La Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34

CAC 40 et cybersécurité,

vers une prise de conscience des entreprises ?

La cybersécurité est au cœur de l’actualité et de l’évolution de la réglementation. Elle constitue un enjeu majeur pour les entreprises qui doivent mettre en place des actions pour se protéger. Comment les plus grandes entreprises françaises s’emparent- elles du sujet et comment cela se reflète-t-il dans leurs rapports annuels ?

L’Autorité des marchés financiers (AMF) oblige depuis 2009 les entreprises à préciser les facteurs de risques dans leurs rapports annuels. Nous avons donc souhaité mesurer le niveau de prise en compte des risques SI en réalisant pour cela une étude comparative des rapports annuels des entreprises du CAC 40 sur les années 2010 (première année où l’obligation a été prise en compte) et 2013 (rap- ports les plus récents).

Une prise en compte de la cybersé- curité en forte augmentation mais qui reste timidexxxxxxxxxxxxxxxxxxxx

L’analyse des rapports montre une prise en compte forte des enjeux cybersécurité par les entreprises dès l’année 2010, avec une augmentation en 2013 : 95% des entreprises mentionnent une stra- tégie SSI contre 73% en 2010. Le terme « cyber » en lui-même apparaît dans plus de 50% des rap- ports annuels. La prise en compte des probléma- tiques cybersécurité en France est donc quasi una- nime. En comparaison, au Royaume- Uni, seules 60% des entreprises du FTSE100 mentionnent la

problématique des risques SI. Ce chiffre est cepen- dant à nuancer car la base de comparaison de ces deux études est différente (40 entreprises au CAC vs 100 au FTSE).

La part des entreprises ayant initié des actions pour faire face aux risques SSI est également croissante : elle est passée de 45% en 2010 à 78% en 2013.

Malgré cette prise en compte de plus en plus forte, les entreprises sont encore peu loquaces dès lors qu’il s’agit de mentionner les cyber-incidents dont elles ont pu être victimes. Deux entreprises unique- ment le précisent, alors qu’elles sont beaucoup plus nombreuses à en avoir été victimes (publiquement ou non). Ce sujet est encore tabou ; l’évolution du cadre réglementaire à venir dans les prochaines années devrait changer la donne.

Des informations hétérogènes dans les rapports de 2013xxxxxxxxxxxxxxxxxxxxxx

Ces rapports mettent en lumière les sujets clés pour les entreprises aujourd’hui. Beaucoup mentionnent la nécessité de l’ouverture de leurs systèmes d’infor- mation, de la protection des données personnelles et les évolutions organisationnelles et technolo- giques que cela pourrait entraîner. Les impacts du Big data, du Cloud computing ou du BYOD sont cités dans plus de la moitié des rapports.

Suite en page 2 DÉCRYPTAGES

Sécurité des SI industriels : rester aux avant-postes !

Les attaques récentes l’ont mis en avant : le SI industriel est toujours une cible, il est essentiel de monter en compétences rapide- ment pour prendre en compte l’apparition de nouvelles menaces et construire des réponses opérationnelles.

La communauté sécurité multiplie actuel- lement les initiatives. Le dernier numéro de MISC pourrait en ce sens être la lecture incontournable de l’été – nous y retrouvons des conseils pour aborder cette problématique sous toutes ses facettes et la vision des meil- leurs experts français du sujet. Signalons éga- lement les travaux du CLUSIF qui ont permis l’analyse et la sélection des meilleurs référen- tiels de sécurité à appliquer. Un accélérateur bienvenu pour créer sa propre démarche ! Nous faisons le choix d’investir sur ce sujet ; à la fois au travers des initiatives ci-dessus mais également sur des travaux en propre, en par- ticulier au travers du Focus « SI industriel et sécurité : oser la transformation » et la publica- tion d’un outillage permettant de réaliser des audits plus simplement avec Metasploit. Nous menons en parallèle des missions d’applica- tion du référentiel de l’ANSSI.

L’été est un moment propice pour gagner en expertise sur de nouveaux sujets, c’est main- tenant qu’il faut le faire sur la sécurité des SI industriels !

Gérôme Billois,

Senior manager au sein de la practice Risk management & sécurité de l’information

Édito

P7 P4

n° 34

La Lettre Sécurité

Les entreprises précisent également les menaces auxquelles elles doivent faire face. Une trace du passé subsiste car encore beaucoup de rapports mentionnent les virus. Mais pour la majorité des entreprises, l’espionnage industriel et l’évolution de la cybercriminalité apparaissent comme des craintes fortes : ces deux tendances sont présen- tées comme des menaces pesant sur l’entreprise.

À noter, un réalisme de plusieurs acteurs qui indiquent subir ou pouvoir subir des pertes dues à ces menaces, malgré les efforts de protection et la prise en compte de ces risques. Le message semble s’être bien diffusé : l’invulnérabilité n’existe pas en matière de cybercriminalité. Cette prise en compte se manifeste également par la mention de normes, standards internationaux ou recommandations faites par des acteurs comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ou l’Organisation Internationale de Normalisation

(ISO), même si seules 5 entreprises déclarent uti- liser ces normes. Un chiffre qui peut paraître faible par rapport à la réalité observée sur le terrain.

Le sujet de la sécurité des SI industriels reste le parent pauvre des rapports. Alors qu’il concerne la moitié des entreprises du CAC 40, seules trois le mentionnent dans leur rapport.

Il est également intéressant de relever que la nature de la cible des rapports annuels (actionnaires, investisseurs) modifie la nature des messages.

Plus que de projets techniques de sécurisation, les entreprises parlent de gouvernance sécurité et de contrôle interne. Le niveau de prise en compte est également très variable dans le vocabulaire utilisé et la précision des termes employés. Il doit cependant être relativisé considérant le degré d’implication des fonctions sécurité dans la rédaction des rapports…

et la sensibilisation aux problématiques sécurité encore jeune des fonctions communication et financière responsables de ces documents.

Les informations communiquées et le niveau de détail des programmes mis en œuvre sont égale- ment très variables : de quelques lignes mention- nant le risque, à des extraits des méthodologies utilisées.

Quelles évolutions attendre dans les rapports de 2014 ?

Plus personne ne nie aujourd’hui l’enjeu cyber- sécurité. Les entreprises semblent de plus en plus conscientes des impacts potentiels et agissent afin de se protéger. Des efforts de transparence sont cependant encore à réaliser, particulièrement concernant la notification des incidents et leur mention. La prise en compte de la cybersécurité devrait encore connaître une augmentation forte entre 2013 et 2014, du fait de la succession des incidents mais aussi de la promulgation de la Loi de Programmation Militaire, qui entraîneront mécaniquement des actions dans les entreprises concernées (notam- ment les Opérateurs d’Importance Vitale).

Article rédigé sur la base d’une étude réalisée par Oumeima Guessous, Pierre-Alain Pocquet et Victor Stril.

Dossier

2013 2010

2010 2013

95%

78%

73%

48%

PLAN D’ACTION

% des entreprises qui en mentionnent l’existence

ENJEUX

de sécurité des SI

% des entreprises qui en mentionnent l’existence

mentionnent deus sujets phares des SI, le cloud et le big data

évoquent l’ANSSI ou des normes et standars (ISO 2700x, ITIL...)

seulement évoquent les attaques informatiques dont elles ont été victimes

Dossier

Face à l’indisponibilité d’un site utilisateur, les réponses des Plans de Continuité d’Activité s’ap- puient sur des stratégies diverses. Si le déport d’activité peut permettre de répondre à des crises courtes, il doit être en revanche bien encadré du point de vue RH, notamment en raison des impacts en termes de charge sur les collabora- teurs concernés. La solution de type Dual Office constitue également une stratégie intéressante.

Elle sous-entend cependant la prise en compte de la continuité d’activité dès la construction opérationnelle du processus Métier. Le PCA n’est plus alors une tâche ponctuelle, il devient une partie intégrante du métier de l’organisation, dès sa conception. Enfin, la solution traditionnelle reste la plus répandue : une stratégie de repli sur un ou plusieurs sites alternatifs permettant la reprise progressive des activités métiers en commençant par les plus vitales.

Mais comment construire sa stratégie de repli ? Quelles solutions retenir ?

Connaître ses métiers critiques

Il est tout d’abord nécessaire de réaliser un Bilan d’Impact d’Activité (Business Impact Analysis ou BIA), qui permettra de cartographier les activités Métiers (notamment en les localisant géographi- quement), quantifier l’impact de l’interruption de ces activités dans le temps sur un référentiel partagé (le BIA permet donc la définition d’un chronogramme de reprise des activités du site en cas de sinistre) et enfin de connaître les spécifi- cités opérationnelles des Métiers afin d’identifier

spécifique, téléphonie enregistrée, équipement call- center pour les centres de relation client, lecteur de chèques, …)

Identifier exhaustivement les solutions à envisager

Une multitude de solutions permettant un repli de collaborateurs existent à l’heure actuelle :

• Site de repli interne dédié : bâtiment possédé par l’organisation et dédié au PCA ;

• Site de repli externe, au travers de positions de travail louées et utilisées en cas de crise, selon deux modèles de location : positions dédiées au souscripteur, positions mutualisées entre plusieurs clients (cette dernière soulevant le risque de non obtention du volume de posi- tion souscrite en cas de choc extrême touchant simultanément plusieurs structures) ;

• Repli croisé entre les sites de l’organisation : réquisition de bureaux disponibles et des salles de réunion des bâtiments non sinistrés et déploiement de postes de travail aux colla- borateurs repliés par l’organisation ;

• Nomadisme ou travail à distance, grâce à des solutions appropriées permettant aux colla- borateurs de travailler de chez eux (postes nomades, accès distants au SI, etc.). Cette solution de repli est relativement bien adap- tée aux métiers « prédisposés » au travail à distance, avec une faible spécificité opération- nelle (par ex. les populations commerciales).

La stratégie de repli : un portefeuille de solutions à orchestrer

La confrontation des solutions de repli (capacité d’activation dans le temps, contraintes techniques) au BIA (chronogramme de reprise, spécificités opérationnelles) va permettre la conception d’une stratégie globale constituée de la combinaison de solutions unitaires, adaptées à un contexte, des contraintes Métiers et des contraintes de l’organisa- tion. Cette association en un portefeuille de solutions permet de répondre efficacement aux enjeux de la reprise d’activité.

On peut donc, par exemple, envisager un dispositif sous la forme d’une « fusée à 2 étages », comme détaillé ci-après.

Les activités critiques, dont la reprise très rapide est vitale (reprise en moins de 48h)

En général, la reprise de ces activités s’envisage sur un site dédié et déjà préparé (postes de travail, raccordement réseau, téléphonie), sur un site de l’organisation ou chez un prestataire.

On peut notamment penser à des activités de front office, de call-center, ou encore de fonctions sup- ports très sensibles, alliant à un fort besoin de reprise des contraintes opérationnelles complexes à mettre en œuvre rapidement (stations de travail scientifique, téléphonie enregistrée).

Les activités moyennement critiques (reprise à partir de 48h) et les activités non critiques (reprise au-delà de 1 à 2 semaines)

Le panel de solutions est large : si le repli chez des prestataires reste d’actualité, on peut dorénavant penser à des solutions moins coûteuses, mais nécessitant un certain temps de déploiement opé- rationnel : repli croisé, nomadisme ou encore déport d’activité. Il est toutefois important de prendre en compte un certain nombre de contraintes lorsque l’on se tourne vers des solutions « internes » (accès réseau, fourniture de postes de travail, …).

Cette première réflexion permettra de donner nais- sance à plusieurs scénarios de repli, qu’il conviendra d’évaluer selon des critères choisis : coûts de la solu- tion de continuité (investissement, coût récurrent de maintenance annuelle), capacité à répondre au besoin (reprise des activités techniques, capacité d’activation, …), couverture de risque (capacité à être utilisable sur plusieurs scénarios de risques, par ex. perte d’un bâtiment, pandémie, …), complexité de mise en œuvre de la solution de repli, maintien en conditions opérationnelles - MCO - (complexité et charge du MCO, maintien de la situation dans le temps, …), testabilité de la solution (bascule, ouvertures des accès, …)

Enfin, dans le cadre de la mise en place d’une solution s’appuyant sur du repli, un point d’attention est à prendre en compte : la définition de modalités RH. En effet, les conditions de travail des collaborateurs se trouvant modifiées, il est nécessaire de définir un cadre dans lequel s’inscrire en situation de crise.

Indisponibilité d’un site utilisateur : quelle(s) stratégie(s) de repli ?

Décryptage

Vincent Exposito, consultant senior

vincent.exposito@solucom.fr

Décryptage

Fuite de données personnelles : comment stopper l’hémoragie ?

Le 6 mai dernier, Orange annonçait avoir été vic- time du vol d’un « nombre limité » de données de clients. C’est la seconde fois en moins de 6 mois que l’opérateur fait la une de l’actualité pour des faits similaires. Depuis quelques semaines, c’est Domino’s Pizza qui est sous les feux de la rampe.

Le groupe cybercriminel Rex Mundi réclame une rançon de 30 000€ sous peine de publier les 650 000 données clients dérobées à Domino’s Pizza. Ces récents évènements illustrent les dif- ficultés actuelles des entreprises à lutter effica- cement face à une menace cybercriminelle de plus en plus prégnante.

Des attaques cybercriminelles d’une ampleur jusque-là inégalée

Ces attaques se répètent et n’épargnent per- sonne. En novembre 2013, l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c’est au tour du géant américain de la distri- bution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires.

Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la pro-

fessionnalisation et la diversification de ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle.

La protection des données personnelles au cœur du débat

L’Union Européenne s’est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles (N.B. le Conseil de l’UE doit se prononcer dans les prochains mois).

Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entre- prises, tout en augmentant drastiquement les sanctions.

Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données person- nelles, cela ne suffit pas. Pour protéger les don- nées de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.

Prioriser la détection et la réaction par la supervision sécurité

On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours !

L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervi- sion sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil atten- tif et de réagir en cas d’identification de signaux faibles indiquant une compromission.

Traiter en priorité le maillon faible de la chaîne cyber-sécurité

Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80%

des attaques cybercriminelles. Afin de prévenir

ces incidents, le RSSI doit s’appuyer sur les Ressources humaines et la Communication interne afin d’inscrire la sensibilisation SSI dans des actions de communication. À l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle.

Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type.

Réagir à la survenance d’un incident

Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.

Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégra- tion dans l’organisation de gestion de crise glo- bale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches- réflexes, des checklists ou encore des éléments de communication (éléments de langage, com- muniqué de presse, etc.).

A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cyber- sécurité. Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouve- ront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les inci- dents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.

En collaboration avec Guillaume Bour, consultant.

Raphaël Brun, consultant senior

raphael.brun@solucom.fr

Dès sa sortie en 2010, les fonctionnalités de KINECT sont prometteuses : le dispositif capte les mouvements des utilisateurs et les retrans- crit sur des personnages pour les animer, sans l’utilisation de manettes et joysticks. En 2013, la deuxième version de KINECT va plus loin en introduisant un module de reconnaissance faciale permettant d’étendre le champ des applications possibles… jusqu’au domaine de la sécurité ? Pour en savoir plus, revenons en détails sur le système KINECT.

Un dispositif technologique novateur destiné à la capture de mouvements

KINECT offre une alternative aux systèmes intru- sifs de capture de mouvements, les systèmes de capture lumineux et les systèmes mécaniques.

Bien que coûteux, ces derniers sont utilisés pour leur niveau de performance et leur grande rapi- dité dans l’animation de systèmes robotiques notamment. Les systèmes lumineux, quant à eux, exigent de porter une combinaison utilisant des marqueurs, sorte de petites lampes, émet- tant de la lumière pour indiquer leur position.

Le suivi de posture s’effectue alors par triangu- lation. À titre d’exemple, le film « Pirates des Caraïbes » a été réalisé grâce à un système de capture lumineux, les acteurs portant des mar- queurs actifs permettant de suivre entre autres les mouvements du visage avec un haut niveau de précision.

KINECT, pour sa part, ne nécessite pas de porter un squelette externe ou une combinaison. Le dispositif capture la posture grâce à un système mixte composé d’une caméra couleur couplée à un émetteur infrarouge et à son détecteur.

Ce système permet d’obtenir une carte de pro- fondeur de la scène observée, qui est associée à l’image couleur acquise par la caméra pour réaliser une reconstruction en 3D. À titre de comparaison, les systèmes stéréoscopiques classiques utilisent uniquement un ensemble de caméras couleurs pour trianguler la position de chaque élément d’une scène. Ce système peut alors subir les ambiguïtés des images, par exemple lorsqu’un acteur ne se distingue pas clairement de la couleur du décor. La précision peut être augmentée avec le nombre de camé- ras, au détriment de la qualité « temps-réel » du suivi.

Des applications allant au-delà de l’usage initial

Dès sa sortie, plusieurs applications utilisant le système KINECT ont été développées en dehors de sa console d’origine, la XBOX 360.

Par exemple des interfaces gestuelles pour ordi- nateur ont vu le jour, permettant de faire défiler des images d’un simple geste de la main, ou de naviguer sur un site web. Ce n’est déjà plus un simple périphérique de jeux vidéo ! Dans les années qui ont suivi, des chirurgiens canadiens ont utilisé KINECT dans les blocs opératoires pour manipuler et zoomer directement sur des radiographies numériques, évitant ainsi de les toucher et donc de devoir se laver les mains à nouveau.

Dans le domaine de la sûreté, KINECT a été utilisé pour surveiller la zone démilitarisée entre la Corée du Sud et la Corée du Nord, permet- tant ainsi de distinguer les mouvements d’êtres humains de ceux des animaux, contrairement à des détecteurs de mouvements classiques.

Avec KINECT 2, des perspectives prometteuses en matière de sécurité

En 2013, KINECT 2 a fait son apparition avec des capteurs plus précis et plus sensibles, rendant possible la reconnaissance faciale.

Ainsi KINECT 2 promet déjà de nouvelles applica- tions dans le domaine de la sécurité. David Myers, professeur à l’Université Loyola (Nouvelle Orléans) prédit que cette technologie se mettra en place très prochainement dans le milieu scolaire « pour s’assurer que l’étudiant qui se présente à un exa- men est bien la bonne personne ». Par ailleurs, les autorités aéroportuaires de certains pays du Golfe réfléchissent activement à la mise en place de portiques automatiques aux frontières utilisant la reconnaissance faciale notamment par KINECT.

Dans le domaine de la téléphonie mobile, on peut imaginer que le rachat en 2013 de PrimeSense, le concepteur de KINECT, par Apple va permettre d’améliorer la sécurité concernant l’accès utilisateur. Ainsi, l’une des options envisagées serait de renforcer le système de reconnaissance d’empreintes digitales Touch ID avec la reconnaissance faciale de KINECT. Il se pourrait aussi que la reconnaissance faciale permette d’autoriser l’affichage, ou non, d’infor- mations confidentielles à l’écran, sans solliciter explicitement l’utilisateur. L’appareil pourrait vérifier la présence du visage de son propriétaire avant d’afficher les messages électroniques, permettant d’augmenter le niveau de sécurité sans impacter le confort de l’utilisateur par une demande de mot de passe ou d’empreinte digi- tale supplémentaire.

L’enjeu d’aujourd’hui est de permettre aux utilisateurs d’accéder et de s’approprier ces nouveaux services. Il ne faut pas non plus oublier que l’utilisation des technologies biométriques (avec « trace » notamment) est très encadrée en France par la CNIL, les données biométriques pouvant être capturées et exploitées à l’insu des individus. Un sujet d’actualité notamment par la proposition de loi encadrant les usages de la biométrie, adoptée en première lecture par le Sénat le 27 mai dernier. Affaire à suivre…

KINECT, ou comment l’innovation des jeux vidéo bénéficie à la sécurité

Décryptage

Florian Pouchet, manager florian.pouchet@solucom.fr

Décryptage

Le programme Hôpital numérique : une opportunité pour les RSSI

Au sein du ministère chargé de la santé, la DGOS (Direction Générale de l’Offre de Soin) a lancé en novembre 2011 le programme Hôpital numérique qui vise à amener, à horizon 2016, l’ensemble des établisse- ments de santé vers un premier niveau de maturité de leurs systèmes d’information pour améliorer significativement la qualité, la sécurité des soins et la performance dans des domaines fonctionnels prioritaires, sur un socle assurant la sécurité des données.

La mise en œuvre de ce niveau de maturité offre aux hôpitaux des possibilités de finance- ment allant de quelques dizaines de milliers d’euros à plusieurs millions.

De réelles exigences de sécurité

Ce premier palier de maturité défini par le programme compte trois prérequis et cinq domaines fonctionnels (imagerie, dossier patient informatisé et interopérable, pres- cription électronique, programmation des ressources et agenda du patient, pilotage médico-économique) prioritaires en termes d’usage du SI. Les prérequis sont indispen- sables pour assurer une prise en charge du patient en toute sécurité. Ils fixent les prio- rités suivantes : identité / mouvement, fiabi- lité / disponibilité et confidentialité.

Le programme impose ainsi la mise en place d’un éventail complet de mesures de sécurité allant de la gestion des habilitations, la dis- ponibilité des applications, en passant par la formalisation d’une politique de sécurité…

Afin de mesurer l’atteinte des prérequis et de justifier les possibles financements, des indicateurs ont été définis. La majorité (7 sur 12) concerne la sécurité du SI.

Dans ce cadre, la DGOS (Direction Générale de l’Offre de Soin) propose des fiches pra- tiques complètes afin d’accompagner les établissements dans leur mise en œuvre.

Des établissements de santé de plus en plus fortement incités à suivre le pro- gramme Hôpital numérique

Le programme Hôpital numérique fixe expli- citement ses objectifs de sécurité : « les enjeux majeurs de la sécurité sont la qualité et la continuité des soins, le respect du cadre juridique sur l’usage des données person- nelles de santé ».

Afin d’encourager les établissements à s’inscrire dans ce programme, la DGOS et la HAS (Haute Autorité de Santé) ont ini- tié des travaux de rapprochement depuis 2013. En effet, les établissements de santé doivent passer et obtenir la certification HAS pour pouvoir exercer. Elle est obligatoire et intervient périodiquement tous les 4 ans.

Ainsi, le volet « système d’information » de la certification des établissements de santé menée par la HAS a été modifié par étapes afin d’intégrer progressivement des indica- teurs Hôpital numérique. Le but est que le prochain manuel de certification intègre com- plétement ces indicateurs.

Aujourd’hui, ces travaux ont abouti à l’inté- gration de 27 indicateurs du programme Hôpital numérique dans 12 critères de la certification des établissements de santé. À noter que l’un des premiers critères pris en compte fut la « sécurité du système d’infor- mation ».

Une réelle opportunité pour les RSSI d’hôpitaux

Aujourd’hui, seuls 10% des hôpitaux ont atteint ce premier niveau de maturité et seul un quart des hôpitaux participe au pro- gramme Hôpital numérique. Pourtant, l’ac- tualité fournit de plus en plus d’exemples de failles de sécurité du système d’information en milieu hospitalier.

Dans un contexte où les professionnels de la santé sont encore peu sensibilisés aux risques informatiques et aux enjeux de sécu- risation du système d’information de santé, la mise en place des indicateurs Hôpital numé- rique est un bon levier de sensibilisation et un moyen de faire collaborer les équipes informatiques et le personnel médical. De plus, ces indicateurs portent sur les chan- tiers prioritaires à mener dans des contextes peu matures : la gouvernance, la continuité d’activité et la gestion des identités et des accès.

Enfin, les possibilités de financement offertes par l’atteinte de ce premier niveau de maturité représentent une réelle oppor- tunité pour les RSSI des hôpitaux de justi- fier ces investissements. En effet, le volet financement constitue l’un des quatre axes du programme Hôpital numérique. Il a pour objectif d’accompagner les établissements de santé dans les efforts déployés pour atteindre les objectifs liés aux « échanges et partages d’information dans le cadre des processus de soins ». Les montants attribués varient de 37 K€ à 3,4 M€. À noter toutefois qu’ils reposent principalement sur un financement à l’usage par les crédits d’aide à la contrac- tualisation, c’est-à-dire que les établisse- ments ne percevront les financements qu’une fois les systèmes d’information mis en œuvre et effectivement utilisés sur l’ensemble de l’établissement.

Gabriel Amirault, consultant

gabriel.amirault@solucom.fr

Assises de la sécurité 2014 : du 1er au 4 octobre.

Atelier Solucom : Détecter et réagir, oui mais comment ?

Détection et réaction sont au cœur des nouvelles stratégies de cybersécurité des grandes organisations. Si l’ensemble de la communauté s’accorde sur l’importance de ces actions, il est aujourd’hui encore difficile de savoir comment se structurer et s’outiller efficacement.

Dans ce contexte, quelles tâches peut accomplir le SOC ? Faut-il l’internaliser ou l’externa- liser ? Comment faire le bon choix de prestataire ? Comment articuler les tâches entre CERT et SOC ? Qui doit réagir et en mobilisant quelles forces vives ? Quels outillages de nouvelle génération peuvent apporter de la valeur ajouté ? Autant de questions que nous aborderons dans cette présentation.

Lors de cet atelier, M. Yann Tourdot, du Bureau Qualifications et Agréments de l’ANSSI, pré- sentera le référentiel de qualification des prestataires de réponse aux incidents de sécurité ainsi que les premières orientations du futur référentiel de qualification des prestataires de détection des incidents de sécurité.

Atelier animé par Gérôme Billois (senior manager) et Matthieu Garin (manager) le jeudi 2 octobre à 15 heures.

www.assisesdelasecurite.com

Directeur de la publication : Patrick Hirigoyen

Responsable de la rédaction : Frédéric Goux

Contributeurs : Gabriel Amirault, Gérôme Billois, Guillaume Bour, Raphaël Brun, Vincent Exposito, Oumeima Guessous, Stéphane Gomez, Mehdi Karray, Pierre- Alain Pocquet, Florian Pouchet, Victor Stril.

Photographies : Getty images Fotolia Graphiques : Solucom

Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975

La Lettre Sécurité revue de la practice Risk management et sécurité de l’information du cabinet Solucom Tour Franklin,

100-101 terrasse Boieldieu La Défense 8

92042 Paris - La Défense solucom@solucom.fr http://www.solucom.fr

L’actualité Solucom

Actualités Solucom :

Résultats annuels 2013/14 : Solucom, 2

^ème

cabinet de conseil indépendant en France.

En 2013/14, Solucom a enregistré un chiffre d’affaires consolidé de 141,6 M€, en croissance de 8%, dont 6% à péri- mètre constant.

En dépit d’un marché toujours difficile, le cabinet a ainsi largement dépassé l’objectif de croissance annuelle de 5%

qu’il s’était fixé en début d’exercice, chiffre relevé à 6,5% puis 7,5% en cours d’année.

Cette croissance a été accompagnée d’une progression soutenue des effectifs, qui sont passés de 1 185 à 1 327 collabo- rateurs au 31 mars 2014, soit une hausse de 12% en un an, dont 9% à périmètre constant.

Grâce à cet exercice dynamique, Solucom est désormais le 2^ème cabinet de conseil indépendant en France (source PAC – 2014).

Dans ce contexte graduellement plus favorable, Solucom entend maintenir son approche offensive, tant en croissance organique qu’en croissance externe, tout en accélérant son déploiement sectoriel vers la banque.