seulement mise en œuvre, mais comprise, maîtrisée, mesurée et améliorée en continu. La maturité, ce n'est donc pas une question de « j'ai installé tel outil » ou « j'ai recruté tel expert » . C'est une question de niveau global de maîtrise. Pensez-y comme à l'alpinisme. Vous pouvez acheter la meilleure doudoune en duvet, les crampons les plus performants, le piolet le plus cher du magasin, cela ne fait pas de vous un alpiniste. Une organisation peut avoir le meilleur firewall du monde, le meilleur antivirus du marché, le meilleur CM disponible et afficher une maturité cyber très faible. A l'inverse, une organisation au moyen plus modeste peut afficher un niveau de maturité plus élevé si ses processus sont solides, ses équipes formées, Sa gouvernance claire et son amélioration continue effective. Le matériel ne fait pas le grimpeur. Évaluer les maturités, c'est donc répondre à trois questions fondamentales. A quelle altitude sommes-nous aujourd'hui ? Jusqu'où voulons-nous monter ? Et quel est l'itinéraire pour y parvenir ? Ces trois questions, en apparence simples, sont en réalité d'une complexité redoutable. Et c'est précisément pour y répondre que des méthodes et des référentiels ont été développés au fil des décennies. Mais d'abord... Pourquoi se donner la peine de mesurer cette maturité ? La première raison ? La première raison, c'est tout simplement qu'on ne pilote bien que ce qu'on mesure. Un alpiniste qui ignore son altitude, sa position sur la montagne et le temps qui lui reste avant la nuit est un alpiniste en danger. Vous ne pouvez pas non plus demander à votre direction générale d'investir 1 million d'euros dans la cybersécurité sans pouvoir justifier précisément où vous en êtes et ce que cet investissement va apporter. La maturité fournit un langage commun. Partagez ! compréhensible par les financiers, les opérationnels, les juristes et les techniques. La deuxième raison, c'est qu'une évaluation de maturité permet de prioriser. C'est comme une boussole pour les feuilles de route pluriannuelles, et c'est un outil de dialogue avec les métiers. La troisième raison, c'est la conformité. De plus en plus de réglementations, comme NIS2 en Europe ou DORA dans le secteur financier, exigent que les organisations démontrent un niveau de maturité minimum. De plus, ne pas pouvoir le démontrer, c'est s'exposer à des sanctions, mais aussi à des pertes de crédibilité auprès de ses clients et ses partenaires. La quatrième raison, la plus stratégique encore, c'est que la maturité influence directement la valorisation d'une entreprise. Lors d'une fusion-acquisition, Lors d'une levée de fonds, lors d'un appel d'offres important, l'évaluation de la maturité cyber est devenue un critère discriminant. Une entreprise immature en cybersécurité, c'est une entreprise risquée, et le risque est un coût qui se traduit toujours, à un moment ou à un autre, dans le prix à payer. Reprenons notre montagne. L'ascension de l'Everest, par la voie classique, s'organise autour d'une succession de camps. Le camp de base, d'abord, installé vers 5400 mètres. Puis les camps d'altitude, de plus en plus haut. Jusqu'au dernier camp, perché à près de 8000 mètres, à la lisière de ce que les alpinistes appellent la zone de la mort. Et enfin, tout en haut, le sommet. Entre chaque camp, des allers-retours d'acclimatation, ce principe qu'on résume par la formule « grimper haut, dormir bas » . Dans le monde de la maturité organisationnelle, il existe une échelle qui ressemble étonnamment à cette progression par camp. Elle a été formalisée à la fin des années 1980 par le Software Engineering Institute de l'Université de Carnegie Mellon, à Pittsburgh. dans un modèle qui s'appelait à l'époque le Capability Maturity Model, ou CMM. Ce modèle a ensuite évolué pour devenir le CMMI, le Capability Maturity Model Integration, qui est aujourd'hui une référence mondiale. Et ces cinq niveaux se retrouvent sous des formes diverses dans presque tous les référentiels de maturité, y compris ceux dédiés à la cybersécurité. Le premier niveau s'appelle l'initial, c'est le départ depuis la vallée, sans carte et sans plan. À ce niveau, les pratiques de cybersécurité existent peut-être, mais elles sont essentiellement réactives, individuelles, dépendantes de la bonne volonté de quelques personnes. Quand un incident survient, on se débrouille. Quand une menace émerge, on improvise. Il n'y a pas de processus formalisé, pas de documentation, pas de mémoire organisationnelle. C'est l'âge des héros, des administrateurs système qui sauvent l'entreprise à 3h du matin et dont personne ne sait exactement ce qu'ils font ni comment ils le font. Le deuxième niveau s'appelle « Gérer » . C'est le camp de base. Une organisation existe enfin. On a planté les tentes, on a installé la logistique. Certaines pratiques sont devenues récurrentes. On a des procédures pour traiter les tickets, pour appliquer les correctifs, pour intégrer les nouveaux collaborateurs. Mais ces procédures restent souvent locales, propres à une équipe, à un camp, à un système. Ils ne sont pas formalisés au niveau de l'organisation. Si la personne qui les pratique part en vacances, ou quitte l'entreprise, une partie du savoir-faire s'évapore avec elle. Le troisième niveau s'appelle défini ou define. Ce sont les camps d'altitude reliés entre eux par des cordes fixes soigneusement posées et balisées. A ce niveau, les processus sont documentés, standardisés, partagés à l'échelle de l'organisation. Tout le monde suit le même itinéraire, tout le monde sait comment réagir à un incident parce que la procédure existe et qu'elle est appliquée de la même manière partout. La formation est organisée, la gouvernance est claire, les rôles et les responsabilités sont définis. C'est le seuil à partir duquel on peut affirmer Aucune organisation est sérieuse en matière de cybersécurité. Le quatrième niveau s'appelle « mesurer quantitativement » . C'est le dernier camp, à près de 8000 mètres, et à la limite de la zone de la mort. Là-haut, on ne fait plus rien au hasard. On surveille la pression partielle de l'oxygène, on guette la fenêtre météo, on fixe une heure de demi-tour qu'on ne dépassera sous aucun prétexte. On ne se contente pas d'appliquer des procédures, on les mesure. Combien de temps fait-il en moyenne pour détecter un incident ? Combien pour le contenir ? Combien de correctifs sont-ils appliqués dans les délais cibles ? Quel pourcentage du personnel a effectivement suivi la formation prévue ? La donnée devient le carburant de la décision. Et puis vient le cinquième niveau, le « optimize » ou « optimiser » . C'est le sommet et même au-delà. À ce niveau, l'organisation utilise les mesures du niveau précédent pour s'améliorer en permanence. Elle anticipe les évolutions, innove dans ses pratiques, partage ses retours d'expérience, ouvre de nouvelles voies. La cybersécurité n'est plus un coup. ou une contrainte, c'est un avantage compétitif. C'est rare, très rare. Et comme le sommet de l'Everest, et comme le sommet de l'Everest, ce n'est jamais un lieu où on s'installe. C'est un point que l'on atteint, et qu'il faut aussitôt savoir quitter intelligemment. Cette échelle à cinq niveaux, qu'on appelle CMMI ou autre, est le squelette commun de la plupart des référentiels que nous allons maintenant explorer. Mais chaque référentiel apporte ses spécificités, ses domaines d'application, sa philosophie. Commençons par celui qui est probablement le plus connu à l'international. Le NIST Cyber Security Framework ou NIST SF. Le NIST, c'est le National Institute of Standard and Technology. L'agence fédérale américaine en charge des normes techniques. Le CSF a été publié pour la première fois en 2014, à la demande du président américain qui souhaitait un cadre pour protéger les infrastructures critiques. Une nouvelle version, profondément remaniée, a été publiée plus récemment. Le CSF s'organise autour de fonctions principales dans sa version originale. On en compte cinq, à savoir identifier, protéger, détecter, répondre et récupérer. La nouvelle version a ajouté une sixième fonction, Gouverner, qui chapeaute toutes les autres. Et c'est une excellente nouvelle, parce que sans gouvernance, les meilleures pratiques techniques restent fragiles et finissent toujours par s'éroder. Mais ce qui nous intéresse particulièrement aujourd'hui, ce sont les niveaux d'implémentation du CSF, qu'on appelle les tiers. Ces tiers sont au nombre de quatre. Le premier s'appelle Partial, le partiel. Il correspond à des pratiques ad hoc, réactives, peu coordonnées avec la stratégie globale. Le deuxième tiers s'appelle « Risk Informed » . A ce niveau, les pratiques tiennent compte des risques, mais sans être encore systématisées. Le troisième tiers s'appelle « Repeatable » . Répétable. Les processus sont formalisés, appliqués de manière cohérente, et la cybersécurité est intégrée à la culture de l'organisation. Le quatrième et le dernier tiers s'appellent « Adaptive » . Adaptif. L'organisation apprend de ses expériences, anticipe les menaces, partage avec son écosystème et améliore continuellement ses pratiques. Vous reconnaissez la philosophie ? C'est encore et toujours l'échelle de maturité, déclinée à la sauce NIST. La force du CSF, c'est sa souplesse. Il ne dit pas à une organisation quel tiers il doit atteindre. Il lui demande de définir son tiers-cible en fonction de son contexte, de ses risques, de ses obligations. Toutes les expéditions ne visent pas le sommet de l'Ebreste. Certains se fixent un camp d'altitude comme objectif, et c'est parfaitement légitime. Une petite PME et une banque systémique n'ont pas pour vocation à viser les mêmes niveaux. Et c'est très bien comme ça. Une autre force du CSF, c'est l'idée de profil. Un profil, c'est une photographie de l'état de chaque fonction et chaque catégorie de framework à un instant donné. On distingue le profil actuel, qui décrit la situation présente, le profil cible, qui décrit la situation visée. L'écart entre les deux, c'est précisément l'itinéraire à tracer. C'est la carte topographique de votre ascension, celle qui montre où vous êtes et où vous voulez aller. C'est concret, c'est actionnable. et c'est devenu une référence dans le monde entier. Reprenons un instant la généalogie. Le CMMI, donc, est le grand-père de la plupart des modèles modernes. Né dans les années 1980 pour évaluer la maturité des éditeurs de logiciels qui travaillent pour le département de la défense américaine, il a essaimé dans tous les domaines, et notamment la cybersécurité. Un des descendants directs les plus intéressants est le C2M2, prononcé C2M2 en anglais, pour Security Capability Maturity Model. Ce modèle a été développé par le département de l'énergie américain, à l'origine pour les acteurs du secteur de l'électricité. Mais il est aujourd'hui utilisable par toutes les organisations. Il couvre une dizaine de domaines, allant de la gestion des risques à la gestion des accès, en passant par la gestion des incidents, la formation ou encore la sécurité des supply chain. Pour chaque domaine, il définit des pratiques à différents niveaux de maturité et l'organisation peut s'auto-évaluer ou se faire évaluer. L'intérêt du C2M2 C'est qu'il est gratuit, librement téléchargeable, et qu'il vient avec un outil d'évaluation qui produit des graphiques visuels très parlants. On voit immédiatement où sont nos forces et nos faiblesses. La roue de la maturité, sorte de toile d'araignée à plusieurs branches, ressemble un peu au profil d'altitude d'un parcours de montagne. D'un coup d'œil, on repère les passages bien négociés et les pentes encore un peu raides. Et c'est facile à présenter à un comité de direction. Or, vous le savez, en cybersécurité, savoir parler à la direction et probablement la moitié du métier. Toujours du côté américain, mais dans un registre beaucoup plus contraignant, le CMMC, le Cyber Security Maturity Model Certification. Celui-là, ce n'est pas un référentiel d'auto-évaluation pour s'améliorer tranquillement. C'est une certification obligatoire pour les entreprises qui souhaitent travailler avec le département de la défense américaine. Le CMMC s'appuie sur les contrôles définis dont le NIST SP 800-171 Merci. et le NIST SP 800-172. Et il organise des exigences à plusieurs niveaux de certification. Au niveau le plus bas, on parle de pratiques de cyberhygiène de base. Au niveau plus élevé, on parle d'une protection avancée contre les menaces persistantes et ciblées, qu'on appelle les APT, pour Advanced Persistent Threats. La particularité du CMMC, c'est qu'elle introduit la notion d'évaluation par un tiers. Pour les niveaux les plus élevés, l'entreprise ne peut pas s'auto-déclarer conforme. Elle doit faire appel à un évaluateur externe accrédité. C'est exactement comme la qualification d'un guide en haute montagne. On ne s'auto-proclame pas guide capable de mener une cordée sur l'Everest.
Speaker #3
Eh bien messieurs, on vous remercie beaucoup.
Speaker #4
On n'a rien, on était à 500 mètres du village.
Speaker #3
Tout seulement, il faut connaître la montagne.
Speaker #5
Ah oui.
Speaker #4
Il faut connaître la montagne.
Speaker #5
N'empêche que sans ces messieurs, on ne serait pas arrivés. Emmenez-moi. Oui, oui. Bon, écoutez, messieurs, il ne reste plus qu'à vous remercier beaucoup de votre hospitalité, puis on va se retirer. Ah ben,
Speaker #4
vous n'allez pas repartir comme ça sans boire un petit coup. Ah non,
Speaker #5
Non, non, non, on n'a pas le temps.
Speaker #4
Mais volontiers, avec plaisir. Je vais chercher la bouteille. Allez ! Je t'en prie, c'est le cadre un peu dur. Ils sont charmants.
Speaker #6
Sans eux, vous seriez encore dans la montagne.
Speaker #3
C'est le moindre des politesses, non ?
Speaker #4
Vous êtes fou, vous savez pas ce qu'ils bouffent ?
Speaker #6
C'était très bon ! Et voilà ! Dites-moi, comment vous faites pour faire passer le... le crapaud à l'intérieur de la bouteille ?
Speaker #4
Alors ça, on le fait sécher, et puis alors il devient tout fin. Alors il rentre, et puis après, avec l'humidité, il grandit.
Speaker #6
Ah oui.
Speaker #0
Une instance indépendante pour évaluer, vérifier votre expérience réelle et vous délivrer une qualification. Elle est possible ou la refuser. Souvenez-vous de Georges Mallory, une affirmation sans preuve ne vaut rien. Le CMMC, c'est précisément l'exigence de la preuve et beaucoup de réglementations européennes regardent cet égale avec grand intérêt, notamment dans le cadre de la transposition d'ISD. Traversons maintenant l'Atlantique. Le grand standard international en matière de management de la sécurité de l'information, c'est la norme ISO 27001, accompagné de toute la famille de normes 27000. L'ISON 27001 définit les exigences pour mettre en place un système de management de la sécurité de l'information, qu'on appelle CMMI. A première vue, l'ISON 27000 n'est pas un modèle de maturité, c'est une norme de certification binaire. Soit votre organisation est certifiée, soit elle ne l'est pas. C'est un peu comme un permis d'ascension délivré par les autorités népalaises. Vous l'avez ou vous ne l'avez pas. Mais la réalité est un peu plus nuancée. La norme exige de mettre en place un cycle d'amélioration continu, le fameux PDCA. PDCA pour Plain, Do, Check, Act, que vous connaissez peut-être sous le nom de route de daming. Et ce cycle, par nature, structure une véritable démarche de progression. Pour aller plus loin, l'ISO a publié une norme complémentaire, l'ISO 27004, dédiée aux mesures et indicateurs de sécurité. Cette norme aide les organisations à définir des indicateurs pertinents, à les collecter, à les analyser et à les communiquer. Et c'est précisément à ce niveau qu'on bascule du simple « gérer » vers « mesurer quantitativement » de notre échelle de maturité. Beaucoup d'organisations utilisent l'ISO 27000 comme socle et ajoutent une grille de maturité maison, ou empruntent à d'autres référentiels pour évaluer plus finement où ils se situent au-delà du simple « certifier ou pas » . Avoir le permis d'ascension vous autorise à entrer sur la montagne. Il ne dit rien de l'altitude que vous avez réellement atteinte, ni de la qualité de votre acclimatisation. Restons en Europe. Et plus précisément en France, l'ANSI, l'Agence Nationale de la Sécurité des Systèmes d'Information, propose plusieurs outils particulièrement utiles pour évaluer et améliorer la maturité. Le plus connu est sans doute le Guide d'hygiène informatique, qui définit une quarantaine de mesures que toute organisation devrait mettre en œuvre. C'est volontairement basique, accessible, pragmatique. C'est la liste de vérification de base, celle qu'on coche avant même de quitter le camp de base. Les crampons sont-ils affûtés ? Le baudrier est-il bouclé ? L'accord est-elle en bon état ? Le simple fait de pouvoir cocher honnêtement la mise en œuvre de ces mesures place déjà une organisation au-dessus du premier niveau de maturité. Et cela ne nécessite ni consultant, ni licence, ni logiciel particulier. L'ANSI propose également la méthode EBIOS Risk Management, EBIOS RM, qui est une méthode d'analyse des risques et qui peut s'utiliser conjointement avec une démarche d'évaluation de maturité. Et plus récemment, l'agence a publié des référentiels sectoriels et des grilles d'évaluation spécifiques, notamment dans le cadre de la transposition de la directive NIS II dans le droit français. L'approche de l'ANSI est particulièrement intéressante. Elle insiste fortement sur l'idée qu'une mesure de sécurité, pour être réellement efficace, doit être implémentée à un certain niveau de qualité, suivie dans le temps et intégrée dans l'organisation. Cocher une case ne suffit pas. La maturité, c'est la profondeur de l'implémentation, autant que la largeur du périmètre couvert. C'est une notion fondamentale. parce que beaucoup d'organisations sont contentes de déclarer, oui, on fait du patch management, alors qu'en réalité, le patch management est délégué à un prestataire qui n'est jamais vraiment vérifié, et que les résultats ne sont jamais réellement consolidés. Sur la montagne, une corde fixe mal arrimée est plus dangereuse que l'absence de corde, parce qu'elle inspire une fausse confiance. Mentionnons également COVID, un référentiel un peu différent, puisqu'il n'est pas strictement dédié à la cybersécurité, mais à la gouvernance et au management des systèmes d'information, Dans leurs ensembles, COBIT est porté par l'ISACA, une association internationale d'auditeurs de systèmes d'information. Dans sa version actuelle, COBIT 2019, le référentiel propose un modèle de capacité et de maturité qui s'inspire à nouveau de CMMI. Pour chaque processus, on évalue le niveau de capacité, c'est-à-dire la manière dont le processus est exécuté individuellement, et le niveau de maturité, c'est-à-dire la manière dont l'organisation, dans son ensemble, gère ces processus. L'intérêt de COBIT, c'est qu'il permet de positionner la cybersécurité dans une démarche plus large de gouvernance des systèmes d'information. C'est la logique d'ensemble de l'expédition, pas seulement de la cordée qui grimpe, mais de tout ce qui rend possible le ravitaillement, la communication, la coordination entre les camps. Beaucoup de RSSI utilisent COBIT pour parler le même langage que leurs DSI, leurs auditeurs internes, leurs commissaires aux comptes. C'est un pont entre les mondes techniques et le monde de la gouvernance de l'entreprise. Et soyons honnêtes, sans ce pont, le RSSI risque de rester un beau parleur incompris dans son couloir. Nous avons fait le tour des grandes méthodes. Mais comment fait-on, concrètement, pour mener une évaluation de maturité dans une organisation ? Préparer une évaluation, c'est préparer son expédition. Cela ne s'improvise pas, et cela suit un protocole. La première étape, c'est de définir le périmètre. Quelle montagne attaquons-nous ? Et par quelle face ? Voulez-vous évoluer toute l'entreprise ou seulement une filiale ? Tous les systèmes d'information ou seulement les plus critiques ? Cette définition est plus cruciale parce qu'elle conditionne tout le reste. Un périmètre trop large n'aura l'évaluation dans la moyenne. Un périmètre trop étroit donnera une vision déformée. La deuxième étape, c'est le choix du référentiel. NIST CSF, ISO 27000, C2M2, un référentiel sectoriel. Le choix dépend de plusieurs critères. Quelles sont vos obligations réglementaires ? Quelles sont les attentes de vos clients et de vos partenaires ? Quels sont les référentiels que vos pairs utilisent ? Et surtout, quel référentiel votre équipe est capable de comprendre, d'utiliser et de faire vivre ? La meilleure carte du monde, mal lue, mène droit dans la crevasse. La troisième étape, c'est de constituer l'équipe d'évaluation. Faut-il faire en interne ou faire appel à un cabinet externe ? L'évaluation interne a l'avantage du coût et de la connaissance fine du contexte. Elle a l'inconvénient de la complaisance et du manque de recul. L'évaluation externe apporte le regard neuf. L'expérience de la comparaison entre d'autres organisations et une certaine forme de garantie d'objectivité. C'est le rôle du sherpa et du guide, des gens qui connaissent la montagne pour l'avoir gravi 100 fois et qui vous diront sans ménagement ce que vous ne voulez pas entendre. Pour des évaluations à enjeu, en vue d'une certification ou d'une publication des résultats, l'évaluation externe est souvent indispensable. La quatrième étape, c'est la collecte des éléments de preuve. Et ici, il faut être méthodique. Une évaluation de maturité repose sur trois types de sources. Les entretiens, avec les responsables et les opérationnaires, pour comprendre comment les choses se passent réellement. Les documents, pour vérifier que les politiques, les procédures, les rapports existent bien et sont à jour. Et les éléments techniques, comme les configurations des outils, les logs, les traces d'exécution. Quand les trois sources convergent, on peut affirmer le niveau. Quand elles divergent, il y a quelque chose à creuser. C'est dans ces divergences que se cachent les vrais sujets. La cinquième étape, c'est la cotation. Pour chaque domaine de référentiel, L'équipe d'évaluation attribue un niveau de maturité en s'appuyant sur les éléments collectifs. Cette cotation doit être documentée, justifiée, traçable. Elle doit être discutée. On voit trop souvent des évaluations menées en chambre par une seule personne, qui aboutissent à des conclusions impossibles à défendre quand quelqu'un les remet en question. La sixième étape, c'est la restitution. C'est probablement la plus délicate. Vous allez devoir présenter à votre direction des résultats qui ne seront pas tous brillants. C'est même le but. Une évaluation... où tout est vert n'apporte aucune valeur, et est probablement fausse. La restitution doit être franche, factuelle, mais aussi constructive. Pas de stigmatisation, pas de chasse aux sorcières. La maturité, c'est une altitude à un instant donné, pas un jugement moral. Et la restitution doit dépoucher sur un itinéraire, parce que sans l'itinéraire, l'évolution n'aura servi à rien. Maintenant que nous avons décrit la méthode, parlons des erreurs classiques. Pour cela, permettez-moi d'évoquer une tragédie restée célèbre. En 1996, plusieurs expéditions commerciales se retrouvent piégées près du sommet de l'Everest, par une tempête soudaine. Le bilan fera 8 morts en une seule journée. Cette catastrophe, racontée notamment dans le livre « Tragédie à l'Everest » de John Kroger, illustre presque toutes les erreurs que l'on commet aussi en évaluation de maturité. La première erreur, c'est de confondre maturité et sécurité. Une organisation très mature peut être attaquée et compromise, comme un alpinisme chevourné, peut mourir dans une avalanche. Une organisation peu mature peut, par chance ou parce qu'elle n'intéresse personne, ne jamais subir d'incidents sérieux. La maturité ne garantit pas l'absence d'incidents, elle augmente la capacité à les prévenir, à les détecter rapidement et à les contenir efficacement, et à en tirer des enseignements. C'est différent. Et c'est important de le rappeler quand un dirigeant demande « mais si on était vraiment mature, on ne se ferait pas attaquer, n'est-ce pas ? » La deuxième erreur, c'est l'auto-évaluation complaisante. C'est humain, Personne n'aime se voir attribuer une mauvaise note, surtout quand on est responsable du sujet. Spontanément, les acteurs ont tendance à se surnoter, comme un grimpeur se surestime sur sa forme du jour. Pour contrer ce biais, plusieurs techniques existent. Demander des éléments de preuve systématique pour chaque niveau revendiqué. Faire évaluer le même domaine par deux personnes différentes et confronter les résultats. Ou tout simplement faire appel à un cabinet externe. La troisième erreur, c'est de viser le niveau 5 partout. C'est l'erreur de la zone de la mort. Au-dessus de 8000 mètres, le corps humain ne récupère plus. Il se dégrade minute après minute. On ne vit pas dans la zone de la mort. On ne fait qu'y passer, et le plus vite possible. Vouloir maintenir en permanence le niveau 5 sur tous les domaines, c'est vouloir installer son camp dans la zone de la mort. C'est épuisant, ruineux et intenable. Sur les domaines vraiment critiques pour votre métier, visez le plus Ausha du sens. Sur d'autres domaines plus périphériques, viser le niveau 3 sera amplement suffisant. La maturité n'est pas un concours d'altitude, c'est un alignement entre les enjeux et la capacité. La quatrième erreur, c'est d'ignorer l'heure du demi-tour. Sur l'Everest, les guides fixent une règle absolue. Si vous n'avez pas atteint le sommet à une certaine heure, vous faites demi-tour, sommet ou pas. En 1996, plusieurs alpinistes ont ignoré cette règle, obsédés par le sommet si proche. Ils ont continué, et la tempête les a rattrapés sur le chemin du retour. En matière de maturité, l'équivalent... c'est de traiter l'évaluation comme un événement ponctuel. On fait l'exercice une fois, on produit le rapport et on range dans un tiroir. La maturité doit être pilotée en continu, avec des points d'étape réguliers, des indicateurs suivis dans le temps, des ajustements de l'itinéraire au fur et à mesure que le contexte évolue. La cinquième erreur, plus subtile, c'est d'oublier les dépendances. Sur la montagne, vous êtes en cordée. Le niveau du grimpeur le plus faible de la cordée détermine la sécurité de toute la cordée. En cybersécurité, c'est pareil. Vous évaluez votre propre maturité, mais qu'en est-il de celle de vos fournisseurs, de vos prestataires, de vos partenaires ? La maturité d'une chaîne dépend de son maillon le plus faible. Et plus vos systèmes sont interconnectés, et plus cette dépendance compte. Les attaques sur le supply chain logiciel, où l'on a vu des éditeurs compréhens devenus des vecteurs d'infection de milliers de leurs clients, sont là pour nous le rappeler de manière douloureuse. Une évaluation de maturité n'a de valeur que si elle débouche sur l'action. Une fois que vous savez à quelle altitude vous vous trouvez, il faut tracer la route vers le camp suivant. On ne saute pas un camp, on ne vise pas directement le sommet depuis la vallée. C'est exactement la démarche d'un itinéraire de maturité. Pour chaque domaine où vous voulez progresser, vous identifiez les actions à mener, les ressources nécessaires, les délais raisonnables et les indicateurs de progression. Vous priorisez en fonction des risques, des efforts et des valeurs ajoutées. Vous validez avec votre direction et vous vous exécutez. Un bon itinéraire s'étale généralement sur trois ans, divisés en étapes semestrielles. La première étape se concentre sur les fondamentaux non couverts, ce qu'on appelle parfois les quick wins. Ces actions à fort impact et à coût modéré. Les étapes suivantes approfondissent les domaines plus complexes, qui nécessitent souvent des transformations organisationnelles et des investissements technologiques significatifs. Il faut savoir attendre la bonne fenêtre. Sur l'Everest, on ne tente le sommet que quelques jours par an, quand la météo le permet. Une organisation, elle aussi, a ses fenêtres. Un budget qui se développe, une réorganisation, une nouvelle exigence réglementaire, l'arrivée d'un dirigeant sensibilisé. Savoir saisir ses fenêtres, pour faire avancer la maturité, fait partie du métier. Et bien sûr, à un intervalle régulier, on refait une évaluation, pas forcément complète à chaque fois, mais ciblée sur les domaines où l'on a investi, pour mesurer les progrès et ajuster le tir si nécessaire. Sans cette boucle de mesures, on avance à l'aveugle. Dans l'eau brouillard, sans altimètre. Une dernière remarque importante. La maturité de votre programme de formation et de sensibilisation, dont je parlais en détail dans un épisode précédent à propos du référentiel NIST SP 800-50, fait évidemment partie intégrante de la maturité globale. Et c'est même souvent le levier le plus rentable. Faire monter en maturité ces pratiques de sensibilisation, ces formations basées sur les rôles, ces exercices de crise, coûte beaucoup moins cher que de déployer un nouveau SIEM. Et le retour sur investissement est souvent supérieur à méditer quand on prépare ses arbitrages budgétaires. Vous l'avez compris, l'évaluation de la maturité en cybersécurité n'est ni un gadget de consultant, ni une formalité administrative. C'est un outil de pilotage stratégique, un langage commun et une boussole pour savoir où l'eau se trouve sur la montagne. Mais je voudrais terminer par ce détail que je vous ai demandé de retenir tout au début. Quand Hillary et Tenzing ont atteint le sommet de l'Everest, ils sont restés quelques minutes. Et savez-vous où se produisent la grande majorité des accidents mortels en haute montagne ? Pas à la montée, à la descente. Quand l'alpiniste, épuisé, à court d'oxygène, euphorique d'avoir touché son but, relâche son attention. Le sommet n'est jamais l'objectif réel. L'objectif, c'est de revenir vivant. Pour vos organisations, c'est exactement pareil. Atteindre un niveau de maturité n'est pas la fin de l'histoire. Le maintenir, l'entretenir, le défendre contre l'érosion naturelle du temps, les départs... Les réorganisations et les nouvelles menaces, c'est souvent plus difficile que d'atteindre une première fois. La maturité ne s'achète pas, elle ne se déclare pas, elle se construit camp après camp. Et elle se maintient jour après jour, avec patience, méthode et humilité. Alors prenez le temps de l'acclimatation, respectez les étapes, mesurez votre attitude, encordez-vous avec des partenaires solides, et n'oubliez jamais que sur cette montagne-là, on n'arrive jamais tout à fait au sommet, on apprend simplement à monter un peu plus haut, et un peu plus sûrement chaque année. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie et de mort. C'est bien plus sérieux que ça.
Speaker #1
Oh I woke up today in a very simple way

Embed