HS 25 : Le TPRM avec Gilles FAVIER | La cybersécurité expliquée à ma grand-mère

Description

Cet épisode du podcast reçoit Gilles Favier, spécialiste de la gestion des risques liés aux fournisseurs (Third Party Risk Management). Dans le contexte des nouvelles réglementations comme DORA, la discussion explore les différentes approches d'évaluation de la sécurité des fournisseurs : questionnaires personnalisés versus standards de marché (ISO 27001, SOC 2, PCI DSS).

L'échange aborde la classification des fournisseurs selon trois critères clés (criticité métier, niveau d'adhérence au SI, gestion des données), les limites du déclaratif face aux contrôles techniques tangibles, et l'intérêt des évaluations automatisées (solutions de rating). Gilles Favier plaide pour des questionnaires courts mais pertinents, complétés par des preuves concrètes comme les tests d'intrusion, et évoque le potentiel de l'IA pour optimiser ces processus tout en soulignant la nécessité d'un consensus du marché pour éviter la multiplication des référentiels.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité aux gens qui n'y comprennent rien. Tous les professionnels de la sécurité, depuis maintenant plus d'un an, ont été soumis à diverses réglementations, particulièrement DORA, dans laquelle un point essentiel apparaît sur la gestion des risques des fournisseurs. Alors j'ai cité DORA, mais il y a aussi d'autres réglementations évidemment qui font référence à ce genre de choses. Et aujourd'hui, le risque lié aux fournisseurs, c'est quelque chose d'assez essentiel dans les stratégies de cybersécurité et surtout dans... le fait d'appréhender correctement les risques liés aux fournisseurs. Et ce soir, j'ai l'avantage d'accueillir Gilles Favier, qui est un spécialiste du sujet et qui va pouvoir justement nous éclairer sur ce sujet. Et donc cette émission est justement consacrée à ce qu'on appelle en anglais le sort party management, mais aussi l'évaluation finalement des fournisseurs. Alors Gilles, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, merci Nicolas pour cette invitation. Si je me présente en quelques mots, donc Gilles Favier, moi j'ai commencé en fait en cybersécurité en travaillant pour la société Lexi, qui à l'origine s'appelait le laboratoire d'expertise en sécurité informatique, qui évidemment a quitté son nom et qui a été racheté par Orange dans le milieu des années 2010. C'était un privilège pour moi de travailler pour cette société parce que déjà c'est une des premières entreprises françaises qui faisaient exclusivement de la cybersécurité. Et après quelques années d'expérience chez eux, j'ai monté une première structure qui faisait du conseil en cybersécurité qui s'appelle Anselis. Et ce qui m'a permis ensuite de lancer un projet autour de la gouvernance de cybersécurité et donc de lancer un logiciel et une société qui s'appelle TrustHQ sur la gouvernance de cybersécurité en SaaS. et on a En 2023, on a eu le privilège de rejoindre la société Board of Cyber. Et aujourd'hui, je travaille avec les deux éminents directeurs de cette société, donc Luc Declare, qui est le managing director, et Jean-Baptiste Defard, qui est le CTO. On est spécialisé aujourd'hui sur toute la gestion de la sécurité des fournisseurs au travers des différentes solutions qu'on a. Mais là, l'objectif, c'est de parler plus généralement de la sécurité des fournisseurs pour les entreprises. Et donc de ce TPRM qu'on appelle aussi parfois, on essaye d'instiller le terme TPCRM, donc Third Party Cyber Risk Management, dans le vocabulaire commun.
Speaker #0
Reste sujet, donc effectivement Lexi est une société assez connue, moi dans le monde professionnel j'ai eu affaire à vous, il y a de ça quelques années déjà. Alors voilà, juste pour finir un petit peu l'introduction, on a brièvement parlé un petit peu du contexte, donc le régulateur et puis même si... plutôt du bon sens, c'est un peu mieux connaître finalement le profil de risque des fournisseurs. Et là vient une question assez fondamentale, comment essayer de mesurer le risque d'un fournisseur ? Justement, première question que j'ai envie de te poser, de ton expérience, on aurait tendance à voir un peu deux approches, la liste des questions assez classiques qu'on va envoyer aux fournisseurs et tous les fournisseurs... les personnes qui vont poser ces questions risquent d'avoir des listes un peu différentes, mais peut-être aussi avoir des points communs. Donc ça peut être le premier point. Ou alors essayer d'utiliser un standard. Mais dans ce cas-là, quel est le standard de marché qu'on peut réutiliser ? Donc la première question sur laquelle j'ai bien envie d'avoir ton point de vue, c'est la liste ad hoc faite sur mesure par rapport à l'entreprise et ce qu'on cherche à savoir, ou alors plutôt un standard de marché. et si oui, quelle est-elle ?
Speaker #1
Cette question de comment évaluer le fournisseur, on y travaillait déjà en 2013-2014 quand je travaillais pour SNCF à l'époque. On avait comme objectif avec un de mes collègues de construire un système d'évaluation de la sécurité des fournisseurs. On avait rassemblé les équipes et ça sera important plus tard parce qu'on a mis plusieurs personnes autour d'une table. pour créer un questionnaire de sécurité. Et donc, effectivement, c'est une des méthodes d'évaluation qui est très répandue. Et on avait eu beaucoup de débats à cette époque sur ces questionnaires, qui étaient en fait, qu'est-ce qu'on pose comme question ? Qu'est-ce qu'on demande ? Est-ce qu'on va jusqu'à demander l'ensemble des points de contrôle d'une norme ? À l'époque, l'ISO faisait... Référence, enfin toujours référence, mais elle avait moins de concurrence, donc elle faisait plus facilement référence et elle était disponible aussi assez facilement, elle était comprise et connue de beaucoup de gens. Alors on a ces deux méthodes, après il y a d'autres méthodes qui sont l'évaluation de paramètres techniques qui peuvent se faire via des solutions d'évaluation, mais si on se concentre sur cette partie questionnaire ou standard du marché, Je vais répondre de façon itérative à ta question parce que je suis obligé de jongler entre l'un et l'autre pour donner des explications. Et donc le standard, par exemple, à quoi ça me fait penser, c'est que l'ISO 27001 aujourd'hui, nous quand on en discute dans les groupes de travail qu'on met en place, on sent qu'il y a une réticence quand même de la part des responsables cybersécurité pour dire cette information-là me suffit pour faire confiance à la société. Tant bien même que cette certification soit sur le bon périmètre. parce qu'elle est aujourd'hui très connue, mais elle est un système de management. Elle n'est pas forcément une garantie du niveau de sécurité. Pourtant, quand on est en interne et qu'on se lance dans ce type de certification, on doit quand même balayer l'ensemble des contrôles et on doit avoir une connaissance minimale de ce qu'il faut faire et forcément le mettre en place à un niveau minimal pour être accepté sur la certification.
Speaker #0
Ça, c'est l'éternel débat d'être compliant, du moins conforme et être secure. parce que finalement beaucoup de personnes confondent les deux alors que ce n'est pas forcément le cas et effectivement il y a des sociétés qui avaient une belle certification ISO 27000 et qui malheureusement ont eu quand même de gros problèmes, donc ça arrive effectivement, mais alors donc pour reprendre un petit peu le fil de cette discussion la certification peut avoir une certaine valeur mais encore faut-il que ça corresponde à la vision qu'on cherche à avoir en termes de profit de risque.
Speaker #1
Voilà, donc elle est exactement ... Elle est challengée sur sa légitimité en termes de démonstration d'un niveau de sécurité par l'organisation. Et en même temps, elle démontre quand même une volonté de la part de l'organisation qui la met en place, qu'elle est prête à faire des efforts parce que financièrement, ça va lui coûter du temps, ça va lui coûter de l'argent, du temps aussi justement pour ses équipes, pour le mettre en place. On voit rarement pour une structure du... de quelques centaines de personnes une certification qui pourrait coûter au moins de 30 ou 50 000 euros. Je pense que c'est difficile à envisager, même si on réduit le périmètre. Et donc tout ça, ça montre quand même une volonté de faire un effort. Donc il faut évidemment balancer ces éléments-là entre eux pour se faire une idée. Aujourd'hui, on a même des sociétés, si je vais dans le sens de ce que tu disais, c'est qu'on a des sociétés qui ont été certifiées PCI DSS, qui ont aussi été piratées. Je pense que si on fait les statistiques, je n'ai pas été chercher les chiffres, mais je pense qu'il y en a quand même moins. Alors, il y en a moins qui sont certifiés PCI DSS, mais je pense qu'il y a moins de... Au pro-ratage, j'ai envie de croire qu'il y a moins de sociétés certifiées PCI DSS qui ont été piratées que de sociétés qui sont certifiées ISO 27000. Et ce n'est pas pour me dire du mal de l'ISO 27000. Mais donc, l'intérêt, par contre, c'est que c'est un standard qu'il est compris de tout le monde. et que quand quelqu'un dit je suis certifié ISO SOC 2 type 2 PCI DSS, on sait ce que ça veut dire. et donc on peut faire le choix de je fais confiance ou pas, mais on sait ce que ça veut dire, et donc on peut s'affranchir d'un certain nombre de questions ou de contrôles en se disant ça, ça me donne déjà un très haut niveau d'information sur l'organisation et sur sa structure, son organisation interne en termes de cybersécurité. L'avantage du questionnaire, c'est que je vais l'adapter, je vais créer mon questionnaire de sécurité avec mes contrôles, et donc quelque part, il va me rassurer. Il va me permettre de dire en interne qu'on a fait les contrôles qui étaient spécifiques à notre environnement. Ça, c'est le côté positif, le côté un petit peu négatif. Et ça, c'est quelque chose que j'ai vécu. C'est que chacun vient avec son expertise. Quand on a un groupe, c'est un peu la pléistocratie. C'est que tout le monde a un droit de vote. Et donc, du coup, à la fin, on a quelque chose qui est très complet, mais qui est très difficile. à mettre en œuvre et donc on a une inflation du nombre de questions parce que chacun a son expertise et pose des questions sur la partie gouvernance, la partie accès, la partie réseau, serveur, mise à jour, etc. Et on a une infinité de questions. Qui fut le premier ministre de Charles de Gaulle ? Debré. Son prénom ? Michel. Il me doit manquer un mot dans la question. Premier, premier ministre ? Je suppose. Ah oui, quel était le premier Premier ministre ? Oui, c'est ce que j'ai supposé, mais voilà. J'en ai dit qu'un ! Oui ! J'ai sauté un premier !
Speaker #0
C'est pour ça que... Hop ! Dans quelle rue londonienne habite Sherlock Holmes ?
Speaker #1
Baker Street. Au combien ? 221 B. Sur quelle mer ? Emilien. La mer de la Tranquillité. C'est-à-dire ? Généralement, quand on dit la mer sur la Lune, quand on dit sur quelle mer, ça peut être sur quelle mer on s'est posé. Sinon, on va dans la mer.
Speaker #0
Je continue l'intitulé où je n'ai dit que trois mots.
Speaker #1
Sur quelle mer ? Le module. Quoi ? Ça me va bien. Le défaut des deux, c'est qu'on se base sur énormément d'informations qui sont de l'ordre du déclaratif. On a posé toutes ces questions pour se rassurer que ce soit au travers de la certification ou au travers du questionnaire. On a le sentiment d'avoir un certain degré d'informations sur le niveau de sécurité de l'organisation, mais la quasi-totalité des informations qu'on a collectées sont au niveau du déclaratif. Et on n'aura pas de vérification au-delà. Parce que cette vérification, soit elle coûte cher si on parle de faire un test d'intrusion ou de venir faire un audit en interne, soit la preuve serait difficile à produire pour la personne qui est en face, donc pour le fournisseur. Et donc c'est la limite. C'est qu'on doit faire attention dans ces réflexions, et c'est ce qui avait alimenté nos discussions et même qui en avait animé certaines, c'était de savoir se censurer nous-mêmes. sur les questions qu'on voulait poser, non pas pour se rassurer, mais pour pouvoir mesurer un réel niveau de sécurité chez le fournisseur avec lequel on souhaite travailler.
Speaker #0
D'accord. Alors, cela dit, c'est assez commun quand même de demander, ce qu'on appelle en bon français l'executive summary, donc un petit peu le résumé, la partie autre d'un pen test, pour avoir une idée de là où on en est en termes de... de sécu chez un fournisseur. Généralement, alors là aussi, il n'y a pas de règles, parce que je pense que c'est un petit peu, et tu l'as très bien dit, chacun a un petit peu sa vision de choses qui peuvent être plus importantes que d'autres. Certains ont tendance à grossir le trait sur les parties gouvernance, alors que d'autres sont peut-être beaucoup plus sensibles sur la partie pen-test et technique. J'ai déjà vu des assessments, enfin du moins des... des évaluations qui portaient sur des process type VR&T Management ou Patch Management, qui sont des process assez fondamentaux en matière de cybersécurité. Je peux parfaitement comprendre. Mais chacun, effectivement, il va avec son petit accent, sa petite façon de voir les choses. Mais il y a quand même un peu, j'ai l'impression, des classiques. Typiquement, le rapport de Pentest, c'est quand même un grand classique. On le demande assez souvent. Selon toi, est-ce qu'on peut quand même, dans le cadre d'une évaluation, demander légitimement des documents, type, encore une fois, le Pentes, peut-être des rapports d'audit aussi internes ou pas ? Selon toi, sur quoi on peut jouer ou sur quoi on peut tabler, quand même, un petit peu, pour baser son évaluation ?
Speaker #1
Je suis entièrement d'accord avec ce que tu viens de dire. Et c'est justement ça qui est intéressant, c'est que si on accepte de se censurer sur plein de sujets, hum peut se concentrer sur le fait de poser des questions, donc d'avoir des questionnaires qui sont relativement courts et qui vont apporter une information fiable en termes de sécurité. Et donc c'est vrai que si on a une question, plutôt que d'avoir beaucoup de questions sur les contrôles de sécurité qui se sont mis en place, mais que je ne peux pas mesurer, ou l'existence de procédures etc. qui sont intéressantes, mais voilà, procédure ça veut dire un peu tout et rien. Mais si on me dit, il y a un test d'intrusion et vous avez accès à l'exécutif de summary, en fait, je sais qu'il y a au moins quelqu'un qui a été véritablement challengé le niveau de sécurité, que la procédure existe ou pas, le niveau de sécurité a été vérifié par quelqu'un. Et à mon avis, en tout cas très personnel, ça a plus de valeur qu'un ensemble de questions autour des contrôles de sécurité qu'on va mettre en place. Et je préfère, moi, de loin, quand je conseille un client sur ces évaluations, suggérer cette option que de rajouter cinq questions dans un questionnaire. Et donc ça, c'est un des points. Et en fait, on se rend compte, quand on fait cet effort de chercher les questions qui sont mesurables, qu'on pourrait presque se limiter à... entre 10 et 20 questions, parce que derrière on peut dire, ok, avec ça en fait, j'ai peut-être pas toute la sécurité complète de mon fournisseur, je sais pas exactement tout ce qu'il a mis en place, et je sais pas, peut-être qu'il fait pas de gestion de crise, mais en fait, est-ce que c'est ça mon vrai problème qui est derrière, ça peut aussi se poser comme question, mais je suis au moins certain que les bases de la sécurité qu'on essaye d'inculquer depuis une vingtaine d'années sont en place chez ce fournisseur, et donc... On peut avoir un certain degré de confiance dans les travaux qu'on est en train de mener, si tant est qu'on n'est pas sur du PCI DSS, qu'on n'est pas sur du certifié HDS ou des choses comme ça qui sont des cas particuliers sur lesquels la certification est essentielle.
Speaker #0
D'accord. Pour résumer, on peut avoir une liste de questions intelligemment choisie sur lesquelles on va ajouter peut-être un certain nombre de documents ... plus ou moins attendus, un rapport de dite, un pen test éventuel, etc. Ensuite, j'ai envie de te poser une question un petit peu annexe par rapport à ça. C'est-à-dire que là, on a beaucoup parlé des aspects purement de cybersécurité, mais il y a des aspects un peu annexes liés aux fournisseurs, typiquement sa structure capitalistique, par exemple le profil de risque financier de la société, si elle est surendettée, par exemple.
Speaker #1
Bien ! Et maintenant à nous.
Speaker #0
Dans votre secteur, pas de problème, le jeu a jamais aussi bien marché.
Speaker #1
Que tu dis ?
Speaker #0
Ce qui vous chagrine,
Speaker #1
c'est la comptabilité. Vous êtes des hommes d'action,
Speaker #0
je vous ai compris.
Speaker #1
Et je vous ai arrangé votre coup. T'arranges,
Speaker #0
t'arranges,
Speaker #1
si on n'était pas d'accord.
Speaker #0
Tu veux voir que c'est pas possible ?
Speaker #1
J'ai adopté le système le plus simple. Regarde. On prend les chiffres de l'année dernière,
Speaker #0
et on les reprend. Arrête,
Speaker #1
toi.
Speaker #0
L'année dernière,
Speaker #1
on a battu des records. Eh ben,
Speaker #0
vous les égalerez cette année. Vous allez l'avoir en pleine forme, là. Gai, entreprenant,
Speaker #1
dynamique.
Speaker #0
Et en plus, il nous charrie, c'est complet.
Speaker #1
Pascal. Oui, monsieur Fernand.
Speaker #0
Tu passeras l'encaissement chez ces messieurs sous huitaines. C'est ça, mais si on ne paye pas, tu nous butes.
Speaker #1
Merci, un avouer.
Speaker #0
Bien. Messieurs, il ne me reste plus qu'à vous remercier de votre attention. Il peut y avoir aussi des questions liées à des aspects plutôt de stratégie, donc plutôt liées à la concentration. Donc ça, c'est quelque chose qui revient souvent avec des réglementations type DORA, puisque les régulateurs essaient de détecter les concentrations au niveau des fournisseurs, qui représentent un risque aussi. Et puis d'autres aspects peut-être un peu plus géopolitiques, typiquement quand on parle de souveraineté. puisque ça, c'est toujours quelque chose d'assez important quand même, qui devient de plus en plus important dans le monde dans lequel on vit. Alors justement, parce que là, on a pas mal, entre guillemets, dressé la liste des points importants en matière de cyber, mais sur les autres aspects un petit peu annexes, est-ce que c'est quelque chose que tu intègres aussi naturellement, ou quelle est ta vision des choses ? Est-ce que tu penses que ce sont des sujets totalement dissociés, finalement, sur lesquels ça pourrait être très bien traité de manière différente, ou alors ça peut faire partie du même... L'autre question.
Speaker #1
C'est une très bonne question. En fait, je suis tenté de répondre, si je réponds vite, je suis tenté de dire à chacun son métier, entre guillemets. Là, je l'ai dit très, très vite. Mais qu'en gros, au niveau de la cybersécurité, on ne pourra pas être expert sur les autres sujets. Détecter la concentration, c'est un peu ce que essaye de faire, je pense, Dora. avec la liste des fournisseurs que tout le monde doit fournir,
Speaker #0
avec les différents rentes fournisseurs et toutes les informations.
Speaker #1
Et donc se substituer à ça, ça serait élégant, ça serait très intéressant d'avoir cette information, mais au final, on risque de faire un doublon avec une autre opération. Et si je reviens sur... Alors, ce n'est pas que ces informations ne sont pas intéressantes pour évaluer une société, ce n'est pas ce que je dis. Mais ce que je dis au niveau cyber, c'est que le... Les questionnaires de sécurité que nous, on envoie ou qu'on reçoit, on constate souvent que les... Alors, surtout ceux qu'on reçoit parce que nous, on l'applique aux autres. Mais ce qu'on constate, c'est qu'on reçoit souvent deux, trois questionnaires. On reçoit le questionnaire de sécurité, le questionnaire sur la partie protection des données personnelles. Et en fait, on a les mêmes questions. On se retrouve avec les mêmes questions. Et après, dans le contrat, on nous refait signer des clauses qui sont des choses qui ont déjà été posées dans le questionnaire de sécurité. Alors là, on s'est bien rassurés pour ceux qui ont envoyé tout ça. Ils sont sereins sur la certitude qu'ils peuvent avoir. Mais ça pose un problème, c'est qu'en fait, on perd du temps. Eux, ils perdent du temps éventuellement à évaluer. Et donc, si on se met à déborder sur ces sujets qui sont loin d'être inintéressants, mais ceux de concentration, etc., en fait, on risque de faire le job que quelqu'un d'autre est en train de faire à côté de nous. Et on a déjà, en fait, ce que tu disais au tout début, c'est qu'on a cette masse. de questionnaire, une société qui travaille avec 50 fournisseurs, si elle envoie ses 50 questionnaires, même si elle n'en envoie que 20, au final, ces 20 fournisseurs sont sûrement les plus importants et ils sont fournisseurs d'autres sociétés dans d'autres secteurs et ils vont se retrouver avec des centaines de fournisseurs. C'est vrai que c'est le problème que tu décrivais au départ et on fait exactement face à ça. Et donc, si on démultiplie les questions et les thématiques qu'on va contrôler dans un seul questionnaire, en tout cas, déjà, on va au-delà de notre mission, d'une part, et on traite un sujet sur lequel on n'est pas vraiment compétent, à mon avis. Et j'ai envie de rester modeste sur cet aspect, contrôlons ce qu'on sait contrôler et ce qu'on sait mesurer.
Speaker #0
Oui, tout à fait. Donc, pour résumer, chacun son job, ce n'est pas plus mal comme ça. Très bien. Écoute, sur l'aspect, en tout cas, déjà questionnaire, on a compris que c'était quand même quelque chose assez complexe à mettre en œuvre parce qu'il faut pouvoir poser les bonnes questions, ni trop, ni trop peu. Donc poser trois fois la même question, ça peut rassurer, mais ce n'est pas forcément utile ou du moins très probant d'un point de vue, on va dire, efficacité. Donc ce n'est pas forcément quelque chose de facilité. Maintenant, la question est de savoir comment on intègre ce profil de risque dans l'écosystème de l'entreprise. Parce que ce n'est pas le tout d'avoir défini qu'un fournisseur était dangereux ou pas, s'il avait un bon profil de risque ou pas. il y a des questions un petit peu, on va dire, de distance et de proximité par rapport au fournisseur. Ce que j'y reparlais, c'est qu'un fournisseur qui aurait par exemple un accès direct au système d'information ne doit pas être considéré de la même manière qu'un fournisseur un petit peu plus lointain qui a une interaction beaucoup moins forte finalement avec l'entreprise. Donc cette distance doit être prise en compte d'une certaine manière. et selon toi justement comment on peut essayer de d'intégrer cet aspect-là ? Comment on peut essayer de pondérer correctement le poids du fournisseur ? Alors, on pourrait citer les biocérèmes, puisque dans les biocérèmes, il y a une partie, justement, qui concerne, enfin, qui adresse cet aspect, le fait de pouvoir essayer de mieux calibrer le poids des fournisseurs. Mais est-ce que toi, de ton expérience, tu as un conseil ou quelle est ta vision par rapport à ça ?
Speaker #1
Oui, on a... On y travaille actuellement, ce sera publié sur notre site web dans pas longtemps, sur justement donner les guidelines pour classer les fournisseurs. Et donc, un des critères qu'on a identifié, c'est celui que tu as cité tout à l'heure, c'est quelle est mon adhérence avec ce fournisseur ? Est-ce que nos SI sont interconnectés ou pas ? Est-ce qu'ils nous font de la TMA ou des choses comme ça ? Donc ça, c'est particulièrement important. Et donc, c'est d'avoir... trois critères en fait sur comment est-ce que je vais classer ce fournisseur en termes de, en bon français comme tu as dit tout à l'heure, en termes de tiering, est-ce que c'est un tiers essentiel pour mon activité ? Donc en gros, est-ce qu'il joue sur ou est-ce qu'il interagit avec un des processus cœur de métier de mon organisation ? Donc si tout est basé sur ma vente en ligne, forcément mon hébergeur, mes systèmes de... de firewall, de DDoS, etc. sont extrêmement critiques pour moi. Donc un deuxième, c'est pas dans l'ordre, mais un deuxième, évidemment, c'est le degré d'adhérence. Et un troisième pourrait être la gestion des données. Quelles sont les données qui sont traitées dans les opérations ? Parce que là, on fait plutôt appel à de la perte financière, mais liée à des pénalités ou à une réglementation qui viendrait s'appliquer à nous. On voudrait essayer de... d'éviter de se retrouver au tribunal pour des sujets comme ça, ou d'avoir des contrôles inopinés qui rajoutent de la charge de travail. Et donc ça, c'est trois critères qui sont simples à comprendre, et un métier peut tout à fait rentrer dans le jeu là-dessus. Et ensuite, on peut les pondérer, si on veut aller un peu plus loin, et avoir une réflexion, ou en tout cas une classification un peu plus sophistiquée, on peut se dire, ok, le critère cœur de métier, enfin, lien direct avec un cœur de métier, Si c'est oui, ça vaut plus tout court que la question de la gestion des données, par exemple. C'est un exemple, mais ça dépend un peu du business de chaque entreprise qui peut créer ces critères. L'erreur, à mon avis, vu que tu me demandes mon expertise, ça serait de démultiplier ces critères. Déjà 3, je trouve que nous, à mon sens, c'est déjà beaucoup. Mais si on augmente le nombre de critères, et ça, c'est très rigolo parce qu'il y a beaucoup d'études là-dessus, si on augmente le nombre de critères, on ne va pas améliorer la précision de cette évaluation. Donc il vaut mieux moins, mais bien, et pas forcément mieux, mais moins, mais bien, que plus, mais par contre, ça c'est sûr, c'est moins bien. Parce qu'on perd plus de temps, parce qu'on met plus de temps à les expliciter, etc. on perd le message des personnes qu'on a en face de nous. C'est un peu, si je refais l'analogie, désolé, je refais le point avec les questionnaires, parce que c'est vraiment un sujet qu'on traite beaucoup, mais le questionnaire ou l'ensemble des questions du questionnaire sont un moyen d'exister. Pour celui qui les rédige, c'est une chose, pour l'évaluateur qui va ensuite mesurer les questions, pour le reporting qui sera fait à l'étage d'au-dessus, donc en fait, c'est une source de revenus, ce système de questionnaire ou de certification. mais donc Tout ça, c'est à prendre en compte. Et ce à quoi il faut faire attention, ce que je dis à l'instant, c'est ne pas perdre le sens de pourquoi est-ce que je fais cette mesure. Est-ce que je fais cette mesure de tiering de mes fournisseurs, non pas pour classer 10 fournisseurs. Quand je le fais, c'est qu'en fait, j'en ai 100, j'en ai des centaines à classer. Et en fait, j'ai besoin d'un système de tir grosse maille, mais précis. C'est-à-dire que ceux qui sont dans la cible important, c'est plutôt des gens où je vais dire, finalement, celui-là, il n'est pas si important que ça. que ceux qui sont dans les pas importants et mon système d'évaluation en aurait fait ou lié un ou deux.
Speaker #0
Ça reprend finalement un petit peu aussi la réglementation d'euro, dont tu en as déjà parlé, puisqu'on doit avoir les fonctions critiques et importantes de l'entreprise, et forcément les fournisseurs qui interviennent dans ces fonctions critiques et importantes, et par conséquent, ils ont forcément une teinte particulière puisqu'on va les observer, on va regarder leur profil de risque de manière plus attentive que d'autres fournisseurs qui ne vont pas forcément avoir un profil, enfin qui ne vont pas intervenir directement. sur des fonctions critiques importantes de l'entité.
Speaker #1
Oui, tout à fait, parce que même dans les piliers de Dora, c'est d'avoir identifié les fonctions critiques et ensuite les dépendances de ces fonctions critiques. Et donc, dans certains cas, ça sera des fournisseurs. Donc, je suis entièrement d'accord avec toi.
Speaker #0
OK. Alors, juste pour reprendre un petit peu ce que tu venais de dire sur le questionnaire, donc si on résume un petit peu, l'idée, c'est de minimiser le nombre de questions, mais de maximiser finalement le... l'échelle d'évaluation, enfin pas l'échelle, ce n'est pas le terme exact, mais plutôt la quantité de données ou élargir au maximum le spectre de la perception du risque, pour faire simple, entre guillemets. Mais au-delà de ça, quels sont les avantages et les inconvénients entre une approche, on va dire, vraiment home-made, c'est-à-dire je veux faire mon propre assessment. par rapport à un fournisseur XYZ, quitte même d'ailleurs en me basant justement sur le fameux tiering dont tu as parlé, en faisant des questionnaires un peu plus complexes pour des prestataires peut-être critiques et un peu moins complexes pour d'autres, par rapport à quelque chose qui serait un peu plus standardisé, délégué à une société extérieure, sachant que forcément une société extérieure va mécaniquement vouloir standardiser un petit peu son approche. quelle est aussi un peu la limite de responsabilité et ce que je veux dire par là c'est que in fine on peut tout déléguer sauf sa responsabilité ce qui veut dire que si on fait appel à une société extérieure il ne faut pas déléguer sa responsabilité donc in fine c'est toujours l'entité qui est responsable de faire l'évaluation finale comment garantir justement ce qui est délégué jusqu'à quelle limite donc voilà, selon toi d'un point de vue opérationnel comment ça peut se faire ? quelles sont les limites de l'exercice aussi, est-ce qu'une société peut gérer tous les types de profils ou pas ? Enfin voilà, c'est un peu ma question.
Speaker #1
Donc il y a plusieurs choses dans la question, et donc le côté homemade, c'est quelque chose d'intéressant parce que, de mon point de vue, si on a réduit le niveau de question et si on a fait cet effort, Du coup, ça devient hyper intéressant de faire ça parce que je vais gagner du temps. Je vais faire quelque chose d'assez efficace. Je ne vais pas avoir recours à des prestations qui peuvent coûter cher. Et je vais avoir la maîtrise sur mon processus. Donc ça, c'est intéressant. Et si j'élargis ce côté « home made » , c'est qu'en faisant le lien avec ce qu'on disait juste avant, cette situation où j'ai des centaines de fournisseurs, Personne globalement peut évaluer tout le monde, donc je suis obligé de faire des critères et de dire métier 1 je vais avoir ce type d'évaluation.
Speaker #0
Ce n'est pas forcément un questionnaire plus long, ça peut être, mais ce n'est pas la seule option. Et métier 3, je vais avoir tel autre type d'évaluation. Mais je peux aussi me dire, métier 2 par exemple, si j'arrive à savoir qu'ils ont une certification, je vais prendre ça pour argent comptant et je ne vais pas forcément consommer beaucoup de ressources à vérifier quel est exactement le périmètre de la certification, etc. Parce que le fait qu'ils aient une certification, par exemple, me dit suffisamment d'informations par rapport au degré d'interaction que j'ai avec eux. qu'il y a des gens chez eux qui doivent gérer une partie de la sécurité et comme je ne pourrais pas contrôler 300 sociétés ou 500 sociétés tout seul, on parle du homemade en termes de sécurité, je vais prendre des heuristiques et je vais les exploiter au maximum. L'avantage du homemade, c'est un petit peu ce que je viens de dire et je vais tayloriser ma méthodologie. la délégation à une société externe. Alors il se trouve que nous, on doit le faire aujourd'hui. On a des sociétés qui viennent nous solliciter, qui nous disent voilà, moi je voudrais déléguer l'ensemble. Et ils ont eux-mêmes défini leurs critères. Donc on s'adapte en fait à leurs critères. L'intérêt, ça va être en partie, ça va être la mutualisation. Ça veut dire que la société externe à laquelle je fais confiance a déjà évalué un fournisseur ou le connaît en tout cas, a déjà une relation avec ce fournisseur dans le cadre d'autres contrats. Et donc... soit je m'appuie sur les informations qui ont déjà été renseignées, et ça peut être un critère de décision de dire que ça a déjà été évalué correctement par une autre société, dans le cadre d'un contrat avec une autre société, donc je ne viens pas doublonner l'information. Là, tout le monde est gagnant, et surtout l'évalué d'ailleurs, parce que lui, il a moins de travail à faire. Et en fait, c'est un peu un objectif que les sociétés... comme la nôtre, on n'est pas les seuls, on se pose et on se positionne en fait comme acteur central, on centralise l'information des différents fournisseurs et on sort de tamponne les différents fournisseurs. La difficulté à laquelle ça fait face, c'est que tout le monde n'a pas la même façon d'évaluer, tout le monde n'a pas les mêmes critères, etc. Aujourd'hui, il n'y a pas un consensus du marché pour dire, pour évaluer un fournisseur, voilà les critères. Plusieurs organisations... ont essayé de poser ces critères. Il y a même les systèmes, le CAIQ qui propose des choses, le CSA qui propose des choses. Mais c'est sur la partie cloud uniquement. Ça a ses bénéfices et ses limites. Et encore faut-il jouer le jeu du CSA. Et là, pour le coup, c'est aussi un peu un business parce que l'autodéclaratif est gratuit. D'ailleurs, c'est ce qui est prévu dans certains pays. L'autodéclaratif est gratuit et si on veut se faire contrôler, il faut payer. Donc, il peut y avoir aussi la sensation du côté du fournisseur de se faire un peu raqueter si son évaluation est payante et je peux comprendre cette émotion. Mais le fait de déléguer, par contre, si je fais le lien avec ce que je disais tout à l'heure, c'est un peu chacun sa spécialité. Si on n'a pas les ressources en interne pour le faire, c'est une bonne façon de déléguer un problème et de définir un cadre contractuel pour cette évaluation. Et dans ce cadre contractuel, ce qu'on va trouver, ce qui est intéressant, c'est qu'on va trouver des critères d'évaluation du fournisseur. C'est-à-dire qu'on peut se mettre d'accord sur un questionnaire où on peut dire, je prends le questionnaire que vous me donnez en tant qu'expert sur le sujet, mais je vais vouloir avoir des garanties, par exemple, sur la qualité de l'évaluation. Alors, difficile de mettre ça dans un contrat, la qualité de l'évaluation. mais ce qu'on peut mettre dans un contrat, c'est des critères de sorte de SLA sur le nombre d'allers-retours qu'on s'autorise avec le client final pour lui dire ce fournisseur a été évalué, voilà son évaluation, etc. Le client final peut dire qu'il faut qu'il y ait un certain niveau de qualité, donc il ne faut pas qu'on ait tout le temps des allers-retours à faire sur ce que vous nous rendez en termes d'évaluation. C'est un des points. Je dis qu'il y avait beaucoup de choses dans ta question, parce que du coup, je déborde assez loin. Donc il y a ce point là, il y a avec un fournisseur, une société qui ferait cette concentration d'informations sur les différents fournisseurs, il y a les temps de réponse, le temps d'évaluation, combien de temps je mets à évaluer un fournisseur, il peut y avoir la qualification des personnes qui sont en charge des évaluations, il peut y avoir la localisation, est-ce qu'on veut que ça soit, déjà est-ce que mes fournisseurs à moi sont partout dans le monde, est-ce qu'ils sont plutôt en France et du coup je préfère une évaluation en France, il y a ce genre de critères ou en Europe, ce genre de critères qui peut rentrer en compte. Je t'ai donné pas mal d'exemples sur ce qu'on peut faire, en tout cas on peut encadrer. cette prestation d'évaluation, on peut l'incliner de façon intelligente pour que tout le monde connaisse à la fois l'évaluateur et le client de cet évaluateur, les critères de mesure de la qualité de la prestation pendant les 1 à 3 ans ou 5 ans pendant lesquels va se dérouler cette opération. Donc ça, à mon sens, c'est possible. Et je pense que quelque part, les entreprises, celles qui ont plusieurs centaines de fournisseurs, ont quelque chose à gagner à faire ça. et peut-être que d'ici quelques années, on verra émerger soit un leader, soit un consensus. C'est aussi ça qu'on a envie d'espérer. Ce qui serait dommage, c'est que ça génère une inflation de typologie, de règles et de questionnaires et que demain, puisqu'on a déjà Nice 2 et Dora, et que demain, on trouve encore, et le CERA, et que demain, on génère encore des nouvelles normes sur la partie évaluation des fournisseurs. De mon point de vue, on en a déjà beaucoup. Et donc, on a large de quoi faire avec ça, plus l'existence de l'ISO, des 42 rédigènes de l'ANSI, le NIST, etc. On sait tous ce qu'il faut mesurer. J'espère qu'on va tourner vers un consensus des points d'évaluation critiques, en tout cas pour les fournisseurs, et que le reste sera d'une histoire.
Speaker #1
Alors, au-delà des questionnaires dont on a parlé, au tout début de cette émission, de cet épisode, on parlait aussi des certifications. Les certifications, comme on le disait, c'est bien parce que ça montre un certain niveau de maturité, en tout cas un certain niveau d'engagement. Malheureusement, quand on fait des évaluations, c'est souvent quelque chose de déclaratif. Et malheureusement, dans certains cas, on peut avoir des cas un petit peu compliqués où la déclaration n'est peut-être pas tout à fait conforme à la réalité. Alors, est-ce que toi, dans ton expérience, tu as eu déjà des cas de ce type-là ou des exemples à fournir ? pour illustrer un petit peu ce problème de l'effet déclaratif de ces questionnaires.
Speaker #0
Oui, tout à fait. Je vais sortir du cadre de la cyber pour répondre à la question. C'est le cas assez emblématique de Volkswagen. Ce n'est pas pour les pointer du doigt, ils n'ont pas eu de chance s'ils ont été dans les médias, mais en gros, ils étaient certifiés 29001 et 14001 et ils ont quand même trafiqué leur système de moteur. Et ce n'est pas les seuls à avoir fait ça. Et donc ça, c'est la limite. de certaines des certifications et encore plus des systèmes qui sont purement déclaratifs. C'est qu'on va avoir des cas, alors ça peut être parfois des erreurs, ça peut être parfois intentionnel, c'est pas là que je veux juger, mais c'est juste que l'information collectée, elle a sa limité, d'où l'importance d'avoir une preuve qui a une certaine valeur, même si on sait qu'il y a des cas encore plus rares de sociétés qui frottent sur les preuves. C'est la limite, en fait, des systèmes déclaratifs. Et donc, ce qui est très intéressant, et si on parle de l'avenir, il y a un des points, c'est d'avoir des contrôles qui sont tangibles et qui sont révélateurs d'un certain degré de sécurité. Et la partie test d'intrusion, c'est vraiment la plus intéressante parce que c'est la plus poussée, c'est celle qui va contrôler le... la mise en œuvre effective dans un système. Alors, il peut y avoir des zones d'ombre qu'on ne pourra pas contrôler parce que si on n'a que 3-4 jours pour faire un test d'intrusion, on ne voit pas tout. Mais en tout cas, on a contrôlé un certain nombre de portes qui déjà sont les principales qui vont être recherchées par des attaquants et on aura été un peu les challenger pour détecter un peu plus loin que la porte d'entrée. Les solutions de rating, Elles ont un intérêt, c'est-à-dire qu'elles ont une limite, c'est qu'elles vont voir que la surface externe. Par contre, elles ont un intérêt, c'est qu'elles sont factuelles et qu'elles montrent un degré de prise en compte sur un périmètre. Et ce n'est pas pour les mettre trop en avant, mais elles font vraiment office de... C'est vraiment très différent du système de questionnaire parce que là, on est vraiment sur du mesurable et en fait, la discussion n'est plus sur... On ne peut pas discuter de la mesure, on ne peut pas... orienter l'évaluation parce qu'on a une appétence sur le contrôle d'accès, on va en oublier la partie cloud ou la partie réseau ou des choses comme ça. C'est vrai qu'il n'y a pas de normes ou de listes exhaustives des contrôles qu'on devrait faire mais la liste des contrôles des systèmes de rating est relativement connue parce que c'est des paramètres d'application et des paramètres de système qu'il faut aller vérifier et l'intérêt c'est qu'on a un consensus. à cet endroit-là, sur ces évaluations, sur le fait qu'elles ont une limite, ça, il n'y a pas de problème, mais elles vérifient quelque chose de factuel dans le monde réel, en fait. Pour reprendre Gérald Brunner qui lui-même cite Lacan, ça nous met face à la réalité et en fait, on se cogne contre cette réalité qui est qu'il y a des choses qui nous appartiennent et qui sont mal configurées ou qui sont mal gérées en termes de cybersécurité.
Speaker #1
D'accord. Tu fais référence par exemple à des contrôles CIS qu'on pourrait avoir, c'est très courant dans le cloud, puisque sans faire de publicité, mais Azure par exemple. Il y a tout un ensemble de paramètres, le framework CIS est quasiment out of the box, donc on peut l'activer facilement et récupérer tout un ensemble de déviances au niveau des configurations et de piloter un petit peu sa conformité. En réalité, ce que tu soulignes ici, c'est que la conformité interne et technique, donc pas du déclaratif, mais vraiment la liste des contrôles des paramètres, tout ce qui est renforcement, etc., ça peut être un élément pris en compte dans l'évaluation.
Speaker #0
Oui, en fait, dans les idées tout à l'heure qu'on évoquait, il y a cette notion de, je parlais d'avoir un consensus sur le questionnaire, ce qui serait intéressant, mais qu'aujourd'hui, on n'est pas tous matures pour le faire et je peux très bien comprendre pourquoi. Mais si on avait un système de contrôle automatisé interne de notre niveau de sécurité et qu'on avait le courage de l'afficher en externe, ça vaudrait beaucoup plus en termes d'évaluation et en termes de degré de confiance qu'un questionnaire. Je pense que ça serait beaucoup plus pertinent. Mais on n'a pas cette maturité, malheureusement. Mais ça serait d'une très grande valeur.
Speaker #1
Alors, effectivement, je pense que ça va poser quelques problèmes en matière de transparence. Je comprends bien le concept, mais il risque d'y avoir un petit effet. À mon avis, ceux qui ont les meilleures notes vont les afficher en grand et pas forcément les autres. Donc, effectivement.
Speaker #0
Oui, et puis certains n'ont pas les moyens, la maturité. Moi, j'ai eu le privilège de monter une startup avec Guillaume Garez, que je cite, mais les jours où on commence, notre sécurité est peut-être très bien, mais elle ne bénéficie pas de tous les outils du marché qu'on pourrait s'acheter. Donc, c'est une sécurité qui est très bien, mais qui est un peu faite à la main. Elle n'est pas moins bien pour autant.
Speaker #1
C'est ça. Ensuite, il faut quand même pondérer un peu cet aspect-là, qui est que tout le monde le sait, mais la sécurité, c'est quand même quelque chose qui évolue avec le temps, qu'on peut être très bon à un instant T, mais si on a un processus de vulnerability management qui est catastrophique et qu'on se retrouve avec un lock for J qu'on ne gère pas correctement, ça va poser aussi un sacré problème. Idem aussi pour toutes les personnes qui font des releases, quasiment qu'il peut y avoir aussi quelques surprises. Donc je comprends ton point, mais c'est à pondérer par rapport à la vraie vie d'un système d'information et des contraintes. Et puis aussi, la force de la sécu, c'est dans la robustesse de ses processus. Et ça, ce n'est pas forcément quelque chose qui est facile à rendre tangible dans les réponses à fournir dans le cadre des analyses. Et alors là, on a parlé de tous les contrôles. et comment évidencer finalement ces contrôles et l'efficacité de ces contrôles. Et maintenant, via la question que tout le monde attend, c'est le mot buzz à la mode, et l'IA dans tout ça ?
Speaker #0
Et l'IA dans tout ça. Alors, je pense qu'on est... Je suis content que tu poses la question, et je pense qu'on est dans ce cas-là, on est au-delà du buzz, dans le sens que nous, on a travaillé dessus, et c'est hyper intéressant les résultats qu'on arrive à obtenir. Et on... et on n'est pas les seuls, il y a des organisations qui mettent ça en place en interne. Il y avait déjà, en fait, il y a quelques années, je discutais avec DRSSI, et ils nous disaient qu'en fait, pour répondre à toutes ces questions de sécurité, ils avaient une sorte de base de données, avec toutes les réponses qu'ils avaient un jour formulées, triées par catégories, etc., et ça les aidait à répondre. Donc l'étape entre ça et demander à une IA de faire le match entre la réponse que j'ai déjà écrite et puis la nouvelle question que je viens de recevoir, le travail est assez limité. surtout dans les versions payantes de certains systèmes d'IA, on peut carrément lui donner les deux fichiers, lui demander de faire le match et sortir le résultat. Donc le résultat qu'on peut obtenir est hyper intéressant. Là où ça peut être utilisé, c'est dans les deux sens, c'est-à-dire que je peux aider un fournisseur à répondre à un questionnaire et donc lui alléger la tâche à partir du moment où il a déjà rédigé des documents de sécurité en interne. un plan d'assurance sécurité, où il a déjà répondu éventuellement à plusieurs questionnaires de sécurité, on doit pouvoir utiliser l'ensemble de ces informations pour pré-remplir le questionnaire avant qu'il puisse faire une relecture plus légère et plus rapide pour lui, donc lui alléger la tâche. Et pour l'auditeur, faire une pré-évaluation des réponses. sortir les points d'attention éventuellement s'il y en a dans le document. Les deux aujourd'hui ne s'affranchissent pas d'une validation humaine, mais permettent en tout cas de gagner du temps dans la démarche. Si je refais lien avec la question tout à l'heure où tu me demandais est-ce que c'est plutôt du homemade ou de la délégation ? Le homemade est possible, mais la scalabilité devient plus compliquée. C'est là où la délégation vers des logiciels et des sociétés devient intéressant parce que c'est leur cœur de métier d'avoir ces systèmes qui vont s'adapter et s'améliorer avec le temps. Mais on va gagner du temps. Le risque, c'est qu'une IA, ça parle beaucoup. Et ce qu'on détecte, c'est que les IA, quand elles répondent à la question, peuvent se mettre à répondre à beaucoup de choses qui sont justes. Je ne parle pas d'hallucinations, etc. Je parle juste d'être un peu verbeux sur la discussion si on ne leur a pas demandé de... peut-être relativement concis, et du coup, si on n'a pas quelque chose en face pour vérifier, ça peut être fastidieux de faire le contrôle. Même avec une autre IA, ça peut rendre le contrôle un peu compliqué. Donc il y a un enjeu à cet endroit-là, de comment est-ce qu'on résout cette problématique de j'automatise la réponse, et en fait, une IA qui fait une réponse de d'Ili, moi ça ne me coûte pas plus de temps, mais par contre, en tant qu'évaluateur, ça peut être vraiment un problème si on se retrouve avec ça en face de nous. C'est à la fois le... le bénéfice qu'on est certain d'atteindre et puis un petit peu la limite à laquelle il faut faire attention, enfin une des limites à laquelle il faut faire attention sur ce sujet.
Speaker #1
Comme toujours en cybersécurité, c'est rare de gagner sur tous les tableaux. Il y a toujours un peu de l'équilibre à obtenir entre plusieurs facteurs. C'est malheureusement toujours une règle quasi immulable. Le mot de la fin, Gilles, pour conclure ?
Speaker #0
Oui, merci. Déjà pour cette interview podcast, cet échange sur le sujet, on a devant nous, ce qui moi me semble important, c'est dans les points qu'on a devant nous et qu'on a évoqués, c'est que j'aimerais beaucoup qu'on arrive à un système de consensus sur ces évaluations de sécurité, qu'on prenne en compte, et je me souviens de mes discussions d'il y a plus de dix ans maintenant, sur comment faire pour poser des questions qui ont été une certaine pertinence du point de vue du niveau de sécurité que je vais aller mesurer ou que je vais récolter grâce à ma question. C'est vraiment un des points critiques parce que c'est là où tout le monde perd du temps, on génère de la frustration et on a généré dans les questionnaires l'illusion d'avoir tout vérifié, alors qu'on a plutôt généré de la frustration et une charge de travail assez colossale pour les organisations. Mon intime conviction, que j'ai un peu évoquée tout à l'heure, c'est que la mesure opérationnelle d'un niveau de sécurité doit faire partie d'une évaluation pour des fournisseurs critiques ou importants pour avoir un élément tangible et que le questionnaire doit venir, en fait c'est le questionnaire qui doit venir en complément de cette évaluation technique parce qu'il me permet éventuellement de challenger ce que j'ai été mesuré de façon technique.
Speaker #1
Je crois que c'était le mot de la fin. Gilles, un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. J'espère que ça a éclairé pas mal d'auditeurs. En tout cas, c'est un sujet assez important en ce moment. Je sais que beaucoup de responsables de la cybersécurité travaillent sur le sujet parce que c'est quelque chose qui est très consommateur de temps et sur lequel on doit être aussi extrêmement vigilant parce que ça fait partie de notre métier aussi. de prévoir et d'évaluer ce type de risque. Donc c'est un vrai sujet d'actualité et j'espère que tu as éclairé certains des éditeurs de ce podcast. Voilà, encore merci Gilles.
Speaker #0
Merci à toi Nicolas.
Speaker #1
De rien. Et comme je le dis souvent, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus ça que ça. Musique

Description

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité aux gens qui n'y comprennent rien. Tous les professionnels de la sécurité, depuis maintenant plus d'un an, ont été soumis à diverses réglementations, particulièrement DORA, dans laquelle un point essentiel apparaît sur la gestion des risques des fournisseurs. Alors j'ai cité DORA, mais il y a aussi d'autres réglementations évidemment qui font référence à ce genre de choses. Et aujourd'hui, le risque lié aux fournisseurs, c'est quelque chose d'assez essentiel dans les stratégies de cybersécurité et surtout dans... le fait d'appréhender correctement les risques liés aux fournisseurs. Et ce soir, j'ai l'avantage d'accueillir Gilles Favier, qui est un spécialiste du sujet et qui va pouvoir justement nous éclairer sur ce sujet. Et donc cette émission est justement consacrée à ce qu'on appelle en anglais le sort party management, mais aussi l'évaluation finalement des fournisseurs. Alors Gilles, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, merci Nicolas pour cette invitation. Si je me présente en quelques mots, donc Gilles Favier, moi j'ai commencé en fait en cybersécurité en travaillant pour la société Lexi, qui à l'origine s'appelait le laboratoire d'expertise en sécurité informatique, qui évidemment a quitté son nom et qui a été racheté par Orange dans le milieu des années 2010. C'était un privilège pour moi de travailler pour cette société parce que déjà c'est une des premières entreprises françaises qui faisaient exclusivement de la cybersécurité. Et après quelques années d'expérience chez eux, j'ai monté une première structure qui faisait du conseil en cybersécurité qui s'appelle Anselis. Et ce qui m'a permis ensuite de lancer un projet autour de la gouvernance de cybersécurité et donc de lancer un logiciel et une société qui s'appelle TrustHQ sur la gouvernance de cybersécurité en SaaS. et on a En 2023, on a eu le privilège de rejoindre la société Board of Cyber. Et aujourd'hui, je travaille avec les deux éminents directeurs de cette société, donc Luc Declare, qui est le managing director, et Jean-Baptiste Defard, qui est le CTO. On est spécialisé aujourd'hui sur toute la gestion de la sécurité des fournisseurs au travers des différentes solutions qu'on a. Mais là, l'objectif, c'est de parler plus généralement de la sécurité des fournisseurs pour les entreprises. Et donc de ce TPRM qu'on appelle aussi parfois, on essaye d'instiller le terme TPCRM, donc Third Party Cyber Risk Management, dans le vocabulaire commun.
Speaker #0
Reste sujet, donc effectivement Lexi est une société assez connue, moi dans le monde professionnel j'ai eu affaire à vous, il y a de ça quelques années déjà. Alors voilà, juste pour finir un petit peu l'introduction, on a brièvement parlé un petit peu du contexte, donc le régulateur et puis même si... plutôt du bon sens, c'est un peu mieux connaître finalement le profil de risque des fournisseurs. Et là vient une question assez fondamentale, comment essayer de mesurer le risque d'un fournisseur ? Justement, première question que j'ai envie de te poser, de ton expérience, on aurait tendance à voir un peu deux approches, la liste des questions assez classiques qu'on va envoyer aux fournisseurs et tous les fournisseurs... les personnes qui vont poser ces questions risquent d'avoir des listes un peu différentes, mais peut-être aussi avoir des points communs. Donc ça peut être le premier point. Ou alors essayer d'utiliser un standard. Mais dans ce cas-là, quel est le standard de marché qu'on peut réutiliser ? Donc la première question sur laquelle j'ai bien envie d'avoir ton point de vue, c'est la liste ad hoc faite sur mesure par rapport à l'entreprise et ce qu'on cherche à savoir, ou alors plutôt un standard de marché. et si oui, quelle est-elle ?
Speaker #1
Cette question de comment évaluer le fournisseur, on y travaillait déjà en 2013-2014 quand je travaillais pour SNCF à l'époque. On avait comme objectif avec un de mes collègues de construire un système d'évaluation de la sécurité des fournisseurs. On avait rassemblé les équipes et ça sera important plus tard parce qu'on a mis plusieurs personnes autour d'une table. pour créer un questionnaire de sécurité. Et donc, effectivement, c'est une des méthodes d'évaluation qui est très répandue. Et on avait eu beaucoup de débats à cette époque sur ces questionnaires, qui étaient en fait, qu'est-ce qu'on pose comme question ? Qu'est-ce qu'on demande ? Est-ce qu'on va jusqu'à demander l'ensemble des points de contrôle d'une norme ? À l'époque, l'ISO faisait... Référence, enfin toujours référence, mais elle avait moins de concurrence, donc elle faisait plus facilement référence et elle était disponible aussi assez facilement, elle était comprise et connue de beaucoup de gens. Alors on a ces deux méthodes, après il y a d'autres méthodes qui sont l'évaluation de paramètres techniques qui peuvent se faire via des solutions d'évaluation, mais si on se concentre sur cette partie questionnaire ou standard du marché, Je vais répondre de façon itérative à ta question parce que je suis obligé de jongler entre l'un et l'autre pour donner des explications. Et donc le standard, par exemple, à quoi ça me fait penser, c'est que l'ISO 27001 aujourd'hui, nous quand on en discute dans les groupes de travail qu'on met en place, on sent qu'il y a une réticence quand même de la part des responsables cybersécurité pour dire cette information-là me suffit pour faire confiance à la société. Tant bien même que cette certification soit sur le bon périmètre. parce qu'elle est aujourd'hui très connue, mais elle est un système de management. Elle n'est pas forcément une garantie du niveau de sécurité. Pourtant, quand on est en interne et qu'on se lance dans ce type de certification, on doit quand même balayer l'ensemble des contrôles et on doit avoir une connaissance minimale de ce qu'il faut faire et forcément le mettre en place à un niveau minimal pour être accepté sur la certification.
Speaker #0
Ça, c'est l'éternel débat d'être compliant, du moins conforme et être secure. parce que finalement beaucoup de personnes confondent les deux alors que ce n'est pas forcément le cas et effectivement il y a des sociétés qui avaient une belle certification ISO 27000 et qui malheureusement ont eu quand même de gros problèmes, donc ça arrive effectivement, mais alors donc pour reprendre un petit peu le fil de cette discussion la certification peut avoir une certaine valeur mais encore faut-il que ça corresponde à la vision qu'on cherche à avoir en termes de profit de risque.
Speaker #1
Voilà, donc elle est exactement ... Elle est challengée sur sa légitimité en termes de démonstration d'un niveau de sécurité par l'organisation. Et en même temps, elle démontre quand même une volonté de la part de l'organisation qui la met en place, qu'elle est prête à faire des efforts parce que financièrement, ça va lui coûter du temps, ça va lui coûter de l'argent, du temps aussi justement pour ses équipes, pour le mettre en place. On voit rarement pour une structure du... de quelques centaines de personnes une certification qui pourrait coûter au moins de 30 ou 50 000 euros. Je pense que c'est difficile à envisager, même si on réduit le périmètre. Et donc tout ça, ça montre quand même une volonté de faire un effort. Donc il faut évidemment balancer ces éléments-là entre eux pour se faire une idée. Aujourd'hui, on a même des sociétés, si je vais dans le sens de ce que tu disais, c'est qu'on a des sociétés qui ont été certifiées PCI DSS, qui ont aussi été piratées. Je pense que si on fait les statistiques, je n'ai pas été chercher les chiffres, mais je pense qu'il y en a quand même moins. Alors, il y en a moins qui sont certifiés PCI DSS, mais je pense qu'il y a moins de... Au pro-ratage, j'ai envie de croire qu'il y a moins de sociétés certifiées PCI DSS qui ont été piratées que de sociétés qui sont certifiées ISO 27000. Et ce n'est pas pour me dire du mal de l'ISO 27000. Mais donc, l'intérêt, par contre, c'est que c'est un standard qu'il est compris de tout le monde. et que quand quelqu'un dit je suis certifié ISO SOC 2 type 2 PCI DSS, on sait ce que ça veut dire. et donc on peut faire le choix de je fais confiance ou pas, mais on sait ce que ça veut dire, et donc on peut s'affranchir d'un certain nombre de questions ou de contrôles en se disant ça, ça me donne déjà un très haut niveau d'information sur l'organisation et sur sa structure, son organisation interne en termes de cybersécurité. L'avantage du questionnaire, c'est que je vais l'adapter, je vais créer mon questionnaire de sécurité avec mes contrôles, et donc quelque part, il va me rassurer. Il va me permettre de dire en interne qu'on a fait les contrôles qui étaient spécifiques à notre environnement. Ça, c'est le côté positif, le côté un petit peu négatif. Et ça, c'est quelque chose que j'ai vécu. C'est que chacun vient avec son expertise. Quand on a un groupe, c'est un peu la pléistocratie. C'est que tout le monde a un droit de vote. Et donc, du coup, à la fin, on a quelque chose qui est très complet, mais qui est très difficile. à mettre en œuvre et donc on a une inflation du nombre de questions parce que chacun a son expertise et pose des questions sur la partie gouvernance, la partie accès, la partie réseau, serveur, mise à jour, etc. Et on a une infinité de questions. Qui fut le premier ministre de Charles de Gaulle ? Debré. Son prénom ? Michel. Il me doit manquer un mot dans la question. Premier, premier ministre ? Je suppose. Ah oui, quel était le premier Premier ministre ? Oui, c'est ce que j'ai supposé, mais voilà. J'en ai dit qu'un ! Oui ! J'ai sauté un premier !
Speaker #0
C'est pour ça que... Hop ! Dans quelle rue londonienne habite Sherlock Holmes ?
Speaker #1
Baker Street. Au combien ? 221 B. Sur quelle mer ? Emilien. La mer de la Tranquillité. C'est-à-dire ? Généralement, quand on dit la mer sur la Lune, quand on dit sur quelle mer, ça peut être sur quelle mer on s'est posé. Sinon, on va dans la mer.
Speaker #0
Je continue l'intitulé où je n'ai dit que trois mots.
Speaker #1
Sur quelle mer ? Le module. Quoi ? Ça me va bien. Le défaut des deux, c'est qu'on se base sur énormément d'informations qui sont de l'ordre du déclaratif. On a posé toutes ces questions pour se rassurer que ce soit au travers de la certification ou au travers du questionnaire. On a le sentiment d'avoir un certain degré d'informations sur le niveau de sécurité de l'organisation, mais la quasi-totalité des informations qu'on a collectées sont au niveau du déclaratif. Et on n'aura pas de vérification au-delà. Parce que cette vérification, soit elle coûte cher si on parle de faire un test d'intrusion ou de venir faire un audit en interne, soit la preuve serait difficile à produire pour la personne qui est en face, donc pour le fournisseur. Et donc c'est la limite. C'est qu'on doit faire attention dans ces réflexions, et c'est ce qui avait alimenté nos discussions et même qui en avait animé certaines, c'était de savoir se censurer nous-mêmes. sur les questions qu'on voulait poser, non pas pour se rassurer, mais pour pouvoir mesurer un réel niveau de sécurité chez le fournisseur avec lequel on souhaite travailler.
Speaker #0
D'accord. Alors, cela dit, c'est assez commun quand même de demander, ce qu'on appelle en bon français l'executive summary, donc un petit peu le résumé, la partie autre d'un pen test, pour avoir une idée de là où on en est en termes de... de sécu chez un fournisseur. Généralement, alors là aussi, il n'y a pas de règles, parce que je pense que c'est un petit peu, et tu l'as très bien dit, chacun a un petit peu sa vision de choses qui peuvent être plus importantes que d'autres. Certains ont tendance à grossir le trait sur les parties gouvernance, alors que d'autres sont peut-être beaucoup plus sensibles sur la partie pen-test et technique. J'ai déjà vu des assessments, enfin du moins des... des évaluations qui portaient sur des process type VR&T Management ou Patch Management, qui sont des process assez fondamentaux en matière de cybersécurité. Je peux parfaitement comprendre. Mais chacun, effectivement, il va avec son petit accent, sa petite façon de voir les choses. Mais il y a quand même un peu, j'ai l'impression, des classiques. Typiquement, le rapport de Pentest, c'est quand même un grand classique. On le demande assez souvent. Selon toi, est-ce qu'on peut quand même, dans le cadre d'une évaluation, demander légitimement des documents, type, encore une fois, le Pentes, peut-être des rapports d'audit aussi internes ou pas ? Selon toi, sur quoi on peut jouer ou sur quoi on peut tabler, quand même, un petit peu, pour baser son évaluation ?
Speaker #1
Je suis entièrement d'accord avec ce que tu viens de dire. Et c'est justement ça qui est intéressant, c'est que si on accepte de se censurer sur plein de sujets, hum peut se concentrer sur le fait de poser des questions, donc d'avoir des questionnaires qui sont relativement courts et qui vont apporter une information fiable en termes de sécurité. Et donc c'est vrai que si on a une question, plutôt que d'avoir beaucoup de questions sur les contrôles de sécurité qui se sont mis en place, mais que je ne peux pas mesurer, ou l'existence de procédures etc. qui sont intéressantes, mais voilà, procédure ça veut dire un peu tout et rien. Mais si on me dit, il y a un test d'intrusion et vous avez accès à l'exécutif de summary, en fait, je sais qu'il y a au moins quelqu'un qui a été véritablement challengé le niveau de sécurité, que la procédure existe ou pas, le niveau de sécurité a été vérifié par quelqu'un. Et à mon avis, en tout cas très personnel, ça a plus de valeur qu'un ensemble de questions autour des contrôles de sécurité qu'on va mettre en place. Et je préfère, moi, de loin, quand je conseille un client sur ces évaluations, suggérer cette option que de rajouter cinq questions dans un questionnaire. Et donc ça, c'est un des points. Et en fait, on se rend compte, quand on fait cet effort de chercher les questions qui sont mesurables, qu'on pourrait presque se limiter à... entre 10 et 20 questions, parce que derrière on peut dire, ok, avec ça en fait, j'ai peut-être pas toute la sécurité complète de mon fournisseur, je sais pas exactement tout ce qu'il a mis en place, et je sais pas, peut-être qu'il fait pas de gestion de crise, mais en fait, est-ce que c'est ça mon vrai problème qui est derrière, ça peut aussi se poser comme question, mais je suis au moins certain que les bases de la sécurité qu'on essaye d'inculquer depuis une vingtaine d'années sont en place chez ce fournisseur, et donc... On peut avoir un certain degré de confiance dans les travaux qu'on est en train de mener, si tant est qu'on n'est pas sur du PCI DSS, qu'on n'est pas sur du certifié HDS ou des choses comme ça qui sont des cas particuliers sur lesquels la certification est essentielle.
Speaker #0
D'accord. Pour résumer, on peut avoir une liste de questions intelligemment choisie sur lesquelles on va ajouter peut-être un certain nombre de documents ... plus ou moins attendus, un rapport de dite, un pen test éventuel, etc. Ensuite, j'ai envie de te poser une question un petit peu annexe par rapport à ça. C'est-à-dire que là, on a beaucoup parlé des aspects purement de cybersécurité, mais il y a des aspects un peu annexes liés aux fournisseurs, typiquement sa structure capitalistique, par exemple le profil de risque financier de la société, si elle est surendettée, par exemple.
Speaker #1
Bien ! Et maintenant à nous.
Speaker #0
Dans votre secteur, pas de problème, le jeu a jamais aussi bien marché.
Speaker #1
Que tu dis ?
Speaker #0
Ce qui vous chagrine,
Speaker #1
c'est la comptabilité. Vous êtes des hommes d'action,
Speaker #0
je vous ai compris.
Speaker #1
Et je vous ai arrangé votre coup. T'arranges,
Speaker #0
t'arranges,
Speaker #1
si on n'était pas d'accord.
Speaker #0
Tu veux voir que c'est pas possible ?
Speaker #1
J'ai adopté le système le plus simple. Regarde. On prend les chiffres de l'année dernière,
Speaker #0
et on les reprend. Arrête,
Speaker #1
toi.
Speaker #0
L'année dernière,
Speaker #1
on a battu des records. Eh ben,
Speaker #0
vous les égalerez cette année. Vous allez l'avoir en pleine forme, là. Gai, entreprenant,
Speaker #1
dynamique.
Speaker #0
Et en plus, il nous charrie, c'est complet.
Speaker #1
Pascal. Oui, monsieur Fernand.
Speaker #0
Tu passeras l'encaissement chez ces messieurs sous huitaines. C'est ça, mais si on ne paye pas, tu nous butes.
Speaker #1
Merci, un avouer.
Speaker #0
Bien. Messieurs, il ne me reste plus qu'à vous remercier de votre attention. Il peut y avoir aussi des questions liées à des aspects plutôt de stratégie, donc plutôt liées à la concentration. Donc ça, c'est quelque chose qui revient souvent avec des réglementations type DORA, puisque les régulateurs essaient de détecter les concentrations au niveau des fournisseurs, qui représentent un risque aussi. Et puis d'autres aspects peut-être un peu plus géopolitiques, typiquement quand on parle de souveraineté. puisque ça, c'est toujours quelque chose d'assez important quand même, qui devient de plus en plus important dans le monde dans lequel on vit. Alors justement, parce que là, on a pas mal, entre guillemets, dressé la liste des points importants en matière de cyber, mais sur les autres aspects un petit peu annexes, est-ce que c'est quelque chose que tu intègres aussi naturellement, ou quelle est ta vision des choses ? Est-ce que tu penses que ce sont des sujets totalement dissociés, finalement, sur lesquels ça pourrait être très bien traité de manière différente, ou alors ça peut faire partie du même... L'autre question.
Speaker #1
C'est une très bonne question. En fait, je suis tenté de répondre, si je réponds vite, je suis tenté de dire à chacun son métier, entre guillemets. Là, je l'ai dit très, très vite. Mais qu'en gros, au niveau de la cybersécurité, on ne pourra pas être expert sur les autres sujets. Détecter la concentration, c'est un peu ce que essaye de faire, je pense, Dora. avec la liste des fournisseurs que tout le monde doit fournir,
Speaker #0
avec les différents rentes fournisseurs et toutes les informations.
Speaker #1
Et donc se substituer à ça, ça serait élégant, ça serait très intéressant d'avoir cette information, mais au final, on risque de faire un doublon avec une autre opération. Et si je reviens sur... Alors, ce n'est pas que ces informations ne sont pas intéressantes pour évaluer une société, ce n'est pas ce que je dis. Mais ce que je dis au niveau cyber, c'est que le... Les questionnaires de sécurité que nous, on envoie ou qu'on reçoit, on constate souvent que les... Alors, surtout ceux qu'on reçoit parce que nous, on l'applique aux autres. Mais ce qu'on constate, c'est qu'on reçoit souvent deux, trois questionnaires. On reçoit le questionnaire de sécurité, le questionnaire sur la partie protection des données personnelles. Et en fait, on a les mêmes questions. On se retrouve avec les mêmes questions. Et après, dans le contrat, on nous refait signer des clauses qui sont des choses qui ont déjà été posées dans le questionnaire de sécurité. Alors là, on s'est bien rassurés pour ceux qui ont envoyé tout ça. Ils sont sereins sur la certitude qu'ils peuvent avoir. Mais ça pose un problème, c'est qu'en fait, on perd du temps. Eux, ils perdent du temps éventuellement à évaluer. Et donc, si on se met à déborder sur ces sujets qui sont loin d'être inintéressants, mais ceux de concentration, etc., en fait, on risque de faire le job que quelqu'un d'autre est en train de faire à côté de nous. Et on a déjà, en fait, ce que tu disais au tout début, c'est qu'on a cette masse. de questionnaire, une société qui travaille avec 50 fournisseurs, si elle envoie ses 50 questionnaires, même si elle n'en envoie que 20, au final, ces 20 fournisseurs sont sûrement les plus importants et ils sont fournisseurs d'autres sociétés dans d'autres secteurs et ils vont se retrouver avec des centaines de fournisseurs. C'est vrai que c'est le problème que tu décrivais au départ et on fait exactement face à ça. Et donc, si on démultiplie les questions et les thématiques qu'on va contrôler dans un seul questionnaire, en tout cas, déjà, on va au-delà de notre mission, d'une part, et on traite un sujet sur lequel on n'est pas vraiment compétent, à mon avis. Et j'ai envie de rester modeste sur cet aspect, contrôlons ce qu'on sait contrôler et ce qu'on sait mesurer.
Speaker #0
Oui, tout à fait. Donc, pour résumer, chacun son job, ce n'est pas plus mal comme ça. Très bien. Écoute, sur l'aspect, en tout cas, déjà questionnaire, on a compris que c'était quand même quelque chose assez complexe à mettre en œuvre parce qu'il faut pouvoir poser les bonnes questions, ni trop, ni trop peu. Donc poser trois fois la même question, ça peut rassurer, mais ce n'est pas forcément utile ou du moins très probant d'un point de vue, on va dire, efficacité. Donc ce n'est pas forcément quelque chose de facilité. Maintenant, la question est de savoir comment on intègre ce profil de risque dans l'écosystème de l'entreprise. Parce que ce n'est pas le tout d'avoir défini qu'un fournisseur était dangereux ou pas, s'il avait un bon profil de risque ou pas. il y a des questions un petit peu, on va dire, de distance et de proximité par rapport au fournisseur. Ce que j'y reparlais, c'est qu'un fournisseur qui aurait par exemple un accès direct au système d'information ne doit pas être considéré de la même manière qu'un fournisseur un petit peu plus lointain qui a une interaction beaucoup moins forte finalement avec l'entreprise. Donc cette distance doit être prise en compte d'une certaine manière. et selon toi justement comment on peut essayer de d'intégrer cet aspect-là ? Comment on peut essayer de pondérer correctement le poids du fournisseur ? Alors, on pourrait citer les biocérèmes, puisque dans les biocérèmes, il y a une partie, justement, qui concerne, enfin, qui adresse cet aspect, le fait de pouvoir essayer de mieux calibrer le poids des fournisseurs. Mais est-ce que toi, de ton expérience, tu as un conseil ou quelle est ta vision par rapport à ça ?
Speaker #1
Oui, on a... On y travaille actuellement, ce sera publié sur notre site web dans pas longtemps, sur justement donner les guidelines pour classer les fournisseurs. Et donc, un des critères qu'on a identifié, c'est celui que tu as cité tout à l'heure, c'est quelle est mon adhérence avec ce fournisseur ? Est-ce que nos SI sont interconnectés ou pas ? Est-ce qu'ils nous font de la TMA ou des choses comme ça ? Donc ça, c'est particulièrement important. Et donc, c'est d'avoir... trois critères en fait sur comment est-ce que je vais classer ce fournisseur en termes de, en bon français comme tu as dit tout à l'heure, en termes de tiering, est-ce que c'est un tiers essentiel pour mon activité ? Donc en gros, est-ce qu'il joue sur ou est-ce qu'il interagit avec un des processus cœur de métier de mon organisation ? Donc si tout est basé sur ma vente en ligne, forcément mon hébergeur, mes systèmes de... de firewall, de DDoS, etc. sont extrêmement critiques pour moi. Donc un deuxième, c'est pas dans l'ordre, mais un deuxième, évidemment, c'est le degré d'adhérence. Et un troisième pourrait être la gestion des données. Quelles sont les données qui sont traitées dans les opérations ? Parce que là, on fait plutôt appel à de la perte financière, mais liée à des pénalités ou à une réglementation qui viendrait s'appliquer à nous. On voudrait essayer de... d'éviter de se retrouver au tribunal pour des sujets comme ça, ou d'avoir des contrôles inopinés qui rajoutent de la charge de travail. Et donc ça, c'est trois critères qui sont simples à comprendre, et un métier peut tout à fait rentrer dans le jeu là-dessus. Et ensuite, on peut les pondérer, si on veut aller un peu plus loin, et avoir une réflexion, ou en tout cas une classification un peu plus sophistiquée, on peut se dire, ok, le critère cœur de métier, enfin, lien direct avec un cœur de métier, Si c'est oui, ça vaut plus tout court que la question de la gestion des données, par exemple. C'est un exemple, mais ça dépend un peu du business de chaque entreprise qui peut créer ces critères. L'erreur, à mon avis, vu que tu me demandes mon expertise, ça serait de démultiplier ces critères. Déjà 3, je trouve que nous, à mon sens, c'est déjà beaucoup. Mais si on augmente le nombre de critères, et ça, c'est très rigolo parce qu'il y a beaucoup d'études là-dessus, si on augmente le nombre de critères, on ne va pas améliorer la précision de cette évaluation. Donc il vaut mieux moins, mais bien, et pas forcément mieux, mais moins, mais bien, que plus, mais par contre, ça c'est sûr, c'est moins bien. Parce qu'on perd plus de temps, parce qu'on met plus de temps à les expliciter, etc. on perd le message des personnes qu'on a en face de nous. C'est un peu, si je refais l'analogie, désolé, je refais le point avec les questionnaires, parce que c'est vraiment un sujet qu'on traite beaucoup, mais le questionnaire ou l'ensemble des questions du questionnaire sont un moyen d'exister. Pour celui qui les rédige, c'est une chose, pour l'évaluateur qui va ensuite mesurer les questions, pour le reporting qui sera fait à l'étage d'au-dessus, donc en fait, c'est une source de revenus, ce système de questionnaire ou de certification. mais donc Tout ça, c'est à prendre en compte. Et ce à quoi il faut faire attention, ce que je dis à l'instant, c'est ne pas perdre le sens de pourquoi est-ce que je fais cette mesure. Est-ce que je fais cette mesure de tiering de mes fournisseurs, non pas pour classer 10 fournisseurs. Quand je le fais, c'est qu'en fait, j'en ai 100, j'en ai des centaines à classer. Et en fait, j'ai besoin d'un système de tir grosse maille, mais précis. C'est-à-dire que ceux qui sont dans la cible important, c'est plutôt des gens où je vais dire, finalement, celui-là, il n'est pas si important que ça. que ceux qui sont dans les pas importants et mon système d'évaluation en aurait fait ou lié un ou deux.
Speaker #0
Ça reprend finalement un petit peu aussi la réglementation d'euro, dont tu en as déjà parlé, puisqu'on doit avoir les fonctions critiques et importantes de l'entreprise, et forcément les fournisseurs qui interviennent dans ces fonctions critiques et importantes, et par conséquent, ils ont forcément une teinte particulière puisqu'on va les observer, on va regarder leur profil de risque de manière plus attentive que d'autres fournisseurs qui ne vont pas forcément avoir un profil, enfin qui ne vont pas intervenir directement. sur des fonctions critiques importantes de l'entité.
Speaker #1
Oui, tout à fait, parce que même dans les piliers de Dora, c'est d'avoir identifié les fonctions critiques et ensuite les dépendances de ces fonctions critiques. Et donc, dans certains cas, ça sera des fournisseurs. Donc, je suis entièrement d'accord avec toi.
Speaker #0
OK. Alors, juste pour reprendre un petit peu ce que tu venais de dire sur le questionnaire, donc si on résume un petit peu, l'idée, c'est de minimiser le nombre de questions, mais de maximiser finalement le... l'échelle d'évaluation, enfin pas l'échelle, ce n'est pas le terme exact, mais plutôt la quantité de données ou élargir au maximum le spectre de la perception du risque, pour faire simple, entre guillemets. Mais au-delà de ça, quels sont les avantages et les inconvénients entre une approche, on va dire, vraiment home-made, c'est-à-dire je veux faire mon propre assessment. par rapport à un fournisseur XYZ, quitte même d'ailleurs en me basant justement sur le fameux tiering dont tu as parlé, en faisant des questionnaires un peu plus complexes pour des prestataires peut-être critiques et un peu moins complexes pour d'autres, par rapport à quelque chose qui serait un peu plus standardisé, délégué à une société extérieure, sachant que forcément une société extérieure va mécaniquement vouloir standardiser un petit peu son approche. quelle est aussi un peu la limite de responsabilité et ce que je veux dire par là c'est que in fine on peut tout déléguer sauf sa responsabilité ce qui veut dire que si on fait appel à une société extérieure il ne faut pas déléguer sa responsabilité donc in fine c'est toujours l'entité qui est responsable de faire l'évaluation finale comment garantir justement ce qui est délégué jusqu'à quelle limite donc voilà, selon toi d'un point de vue opérationnel comment ça peut se faire ? quelles sont les limites de l'exercice aussi, est-ce qu'une société peut gérer tous les types de profils ou pas ? Enfin voilà, c'est un peu ma question.
Speaker #1
Donc il y a plusieurs choses dans la question, et donc le côté homemade, c'est quelque chose d'intéressant parce que, de mon point de vue, si on a réduit le niveau de question et si on a fait cet effort, Du coup, ça devient hyper intéressant de faire ça parce que je vais gagner du temps. Je vais faire quelque chose d'assez efficace. Je ne vais pas avoir recours à des prestations qui peuvent coûter cher. Et je vais avoir la maîtrise sur mon processus. Donc ça, c'est intéressant. Et si j'élargis ce côté « home made » , c'est qu'en faisant le lien avec ce qu'on disait juste avant, cette situation où j'ai des centaines de fournisseurs, Personne globalement peut évaluer tout le monde, donc je suis obligé de faire des critères et de dire métier 1 je vais avoir ce type d'évaluation.
Speaker #0
Ce n'est pas forcément un questionnaire plus long, ça peut être, mais ce n'est pas la seule option. Et métier 3, je vais avoir tel autre type d'évaluation. Mais je peux aussi me dire, métier 2 par exemple, si j'arrive à savoir qu'ils ont une certification, je vais prendre ça pour argent comptant et je ne vais pas forcément consommer beaucoup de ressources à vérifier quel est exactement le périmètre de la certification, etc. Parce que le fait qu'ils aient une certification, par exemple, me dit suffisamment d'informations par rapport au degré d'interaction que j'ai avec eux. qu'il y a des gens chez eux qui doivent gérer une partie de la sécurité et comme je ne pourrais pas contrôler 300 sociétés ou 500 sociétés tout seul, on parle du homemade en termes de sécurité, je vais prendre des heuristiques et je vais les exploiter au maximum. L'avantage du homemade, c'est un petit peu ce que je viens de dire et je vais tayloriser ma méthodologie. la délégation à une société externe. Alors il se trouve que nous, on doit le faire aujourd'hui. On a des sociétés qui viennent nous solliciter, qui nous disent voilà, moi je voudrais déléguer l'ensemble. Et ils ont eux-mêmes défini leurs critères. Donc on s'adapte en fait à leurs critères. L'intérêt, ça va être en partie, ça va être la mutualisation. Ça veut dire que la société externe à laquelle je fais confiance a déjà évalué un fournisseur ou le connaît en tout cas, a déjà une relation avec ce fournisseur dans le cadre d'autres contrats. Et donc... soit je m'appuie sur les informations qui ont déjà été renseignées, et ça peut être un critère de décision de dire que ça a déjà été évalué correctement par une autre société, dans le cadre d'un contrat avec une autre société, donc je ne viens pas doublonner l'information. Là, tout le monde est gagnant, et surtout l'évalué d'ailleurs, parce que lui, il a moins de travail à faire. Et en fait, c'est un peu un objectif que les sociétés... comme la nôtre, on n'est pas les seuls, on se pose et on se positionne en fait comme acteur central, on centralise l'information des différents fournisseurs et on sort de tamponne les différents fournisseurs. La difficulté à laquelle ça fait face, c'est que tout le monde n'a pas la même façon d'évaluer, tout le monde n'a pas les mêmes critères, etc. Aujourd'hui, il n'y a pas un consensus du marché pour dire, pour évaluer un fournisseur, voilà les critères. Plusieurs organisations... ont essayé de poser ces critères. Il y a même les systèmes, le CAIQ qui propose des choses, le CSA qui propose des choses. Mais c'est sur la partie cloud uniquement. Ça a ses bénéfices et ses limites. Et encore faut-il jouer le jeu du CSA. Et là, pour le coup, c'est aussi un peu un business parce que l'autodéclaratif est gratuit. D'ailleurs, c'est ce qui est prévu dans certains pays. L'autodéclaratif est gratuit et si on veut se faire contrôler, il faut payer. Donc, il peut y avoir aussi la sensation du côté du fournisseur de se faire un peu raqueter si son évaluation est payante et je peux comprendre cette émotion. Mais le fait de déléguer, par contre, si je fais le lien avec ce que je disais tout à l'heure, c'est un peu chacun sa spécialité. Si on n'a pas les ressources en interne pour le faire, c'est une bonne façon de déléguer un problème et de définir un cadre contractuel pour cette évaluation. Et dans ce cadre contractuel, ce qu'on va trouver, ce qui est intéressant, c'est qu'on va trouver des critères d'évaluation du fournisseur. C'est-à-dire qu'on peut se mettre d'accord sur un questionnaire où on peut dire, je prends le questionnaire que vous me donnez en tant qu'expert sur le sujet, mais je vais vouloir avoir des garanties, par exemple, sur la qualité de l'évaluation. Alors, difficile de mettre ça dans un contrat, la qualité de l'évaluation. mais ce qu'on peut mettre dans un contrat, c'est des critères de sorte de SLA sur le nombre d'allers-retours qu'on s'autorise avec le client final pour lui dire ce fournisseur a été évalué, voilà son évaluation, etc. Le client final peut dire qu'il faut qu'il y ait un certain niveau de qualité, donc il ne faut pas qu'on ait tout le temps des allers-retours à faire sur ce que vous nous rendez en termes d'évaluation. C'est un des points. Je dis qu'il y avait beaucoup de choses dans ta question, parce que du coup, je déborde assez loin. Donc il y a ce point là, il y a avec un fournisseur, une société qui ferait cette concentration d'informations sur les différents fournisseurs, il y a les temps de réponse, le temps d'évaluation, combien de temps je mets à évaluer un fournisseur, il peut y avoir la qualification des personnes qui sont en charge des évaluations, il peut y avoir la localisation, est-ce qu'on veut que ça soit, déjà est-ce que mes fournisseurs à moi sont partout dans le monde, est-ce qu'ils sont plutôt en France et du coup je préfère une évaluation en France, il y a ce genre de critères ou en Europe, ce genre de critères qui peut rentrer en compte. Je t'ai donné pas mal d'exemples sur ce qu'on peut faire, en tout cas on peut encadrer. cette prestation d'évaluation, on peut l'incliner de façon intelligente pour que tout le monde connaisse à la fois l'évaluateur et le client de cet évaluateur, les critères de mesure de la qualité de la prestation pendant les 1 à 3 ans ou 5 ans pendant lesquels va se dérouler cette opération. Donc ça, à mon sens, c'est possible. Et je pense que quelque part, les entreprises, celles qui ont plusieurs centaines de fournisseurs, ont quelque chose à gagner à faire ça. et peut-être que d'ici quelques années, on verra émerger soit un leader, soit un consensus. C'est aussi ça qu'on a envie d'espérer. Ce qui serait dommage, c'est que ça génère une inflation de typologie, de règles et de questionnaires et que demain, puisqu'on a déjà Nice 2 et Dora, et que demain, on trouve encore, et le CERA, et que demain, on génère encore des nouvelles normes sur la partie évaluation des fournisseurs. De mon point de vue, on en a déjà beaucoup. Et donc, on a large de quoi faire avec ça, plus l'existence de l'ISO, des 42 rédigènes de l'ANSI, le NIST, etc. On sait tous ce qu'il faut mesurer. J'espère qu'on va tourner vers un consensus des points d'évaluation critiques, en tout cas pour les fournisseurs, et que le reste sera d'une histoire.
Speaker #1
Alors, au-delà des questionnaires dont on a parlé, au tout début de cette émission, de cet épisode, on parlait aussi des certifications. Les certifications, comme on le disait, c'est bien parce que ça montre un certain niveau de maturité, en tout cas un certain niveau d'engagement. Malheureusement, quand on fait des évaluations, c'est souvent quelque chose de déclaratif. Et malheureusement, dans certains cas, on peut avoir des cas un petit peu compliqués où la déclaration n'est peut-être pas tout à fait conforme à la réalité. Alors, est-ce que toi, dans ton expérience, tu as eu déjà des cas de ce type-là ou des exemples à fournir ? pour illustrer un petit peu ce problème de l'effet déclaratif de ces questionnaires.
Speaker #0
Oui, tout à fait. Je vais sortir du cadre de la cyber pour répondre à la question. C'est le cas assez emblématique de Volkswagen. Ce n'est pas pour les pointer du doigt, ils n'ont pas eu de chance s'ils ont été dans les médias, mais en gros, ils étaient certifiés 29001 et 14001 et ils ont quand même trafiqué leur système de moteur. Et ce n'est pas les seuls à avoir fait ça. Et donc ça, c'est la limite. de certaines des certifications et encore plus des systèmes qui sont purement déclaratifs. C'est qu'on va avoir des cas, alors ça peut être parfois des erreurs, ça peut être parfois intentionnel, c'est pas là que je veux juger, mais c'est juste que l'information collectée, elle a sa limité, d'où l'importance d'avoir une preuve qui a une certaine valeur, même si on sait qu'il y a des cas encore plus rares de sociétés qui frottent sur les preuves. C'est la limite, en fait, des systèmes déclaratifs. Et donc, ce qui est très intéressant, et si on parle de l'avenir, il y a un des points, c'est d'avoir des contrôles qui sont tangibles et qui sont révélateurs d'un certain degré de sécurité. Et la partie test d'intrusion, c'est vraiment la plus intéressante parce que c'est la plus poussée, c'est celle qui va contrôler le... la mise en œuvre effective dans un système. Alors, il peut y avoir des zones d'ombre qu'on ne pourra pas contrôler parce que si on n'a que 3-4 jours pour faire un test d'intrusion, on ne voit pas tout. Mais en tout cas, on a contrôlé un certain nombre de portes qui déjà sont les principales qui vont être recherchées par des attaquants et on aura été un peu les challenger pour détecter un peu plus loin que la porte d'entrée. Les solutions de rating, Elles ont un intérêt, c'est-à-dire qu'elles ont une limite, c'est qu'elles vont voir que la surface externe. Par contre, elles ont un intérêt, c'est qu'elles sont factuelles et qu'elles montrent un degré de prise en compte sur un périmètre. Et ce n'est pas pour les mettre trop en avant, mais elles font vraiment office de... C'est vraiment très différent du système de questionnaire parce que là, on est vraiment sur du mesurable et en fait, la discussion n'est plus sur... On ne peut pas discuter de la mesure, on ne peut pas... orienter l'évaluation parce qu'on a une appétence sur le contrôle d'accès, on va en oublier la partie cloud ou la partie réseau ou des choses comme ça. C'est vrai qu'il n'y a pas de normes ou de listes exhaustives des contrôles qu'on devrait faire mais la liste des contrôles des systèmes de rating est relativement connue parce que c'est des paramètres d'application et des paramètres de système qu'il faut aller vérifier et l'intérêt c'est qu'on a un consensus. à cet endroit-là, sur ces évaluations, sur le fait qu'elles ont une limite, ça, il n'y a pas de problème, mais elles vérifient quelque chose de factuel dans le monde réel, en fait. Pour reprendre Gérald Brunner qui lui-même cite Lacan, ça nous met face à la réalité et en fait, on se cogne contre cette réalité qui est qu'il y a des choses qui nous appartiennent et qui sont mal configurées ou qui sont mal gérées en termes de cybersécurité.
Speaker #1
D'accord. Tu fais référence par exemple à des contrôles CIS qu'on pourrait avoir, c'est très courant dans le cloud, puisque sans faire de publicité, mais Azure par exemple. Il y a tout un ensemble de paramètres, le framework CIS est quasiment out of the box, donc on peut l'activer facilement et récupérer tout un ensemble de déviances au niveau des configurations et de piloter un petit peu sa conformité. En réalité, ce que tu soulignes ici, c'est que la conformité interne et technique, donc pas du déclaratif, mais vraiment la liste des contrôles des paramètres, tout ce qui est renforcement, etc., ça peut être un élément pris en compte dans l'évaluation.
Speaker #0
Oui, en fait, dans les idées tout à l'heure qu'on évoquait, il y a cette notion de, je parlais d'avoir un consensus sur le questionnaire, ce qui serait intéressant, mais qu'aujourd'hui, on n'est pas tous matures pour le faire et je peux très bien comprendre pourquoi. Mais si on avait un système de contrôle automatisé interne de notre niveau de sécurité et qu'on avait le courage de l'afficher en externe, ça vaudrait beaucoup plus en termes d'évaluation et en termes de degré de confiance qu'un questionnaire. Je pense que ça serait beaucoup plus pertinent. Mais on n'a pas cette maturité, malheureusement. Mais ça serait d'une très grande valeur.
Speaker #1
Alors, effectivement, je pense que ça va poser quelques problèmes en matière de transparence. Je comprends bien le concept, mais il risque d'y avoir un petit effet. À mon avis, ceux qui ont les meilleures notes vont les afficher en grand et pas forcément les autres. Donc, effectivement.
Speaker #0
Oui, et puis certains n'ont pas les moyens, la maturité. Moi, j'ai eu le privilège de monter une startup avec Guillaume Garez, que je cite, mais les jours où on commence, notre sécurité est peut-être très bien, mais elle ne bénéficie pas de tous les outils du marché qu'on pourrait s'acheter. Donc, c'est une sécurité qui est très bien, mais qui est un peu faite à la main. Elle n'est pas moins bien pour autant.
Speaker #1
C'est ça. Ensuite, il faut quand même pondérer un peu cet aspect-là, qui est que tout le monde le sait, mais la sécurité, c'est quand même quelque chose qui évolue avec le temps, qu'on peut être très bon à un instant T, mais si on a un processus de vulnerability management qui est catastrophique et qu'on se retrouve avec un lock for J qu'on ne gère pas correctement, ça va poser aussi un sacré problème. Idem aussi pour toutes les personnes qui font des releases, quasiment qu'il peut y avoir aussi quelques surprises. Donc je comprends ton point, mais c'est à pondérer par rapport à la vraie vie d'un système d'information et des contraintes. Et puis aussi, la force de la sécu, c'est dans la robustesse de ses processus. Et ça, ce n'est pas forcément quelque chose qui est facile à rendre tangible dans les réponses à fournir dans le cadre des analyses. Et alors là, on a parlé de tous les contrôles. et comment évidencer finalement ces contrôles et l'efficacité de ces contrôles. Et maintenant, via la question que tout le monde attend, c'est le mot buzz à la mode, et l'IA dans tout ça ?
Speaker #0
Et l'IA dans tout ça. Alors, je pense qu'on est... Je suis content que tu poses la question, et je pense qu'on est dans ce cas-là, on est au-delà du buzz, dans le sens que nous, on a travaillé dessus, et c'est hyper intéressant les résultats qu'on arrive à obtenir. Et on... et on n'est pas les seuls, il y a des organisations qui mettent ça en place en interne. Il y avait déjà, en fait, il y a quelques années, je discutais avec DRSSI, et ils nous disaient qu'en fait, pour répondre à toutes ces questions de sécurité, ils avaient une sorte de base de données, avec toutes les réponses qu'ils avaient un jour formulées, triées par catégories, etc., et ça les aidait à répondre. Donc l'étape entre ça et demander à une IA de faire le match entre la réponse que j'ai déjà écrite et puis la nouvelle question que je viens de recevoir, le travail est assez limité. surtout dans les versions payantes de certains systèmes d'IA, on peut carrément lui donner les deux fichiers, lui demander de faire le match et sortir le résultat. Donc le résultat qu'on peut obtenir est hyper intéressant. Là où ça peut être utilisé, c'est dans les deux sens, c'est-à-dire que je peux aider un fournisseur à répondre à un questionnaire et donc lui alléger la tâche à partir du moment où il a déjà rédigé des documents de sécurité en interne. un plan d'assurance sécurité, où il a déjà répondu éventuellement à plusieurs questionnaires de sécurité, on doit pouvoir utiliser l'ensemble de ces informations pour pré-remplir le questionnaire avant qu'il puisse faire une relecture plus légère et plus rapide pour lui, donc lui alléger la tâche. Et pour l'auditeur, faire une pré-évaluation des réponses. sortir les points d'attention éventuellement s'il y en a dans le document. Les deux aujourd'hui ne s'affranchissent pas d'une validation humaine, mais permettent en tout cas de gagner du temps dans la démarche. Si je refais lien avec la question tout à l'heure où tu me demandais est-ce que c'est plutôt du homemade ou de la délégation ? Le homemade est possible, mais la scalabilité devient plus compliquée. C'est là où la délégation vers des logiciels et des sociétés devient intéressant parce que c'est leur cœur de métier d'avoir ces systèmes qui vont s'adapter et s'améliorer avec le temps. Mais on va gagner du temps. Le risque, c'est qu'une IA, ça parle beaucoup. Et ce qu'on détecte, c'est que les IA, quand elles répondent à la question, peuvent se mettre à répondre à beaucoup de choses qui sont justes. Je ne parle pas d'hallucinations, etc. Je parle juste d'être un peu verbeux sur la discussion si on ne leur a pas demandé de... peut-être relativement concis, et du coup, si on n'a pas quelque chose en face pour vérifier, ça peut être fastidieux de faire le contrôle. Même avec une autre IA, ça peut rendre le contrôle un peu compliqué. Donc il y a un enjeu à cet endroit-là, de comment est-ce qu'on résout cette problématique de j'automatise la réponse, et en fait, une IA qui fait une réponse de d'Ili, moi ça ne me coûte pas plus de temps, mais par contre, en tant qu'évaluateur, ça peut être vraiment un problème si on se retrouve avec ça en face de nous. C'est à la fois le... le bénéfice qu'on est certain d'atteindre et puis un petit peu la limite à laquelle il faut faire attention, enfin une des limites à laquelle il faut faire attention sur ce sujet.
Speaker #1
Comme toujours en cybersécurité, c'est rare de gagner sur tous les tableaux. Il y a toujours un peu de l'équilibre à obtenir entre plusieurs facteurs. C'est malheureusement toujours une règle quasi immulable. Le mot de la fin, Gilles, pour conclure ?
Speaker #0
Oui, merci. Déjà pour cette interview podcast, cet échange sur le sujet, on a devant nous, ce qui moi me semble important, c'est dans les points qu'on a devant nous et qu'on a évoqués, c'est que j'aimerais beaucoup qu'on arrive à un système de consensus sur ces évaluations de sécurité, qu'on prenne en compte, et je me souviens de mes discussions d'il y a plus de dix ans maintenant, sur comment faire pour poser des questions qui ont été une certaine pertinence du point de vue du niveau de sécurité que je vais aller mesurer ou que je vais récolter grâce à ma question. C'est vraiment un des points critiques parce que c'est là où tout le monde perd du temps, on génère de la frustration et on a généré dans les questionnaires l'illusion d'avoir tout vérifié, alors qu'on a plutôt généré de la frustration et une charge de travail assez colossale pour les organisations. Mon intime conviction, que j'ai un peu évoquée tout à l'heure, c'est que la mesure opérationnelle d'un niveau de sécurité doit faire partie d'une évaluation pour des fournisseurs critiques ou importants pour avoir un élément tangible et que le questionnaire doit venir, en fait c'est le questionnaire qui doit venir en complément de cette évaluation technique parce qu'il me permet éventuellement de challenger ce que j'ai été mesuré de façon technique.
Speaker #1
Je crois que c'était le mot de la fin. Gilles, un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. J'espère que ça a éclairé pas mal d'auditeurs. En tout cas, c'est un sujet assez important en ce moment. Je sais que beaucoup de responsables de la cybersécurité travaillent sur le sujet parce que c'est quelque chose qui est très consommateur de temps et sur lequel on doit être aussi extrêmement vigilant parce que ça fait partie de notre métier aussi. de prévoir et d'évaluer ce type de risque. Donc c'est un vrai sujet d'actualité et j'espère que tu as éclairé certains des éditeurs de ce podcast. Voilà, encore merci Gilles.
Speaker #0
Merci à toi Nicolas.
Speaker #1
De rien. Et comme je le dis souvent, pour certains, la cybersécurité est un enjeu de vie de mort. C'est bien plus ça que ça. Musique

Embed