La sécurité du SI expliquée au DG
Qu’un article paraisse dans la presse sur les derniers méfaits de hackers serbocroates dans un vol de données d’un hôpital américain et voilà notre direction générale qui nous demande d’exposer les mesures adoptées pour ne pas qu’un incident du même ordre se produise chez nous.
Nos conseils pour y répondre au mieux.
Quel DSI, quel RSSI n’a jamais vécu cette situation, à michemin entre l’injonction incantatoire et l’appel effrayé de celui qui n’y connaît rien et il est bien naturel de ne pas tout connaître dans un domaine aussi complexe ? La demande d’explications reste légitime. Il faut simplement savoir qu’il existe deux façons d’y répondre : la bonne et la mauvaise !
Se planter en beauté, par le menu
Pour s’aliéner définitivement son DG, il faut procéder en trois étapes. La première consiste à détailler les tenants et les aboutissants techniques de l’incident relaté dans l’article qui, la plupart du temps, a été écrit par un journaliste dont la technique n’est justement pas le fort et qui a inévitablement simplifié les choses. Annoncer donc à son DG que le rebond IP est dû à un proxy mal configuré, que l’attaque était de type « man in the middle » et que le certificat racine était forcément expiré à cause d’une liste de révocation incomplète.
La deuxième étape consiste à préciser, toujours sous l’angle technique, les contremesures déjà prises et celles en passe de l’être : « on vient de changer le firewall et les règles sont du type DenyAll, le contrôleur AD a été migré sur une VM de la ferme ». Et la troisième conclura par cette phrase géniale : « Normalement, c’est bon. » Effet garanti, le RSSI sera cantonné jusqu’à la fin des temps au fond de l’organigramme de la DSI, et certains feraient d’ailleurs bien de s’interroger…
La bonne méthode
Je conseillerais plutôt de revenir aux fondamentaux, toujours. C’est à dire d’expliquer à un décideur que :
• Il existe une cartographie des principaux risques SI identifiés, elle est issue d’une analyse de risque pragmatique – exit EBIOS et Consort – et surtout de l’expérience du terrain ; elle tient sur une feuille A4 recto ;
• Un certain nombre de contremesures ont déjà été prises ; le RSSI en tient le compte ;
• D’autres contremesures ont été listées et font l’objet d’un schéma directeur spécifique SSI, avec un déploiement maîtrisé dans le temps selon la priorisation coûts/urgence/ complexité ;
• Les risques résiduels connus sont également recensés, leur niveau évalué et accepté par l’institution ; la liste est à disposition du DG sur simple demande ;
• À chaque survenance d’un incident ou d’un risque, les contremesures et les recensements susnommés sont tous réévalués.
Surtout, il s’agit de bien expliquer à son DG que le risque zéro n’existe pas, que l’on est dans l’amélioration continue, que tout ce qui s’est produit par le passé fait l’objet de contremesures précises et testées, et que l’on améliorera sans fin le dispositif, comme les qualiticiens le font dans leur domaine depuis 10 ans. La sécurité est une démarche et non un produit, laquelle démarche est ellemême un tamis qui se resserrera au fil du temps, et qu’il n’y a pas d’autre façon de procéder.
Il est enfin très important de sensibiliser la direction générale au fait que, dans la plupart des cas, les médias alertent sur des incidents de confidentialité, alors qu’ils ne représentent pas – tant s’en faut – les risques les plus graves. L’accident d’Épinal (1) est dû à un défaut d’intégrité de la donnée médicale et a engendré plusieurs dizaines de morts.
Ce genre d’explication de texte prend moins d’une heure et devrait être régulièrement réitéré par le RSSI auprès de la direction générale : une heure par an pour des décideurs qui peuvent apprécier la maîtrise globale de la stratégie et qui en sortent rassurés, ce n’est vraiment pas cher payé.
Cédric Cartau
Responsable Sécurité des Systèmes d’Information au CHU de Nantes
1 Auquel il est généralement fait référence comme « l'affaire des surirradiés de l'hôpital d'Épinal », cf. http://fr.wikipedia.org/wiki/Affaire_des_surirradi%C3%A9s_de_l%27h%C3%B4pital_d%27%C3%89pinal
Article paru dans DSIH, le 6 MAI 2015 | WWW.DSIH.FR