Sécurité

Rapprocher les métiers et l’IT, un enjeu cyber pour protéger les services essentiels

Share this post:

Les Opérateurs de Services Essentiels doivent fournir une cartographie du système d’information (SI) soutenant leurs activités désignées comme telles. Une approche top-down, allant des métiers vers l’IT, permet d’y parvenir. Cette bonne pratique pourra s’appliquer à d’autres types d’organisation.

 

Selon l’ANSSI*, « la directive NIS (Network and Information System Security) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des États membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la nation, pour faire face collectivement aux risques de cyberattaques ».

Adoptée le 6 juillet 2016, cette directive s’applique aux OSE (Opérateurs de Services Essentiels) et par extension aux OIV (Opérateurs d’Importance Vitale). La directive NIS définit un ensemble de règles à respecter en matière de cybersécurité. Une de ses premières exigences consiste à fournir une cartographie précise des systèmes d’information associés à ces activités considérées comme essentielles pour la nation. Objectifs : déterminer l’impact d’un incident de cybersécurité sur la fourniture d’un service indispensable et y appliquer les règles de sécurité adéquates.

 

Une cartographie définie selon une approche top-down

Lorsqu’un acteur, privé ou public, est désigné comme OSE ou OIV, il lui sera difficile de mettre en conformité l’ensemble de son système d’information en une seule passe. Toutefois, les services désignés comme essentiels ne forment en général qu’une fraction de ses activités. L’organisation va donc déterminer quelles parties du SI supportent ces services et définir ainsi précisément le périmètre sur lequel les règles de la directive NIS devront s’appliquer.

La cartographie des parties du SI associées aux activités essentielles est réalisée en plusieurs étapes. Le point de départ du travail de cartographie, ce sont les services désignés par l’État comme essentiels, qui devront donc être couverts par la directive NIS :

  • La première étape consiste à consulter les équipes métiers, afin de déterminer quels processus et organisations entrent en jeu pour la fourniture de ces services essentiels.
  • La seconde étape prend note des actions effectuées, des acteurs métier engagés et des outils utilisés pour assurer la mise en œuvre de ces processus. La criticité des outils et processus est évaluée avec les métiers selon les critères de confidentialité, intégrité et disponibilité.
  • Enfin, la dernière étape, réalisée en partenariat avec la DSI, consiste à déterminer quels éléments du SI soutiennent ces processus.

Cette approche top-down (métiers, processus, IT) permet aux équipes cybersécurité de mieux appréhender les enjeux métiers essentiels, mais aussi de sensibiliser l’ensemble des équipes aux problématiques de cybersécurité en les associant au projet.

 

Jusqu’où aller dans l’application de la directive NIS ?

Dans certains secteurs, comme le transport et la logistique, de nombreux acteurs tiers entrent en jeu et de nombreux pays peuvent être concernés Ne doit-on appliquer les règles de la directive NIS qu’aux sites européens ? Doit-on demander aux partenaires et fournisseurs d’adopter les mêmes règles ? Du point de vue informatique, il faut partir du postulat que l’entreprise se doit de sécuriser tout ce qui se trouve à sa portée, surtout avec la multiplication des attaques par rebond visant ainsi la chaine de valeur des OSE/OIV. De ce fait, des contrôles ainsi que des clauses de sécurité spécifiques aux partenaires pourront également être ajoutés à leurs contrats.

Autre problématique : le suivi de la cartographie. Si les processus métiers ne vont pas fondamentalement changer au cours du temps, la transformation IT est susceptible de modifier la cartographie du SI soutenant des activités essentielles. Un référent NIS sera chargé de vérifier l’impact de chaque nouveau projet IT sur cette cartographie, de passer ses consignes à la DSI et de mettre à jour les informations transmises à l’ANSSI. En fin d’année, une phase de vérification globale fait office de « voiture-balai » en collectant les éventuelles modifications passées sous le radar.

 

Une méthode bénéfique pour toutes les entreprises

L’application des règles de la directive NIS est un projet d’envergure, qui peut être vu comme contraignant pour les entreprises. Mais une fois le projet déployé et rodé, il est en général bien accepté par les équipes métiers et la DSI. Il permet en effet de favoriser l’acculturation des équipes à la sécurité informatique.

Certaines entreprises ayant mis en place un tel projet dans le cadre de la directive NIS envisagent maintenant de généraliser cette cartographie à l’ensemble de leurs activités critiques. Cette approche visant à protéger les parties critiques du SI constitue une bonne pratique que pourront mettre en œuvre des entreprises de toutes tailles, qu’elles soient OSE/OIV ou non.

 

Cet article a été publié dans IT Social le 3 décembre 2020

Connaissez-vous IBM Security ?

 

*ANSSI : Agence nationale de la sécurité des systèmes d’information

 

 

 

Expert Sécurité IBM

Haithem Gardabou

CISSP, ISO - Cyber Security Strategy, Risk & Compliance - IBM

More Sécurité stories
16 avril 2021

Construire, moderniser, sécuriser et opérer votre IT avec IBM IS

  Le « Move to Cloud » et l’intégration d’environnements hybrides De nouveaux rôles clés émergent pour accélérer l’innovation en entreprise tout en maîtrisant les coûts. L’usage du Cloud en entreprise représente, en effet, une opportunité extraordinaire d’innovation. Mais aussi une menace sur l’intégrité, le contrôle des données et la gestion des assets informatiques. « Le « Move to […]

Continue reading

23 février 2021

L’Internet industriel des objets à l’épreuve du réel

Vos données valent-elles de l’or ? L’Internet industriel des objets à l’épreuve du réel   Pour innover et survivre, les entreprises industrielles doivent constamment adopter de nouvelles techniques, de nouvelles compétences, de nouvelles configurations de travail. Au confluent de ces trois novations, les technologies numériques et plus particulièrement l’internet des objets (IoT) leur ouvrent des […]

Continue reading

1 février 2021

Serveurs POWER : le bouclier anti crise du secteur du retail

La puissance, la robustesse et la sécurité des serveurs POWER leur permettent d’amortir les chocs, y compris les plus inédits, comme les pics de charge de grande ampleur constatés dans le secteur de la distribution pendant la crise sanitaire.   Le marché de la distribution a été sous haute tension au cours de l’année 2020. […]

Continue reading