Comment adapter votre gestion de crise à la cybercriminalité avancée ?
Aujourd’hui, les entreprises disposent de processus de gestion des incidents à même de traiter des situations classiques (virus ou indisponibilités). Ces moyens ne sont pas adaptés aux nouveaux scénarios de crise, et en particulier aux attaques ciblées.
A contrario, le dispositif de gestion de crise est conçu et mis en place pour adresser des événements « disruptifs » majeurs qui inter- rompent ou modifient le fonctionnement au quotidien de l’organisation. C’est un dispo- sitif avant tout managérial, qui repose sur plusieurs briques complémentaires :
• Des mécanismes d’alerte ;
• Des personnes capables d’analyser et qualifier les alertes remontées par les processus de l’entreprise ;
• Des personnes capables de réagir, trai- ter opérationnellement et prendre des décisions.
Faire face à une menace discrète et évolutive : 8 conseils éprouvés pour adapter votre gestion de crise
Plusieurs enseignements issus du traitement de crises récentes chez des grands comptes français sont à prendre en compte dès mainte- nant pour faire évoluer le dispositif de crise et se préparer à une attaque ciblée.
1
. Prendre du recul face aux inci- dents unitaires... . . . Les incidents de sécurité font la plupart du temps l’objet d’un traitement unitaire.Résolus un par un, il est difficile d’établir un éventuel lien entre eux. Il faut donc prendre le recul nécessaire afin de détecter des com- portements dangereux qui se cachent derrière plusieurs anomalies d’apparence bénigne, sans exclure la possibilité d’actes de diver- sion (attaque de manière visible sur des élé- ments finalement peu sensibles, durant les périodes d’inactivité comme la nuit, etc.).
2
. Mobiliser les métiers...Il faut absolument éviter de considérer de telles crises comme des incidents purement informa- tiques : il s’agit en réalité d’incidents métiers, puisque ce sont principalement eux qui en subis- sent les impacts. Les métiers doivent donc être en première ligne avec des équipes capables d’iden- tifier les systèmes et données critiques.
Suite en page 2 DÉCRYPTAGES
2014, que souhaiter pour la sécurité ? 2013 aura été une année mouvementée pour la sécurité de l’information.Les révélations de Mandiant sur les moyens d’attaques chinois ont déjà près d’un an et depuis juin, la NSA et Snowden occupent le devant de la scène.
Au-delà de ces deux évènements médiatiques, une succession d’annonces d’attaques ou d’incidents ont rythmé l’année passée.
La prise de conscience engendrée ne doit pas faire oublier qu’un chemin important reste à par- courir ! Maintenir une hygiène de base dans le SI demeure un challenge. La question de l’appli- cation des correctifs en est un exemple frappant.
L’ANSSI pousse dans ce sens avec ses 40 règles d’hygiène. Le vote de la loi de Programmation militaire ne fera que renforcer ces orientations pour les structures concernées .
La sécurité de 2014 devra également mieux détecter et réagir aux évènements : les inci- dents ne peuvent pas tous s’éviter, il faut s’y préparer et savoir comment agir !
Et comme toujours, elle devra accompagner les évolutions technologiques. 2013 a vu se déve- lopper de nombreux objets connectés... et les failles associées, qui doivent être corrigées en amont, avant diffusion massive.
2014 sera une année clé pour la communauté dans son ensemble avec de fortes évolutions réglementaires à venir. Les directions sont connues et les principes partagés. Leur promo- tion et leur application se feront sur 2014 ! Gérôme Billois,
Senior manager au sein de la practice Risk management & sécurité de l’information
Édito
P6 P5
n° 32
La Lettre Sécurité
3
. Mettre en place une organisation en miroir des attaquants...Les retours d’expérience de crises majeures des dernières années ont montré que les attaquants sont de plus en plus structurés autour de profils distincts avec des expertises variées.
Le pilote de l’attaque est le « cerveau » qui a la compréhension des enjeux, de la cible et la connaissance de l’information recherchée.
Les équipes d’intrusion sont spécialisées dans l’infiltration : leur rôle est d’enfoncer les portes du SI. Elles disposent potentiellement de com- pétences techniques avancées et ont pour but de maintenir leur présence le plus longtemps possible. Les données sont ensuite extraites par une troisième équipe, souvent moins compé- tente et qui peut parfois réaliser des erreurs très utiles pour comprendre l’objectif de l’attaque et les moyens mis en œuvre.
Il faut donc s’organiser en conséquence.
Les métiers doivent mettre en place des équipes de réaction dédiées pour identifier les systèmes et données critiques. Côté SI, les équipes foren- sics ont pour tâche de comprendre le fonctionne- ment des attaques et donner les éléments tech- niques d’identification, tandis que les équipes de réaction SI doivent penser la reconstruction dans la durée, afin de ne plus subir à nouveau ce type d’intrusion.
Au cœur du dispositif, il est nécessaire qu’une cellule de pilotage coordonne l’ensemble de ces acteurs. Notons que de nombreuses fonctions transverses doivent être impliquées : la direc- tion juridique, la communication, la relation client ont notamment un rôle important à jouer durant la crise.
4
. Se doter de compétences foren- sics et d’un outillage adapté pour com- prendre l’attaque...Comprendre la succession d’évènements néces- site des équipes dédiées avec des compétences de forensics (investigation numérique). Ces équipes doivent disposer de moyens techniques, outils d’analyse de traces, accès aux journaux, plate- forme de stockage des éléments techniques, etc.
5
. Anticiper dès maintenant une crise au long cours...L’un des aspects importants des compromissions avancées est leur durée : il s’agit alors de gérer des crises de plusieurs mois, dont il est parfois délicat de discerner le début et la fin.
En effet, une fois les attaques jugulées, les efforts sont loin d’être terminés : des actions de
reconstruction sont nécessaires. Il faut recréer des zones de confiance, en privilégiant d’abord les fonctions les plus sensibles de l’entreprise.
Il faut également mettre sous surveillance ces zones assainies.
6.
Éviter le phénomène de la « pyra- m i d e i n v e r s é e ». . . . Enfin, attention à ne pas subir un phénomène de« pyramide inversée » créant des équipes à deux vitesses : les acteurs décisionnels de la gestion de crise en sureffectif par rapport à des acteurs opé- rationnels du SI, eux submergés. Ceux-ci, seuls à disposer de la connaissance pour réaliser les actions techniques sur le SI, reçoivent souvent trop d’ordres contradictoires dans un faible inter- valle de temps.
7
. Penser des solutions SI dégra- d é e s i n d é p e n d a n t e s. . . . Il est parfois nécessaire d’innover durant ce type de crise, et passer s’il le faut par des mesures exceptionnelles, comme l’utilisation de moyens informatiques alternatifs. Il s’agit par exemple de postes de travail déconnectés du SI compromis, et donc hors de portée des attaques, ou encore d’adresses e-mail externes à l’abri des regards des attaquants en utilisant des services de messagerie Cloud ou grand public.8
. Prévoir les interactions externes Un contact en mesure de conserver les informa- tions relatives à la crise confidentielles doit être identifié au préalable chez chacun des acteurs extérieurs impliqués dans une crise cybercrimi- nalité – forces de l’ordre, assureurs, autorités de contrôle.Décryptage
Marion Couturier, manager
marion.couturier@solucom.fr Chadi Hantouche, manager chadi.hantouche@solucom.fr
Dispositif de gestions de crise et sécurité des SI : que font les grands comptes français ?
Dossier
La cyber-attaque dont Vodafone Allemagne a récemment été victime n’a laissé personne indif- férent. Pour mémoire, les noms, adresses, dates de naissance, sexes et coordonnées bancaires de deux millions d’abonnés ont été subtilisés par des cybercriminels. Nous pouvons rapidement imaginer le coût de gestion d’une telle crise : frais d’expertise technique pour endiguer la crise et déterminer les caractéristiques de l’attaque, frais de notification client, frais de justice, com- pensation financière, amendes…
On peut souhaiter que Vodafone Allemagne ait au préalable souscrit une assurance qui lui aurait indemnisé la plupart de ces frais…
Qu’est ce qu’une cyber-assurance ?
La cyber-assurance se définit comme un produit d’assurance visant à permettre à une entreprise d’être indemnisée des dommages immatériels qu’elle subit ou fait subir à un tiers du fait d’une introduction, suppression, altération ou vol de données sur son système d’information. Les frais pris en charge sont variés : pertes directes, frais d’expertise technique, frais de justice, frais de notification client, frais de préservation / res- tauration de l’image, frais de surveillance des données, frais d’extorsion… et les montants de garanties sont élevés (environ 20M€ par assu- reur et jusqu’à 200M€ en réalisant des montages d’assurances).La cyber-assurance a également l’attrait de mettre à disposition, chez la plupart des assu- reurs, un réseau d’experts (investigation numé- rique, communication, avocats…) capable d’in- tervenir rapidement pour gérer la crise, ce qui peut ainsi en diminuer les impacts.
Cependant, ces assurances peuvent avoir cer- taines limites, notamment sur le périmètre de couverture. En effet, s’il est prouvé dans le cas de Vodafone qu’un prestataire de services a une responsabilité dans le vol des données, il est possible que ce sinistre ne soit pas couvert par la cyber-assurance (l’assurance « fraude » prend alors le relai, et n’a pas forcément les mêmes garanties). Il est donc important de tester la cou- verture de la police d’assurance en utilisant des scénarios concrets d’attaques.
De l’étude d’opportunité à la souscription
Quoiqu’il en soit, lorsqu’une entreprise est potentiellement exposée à ce type d’attaque et qu’elle gère des données sensibles, la ques- tion de la cyber-assurance doit être étudiée. Au même titre que l’on peut s’assurer contre un incendie, pourquoi ne pas s’assurer contre une cyber-attaque ?Lors de cette étude d’opportunité, il conviendra d’effectuer une analyse de risques pour déter- miner les risques résiduels et les confronter avec les assurances déjà souscrites par l’entreprise, afin de déterminer ce qui est déjà couvert et ce qu’il reste à couvrir.
Les cas de figure sont alors assez simples.
L’entreprise a ou pas la capacité d’absorber ces coûts. Habituellement, une grande entreprise souhaitera principalement se prémunir contre une attaque majeure dont les coûts associés seraient trop importants pour qu’elle puisse les absorber. Dans ce cas, les montants de garan- ties souscrites et la franchise seront élevés. Les PME souhaiteront quant à elle plutôt s’assurer contre tous les types d’attaque, de la plus petite à la plus grande, n’ayant pas nécessairement les ressources pour absorber l’ensemble des coûts.
Elles choisiront alors un contrat avec une fran- chise faible et un apport d’expertise.
Finalement, dans le contexte de risque actuel, la cyber-assurance apparaît comme une solution intéressante pour de nombreuses entreprises, en apportant une indemnisation financière en cas d’attaque, ainsi qu’un apport d’expertise rapide qui lui permet d’en limiter les impacts.
Cependant, la souscription requiert un arbitrage entre l’exposition de l’entreprise, son niveau d’expertise sécurité, le risque résiduel à couvrir, les garanties proposées et le montant de la prime annuelle. Pour ce faire, une évaluation devra être menée conjointement par les fonctions de gestion des risques et les responsables sécurité de l’information, afin de permettre une décision en toute connaissance de cause par la direction générale.
[Article rédigé en collaboration avec Martin Descazeaux]
Cyber-assurance :
La souscription est-elle une protection ?
Décryptage
Gérôme Billois, senior manager gerome.billois@solucom.fr
Décryptage
Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer
Parmi les maximes bien connues des risk mana- gers, il y a cette phrase de Donald Rumsfeld en 2002, alors qu’il défendait l’intervention améri- caine en Irak :
« […] there are known knowns; there are things we know we know.
We also know there are known unknowns; that is to say we know there are some things we do not know.
But there are also unknown unknowns – the ones we don’t know we don’t know.
And […] it is the latter category that tend to be the difficult ones. »
Cette citation traduit bien la situation à laquelle les organisations font face :
• « known knowns » : ce sont les risques maîtrisés, dont l’occurrence et les consé- quences sont évaluées et connues ;
• « known unknowns » : ce sont les risques identifiés et recensés que les organisa- tions ont choisis d’adresser à court ou moyen terme ;
• « unknown unknowns » : ce sont les évé- nements qui n’ont pas été repérés par le « radar » de la gestion des risques ou dont l’occurrence apparaît infime aux regards des autres risques.
Le Cygne Noir de Nassim Nicholas Taleb : théoriser l’imprévisible
En 2007, Nassim Nicholas Taleb développe la théorie dite du « cygne noir ». Elle englobe les
« unknown unknowns » et caractérise les évè- nements imprévisibles aux impacts majeurs de nature à totalement changer l’environne-
ment ou le destin d’une organisation.
Bien que leur nature ne s’y prête pas facile- ment, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.
Mieux appréhender l’incertitude : raison- ner à partir des impacts
Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un appa- rent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).
Si l’histoire récente a parfois obligé les entre- prises à s’améliorer sur ce point, il semble possible de progresser encore, en dévelop- pant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’oc- currence catastrophiques), et à en déduire la liste des causes potentielles.
Déjà mise en œuvre dans le domaine finan- cier (reverse stress-testing), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion per- tinente sur les modalités de traitement de ces risques.
Capitaliser sur le risk management en place, via la notion de « cascade de risques »
Il faut ensuite mobiliser le dispositif de ges- tion des risques déjà en place (les processus d’enterprise risk management – ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques clas- siques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus sou- vent à l’origine des vraies catastrophes (cf.
l’exemple de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).
Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse ten- dance à entraîner dans leur sillage la concré- tisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.
Bâtir une organisation résiliente
Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.
A la difficulté près qu’elles sont parfois inva- lidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).
Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : cer- taines banques d’investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un back-up sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.
Même dans cette situation, attention toutefois à ne pas se sentir totalement protégé : les nou- velles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles.
D’autres mesures seront alors à envisager ! [Article rédigé en collaboration avec Frédéric Chollet]
Florian Carrière, senior manager florian.carriere@solucom.fr
Les objectifs d’une solution de gestion des iden- tités et des accès (IAM) sont doubles : améliorer la sécurité et l’efficacité opérationnelle. L’IAM se doit de savoir qui utilise le SI, en accédant à quoi, et ce tout au long du cycle de vie de ses utilisateurs dans l’entreprise… mais pour cela, encore faut-il disposer des informations néces- saires ! Interfacer ma solution d’IAM avec le SIRH peut-il répondre à cette problématique ?
Que peut apporter le SIRH à ma solution IAM ?
Pour remplir ses objectifs, mon IAM doit être en mesure de répondre à des ques- tions simples en apparence : qui est cet utilisateur, quel est son nom, son prénom, son matricule ? Quelle est sa fonction dans l’entreprise, et par extension, quelles applica- tions devra-t-il utiliser ? Qui est son supérieur hiérarchique, et peut-être futur valideur pour ses demandes d’habilitations ?
Obtenir ces réponses est un 1er besoin… mais n’est pas le seul ! Ses informations évoluent : un nouveau collaborateur intègre l’entreprise dans une semaine, il faut lui donner le plus rapidement possible ses accès SI pour qu’il puisse travailler ; Melle Durand, anciennement contrôleuse de gestion, devient responsable de la comptabilité… il faut lui donner ses nouveaux accès, certes, mais également sup- primer les droits qui lui sont devenus inutiles, voire qui pourraient devenir « dangereux » par rapport à son nouveau poste (SoD).
Ces éléments et leurs mises à jour sont généralement présents dans le SIRH d’une entreprise, notamment en raison du lien de celui-ci avec la paie, qui a besoin de savoir qui payer (et quand arrêter de payer), qui est responsable des augmentations d’untel ou d’untel, quelle entité sera facturée, etc.
Avec de tels enjeux financiers à la clé, un soin particulier est généralement accordé au maintien à jour de ce référentiel… une opportunité pour mon IAM !
Des atouts certains… mais des limites à avoir en tête
Les liens possibles entre SIRH et IAM sont donc bien réels. Mais attention cependant à ne pas oublier un point essentiel : systèmes d’information et ressources humaines sont deux univers différents, portés par des métiers différents, avec des enjeux, des objectifs, des vocabulaires différents.
Comme nous l’avons dit, le référentiel SIRH est souvent lié à la paie, et cette relation permet d’il- lustrer les limites des liens qui pourront, ou non, être tissés entre mon SIRH et mon outil d’IAM.
Première limite, là où la paie n’a besoin d’avoir dans son périmètre que les personnes qui seront payées par l’entreprise, mon IAM, lui, se doit de connaître tous les utilisateurs de mon SI, qu’ils soient prestataires, intéri- maires ou salariés.
La notion de métier ou encore de hiérarchie n’est pas forcément identique dans le SIRH et pour l’IAM. Pour le SIRH, Mme Mercier est supérieure hiérarchique de Mlle Durand, car c’est elle qui est responsable de ses augmenta- tions… mais au quotidien, c’est M. Simon son manager ! Et c’est bien lui qui sera légitime pour valider ses demandes d’habilitations.
Les priorités ne sont pas non plus toujours les mêmes entre ces deux univers : un nouvel arri- vant doit avoir ses accès SI dès son arrivée…
en revanche, il y a souvent moins d’urgence à le créer dans le SIRH, car il ne percevra son premier salaire qu’à la fin du mois.
Comment s’interfacer avec le SIRH ?
Comme nous l’avons vu, le SIRH est capable de fournir énormément d’informations struc- turantes, mais possède des spécificités à ne surtout pas négliger. Afin d’en tirer pleine- ment parti et réussir un interfaçage propre, efficace et limitant au maximum les malen- tendus entre ces deux mondes, trois éléments sont nécessaires :• Dans un premier temps, définir les élé- ments structurants pour l’activité opéra- tionnelle et qui seront exploités par l’IAM : les organisations de rattachement des uti- lisateurs, leurs supérieurs hiérarchiques, les dates d’arrivées et de départ, etc.
• Il est ensuite primordial de se doter de l’organisation, des processus et outils d’IAM flexibles, capables de s’adapter aux différences évoquées précédem- ment. La solution IAM doit ainsi per- mettre la création d‘identités en avance de phase, ou encore la modification manuelle de certains attributs d’iden- tité. Elle doit conserver une certaine marge de manœuvre sur la gestion de ses identités, ne pas avoir une dépen- dance trop rigide vis-à-vis du SIRH.
• Enfin, une attention particulière doit être portée à la réconciliation entre les identités du SIRH et celles de l’IAM. Qu’un utilisa- teur soit créé « en avance » dans l’IAM, ou que certains de ses attributs soient modi- fiés manuellement, le lien avec le SIRH doit être assuré… faute de quoi, gare aux doublons et aux identités fantômes. Définir une clé unique de réconciliation entre les identités est indispensable pour un inter- façage efficace… et pérenne !
Le SI RH peut se révéler d’une aide précieuse pour la gestion du cycle de vie des utilisateurs grâce aux informations dont il dispose sur les personnes et sa connaissance des mobilités et départs. À condition toutefois de bien com- prendre les processus RH sous-jacents, leurs particularités par rapport au monde du SI, et de s’y adapter dans une logique de gestion des identités et de contrôle des accès.
[Article rédigé avec Benjamin Pedron, consultant]
Interface avec le SIRH : une opportunité pour l’IAM ?
Décryptage
Florian Pouchet, manager florian.pouchet@solucom.fr
Décryptage
Gestion des risques : comment équilibrer opportunités de développement et risques ?
La gestion des risques ne doit pas être un frein au développement de l’entreprise
L’élaboration d’une cartographie des risques peut naître de contraintes règlementaires ou encore d’une volonté, pour un responsable, de maîtriser les risques de son périmètre.
Dans tous les cas, il est important de rappeler que l’élaboration d’une telle cartographie a pour objectif premier de mettre en lumière des failles, des points de vulnérabilités, de les prioriser selon leur importance (leurs impacts sur l’entreprise) de manière à les traiter de manière structurée.
On peut cependant considérer cette vision de la gestion des risques comme « défensive », reflet d’une entreprise qui pourrait sur-traiter les risques voire systématiquement les refu- ser. Or, une entreprise, pour se développer, doit savoir saisir des opportunités et prendre des risques. Conquérir un nouveau marché, adapter son offre commerciale, acquérir une société,…sont autant de démarches « ris- quées » nécessaires à son évolution.
Comment intégrer une vision plus
« positive » du risque au sein de la cartographie ?
Ne pas savoir saisir les opportunités peut être considéré comme un risque vis-à-vis de la stratégie de l’entreprise. Dès lors, on doit attendre de la cartographie qu’elle accom- pagne cette prise de risques.
Prenons l’exemple d’une entreprise qui sou- haite se développer sur un nouveau marché.
Cette stratégie pourrait notamment s’appuyer sur l’acquisition d’une société disposant d’ex- pertises sur ce marché. On pourrait raisonna- blement considérer cette démarche comme intrinsèquement risquée : la société ciblée apportera-t-elle tout le potentiel attendu ? La valeur d’acquisition sera-t-elle bien évaluée ? Son intégration dans la culture de l’entreprise sera-t-elle facile ?
À ne considérer que les risques, la carto- graphie pourrait inciter à ne pas se lancer dans une démarche d’acquisition pourtant nécessaire au développement de l’entreprise.
La « bonne réponse » passe dès lors par la prise en compte, au sein de la cartographie, non seulement des risques mais également des opportunités. On ne masquera pas les risques car ils nécessitent d’être gérés, mais les différents scénarios seront relativisés au regard des bénéfices attendus. La cartogra- phie deviendra alors un vrai outil d’aide à la décision permettant d’équilibrer la prise de risques.
Une vision très dépendante d’un contexte évoluant très rapidement
La perception et la qualification d’un scénario en tant que risque pour l’entreprise dépend des objectifs et du contexte (économique, financier, social,…) de celle-ci. Une bonneconjoncture économique, une trésorerie avantageuse, un contrôle interne efficace peuvent être à l’origine de la relativisation de certains risques dans la mesure où leurs impacts sur les objectifs de l’entreprise pour- raient être faibles.
Prenons, par exemple, la situation d’une entreprise disposant d’une forte trésorerie, qui l’inciterait peu à chercher des opportu- nités d’optimisation de celle-ci. Au sein de la cartographie, le risque de manque d’opti- misation financière sera très certainement mineur voire inexistant. Dans un contexte business moins favorable, l’argent immo- bilisé constituera un risque nettement plus conséquent (endettement, pénalités finan- cières, baisse du chiffre d’affaire…) pour l’atteinte des objectifs de l’entreprise.
Adopter une approche globale des risques en intégrant les points de vulnérabilités à trai- ter mais également les opportunités à saisir passe donc nécessairement par la mise à jour très régulière de la cartographie pour adap- ter cette dernière aux évolutions rapides du contexte de l’entreprise.
[Article rédigé en collaboration avec Florian Bourdon]
Etienne Bouet, manager, etienne.bouet@solucom.fr
Le CERT-Solucom centralise les interventions réalisées par le cabinet conseil en matière de lutte contre la cybercriminalité : étude des menaces, stratégie de défense, gestion de crise (pré- paration et intervention d’urgence), investigation numérique (forensics), veille et innovation.
Le CERT-Solucom associe un ensemble d’expertises techniques et métier et permet de mobi- liser plus de 45 profils expérimentés.
Cette organisation s’appuie sur une veille de la cybercriminalité active et industrialisée, cette collecte d’information faisant ensuite l’objet d’une publication trimestrielle « Lettre du CERT- Solucom » disponible sur le site de Solucom pour les collaborateurs et clients.
Le CERT-Solucom est accrédité par Trusted Introducer au sein de la TF-CSIRT, coordination européenne des équipes CSIRT (Computer Security Incident Response Team).
Pour contacter les équipes du CERT Solucom : cert@solucom.fr
. . . . . . . . . . . .
Directeur de la publication : Patrick Hirigoyen
Responsable de la rédaction : Frédéric Goux
Contributeurs : Gérôme Billois, Etienne Bouet, Florian Bourdon, Florian Carrière, Frédéric Chollet, Marion Couturier, Chadi Hantouche, Benjamin Pedron, Florian Pouchet.
Photographies : Getty images Fotolia Graphiques : Solucom
Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975
La Lettre Sécurité revue de la practice risk management et sécurité de l’information du cabinet Solucom Tour Franklin,
100-101 terrasse Boieldieu La Défense 8
92042 Paris - La Défense solucom@solucom.fr http://www.solucom.fr
abonnement : lettresecurite@solucom.fr
L’actualité Solucom
Actualités Solucom :
Solucom et Lumens se rapprochent
Créé en 2009, Lumens Consultants est un cabinet de conseil en organisation et mana- gement qui accompagne ses clients sur l’ensemble de leurs enjeux d’excellence opé- rationnelle, avec une proposition de valeur visant à développer l’agilité de l’entreprise.
Lumens Consultants a ainsi développé un savoir-faire de 1er plan en matière d’accom- pagnement des projets de transformation ainsi qu’une expertise reconnue en matière d’orga- nisation et de transformation de la fonction ressources humaines (RH).
Au terme d’une première phase de dévelop- pement rapide, Lumens Consultants a fidé- lisé une clientèle de grandes entreprises, avec une dominante forte dans le secteur bancaire, auprès notamment du Crédit Agricole, de la Société Générale et de la Banque Postale.
À l’issue de son dernier exercice, clos le 31 mars 2013, la société a réalisé un chiffre d’af- faires de 3,9 M€ et une marge opérationnelle supérieure à 8%.
Ce rapprochement s’inscrit dans la droite ligne de la stratégie « Solucom 2015 » : devenir un cabinet de conseil champion de la transfor- mation des entreprises, capable d’accompa- gner les mutations de ses clients sous toutes leurs facettes : métiers, organisationnelles, technologiques.
