Guide de cybersécurité: pour les prestataires informatiques

Par Yann Pilpré

Ce guide va vous permettre d'appréhender la cybersécurité à travers le cadre NIST CSF et ses différentes étapes, mais également aborder la cybersécurité par la pratique dans une vision Attaque/Défense, complétée par un aperçu de la réglementation en France.
Il est destiné avant tout aux prestataires informatiques qui souhaitent monter leurs équipes en compétences pour atteindre le niveau adéquat en cybersécurité et répondre aux besoins de leurs clients.
Il est aussi utile pour les responsables informatiques souhaitant se former aux bonnes pratiques de cybersécurité dans leur entreprise.

• Langue: Français
• Éditeur: Books on Demand
• Date de sortie: 2 juin 2023
• ISBN: 9782322479849

Yann Pilpré

Yann Pilpré est président de YPSI SAS, entreprise de services numériques spécialisée dans la cybersécurité, la performance, la supervision et "Expert Cyber" depuis 2021. Il a été responsable des systèmes d'informations dans plusieurs structures comme Carl Zeiss, Barry Callebaut, le Parc du Futuroscope et Loeul et Piriot. Il est certifié par l'ESIC en élaboration de politiques de cybersécurité et en gestion des risques des systèmes d'information. Il a aussi contribué à l'élaboration du référentiel de formation Cyber pour les prestataires au sein du Campus Cyber de Nouvelle Aquitaine.

Aperçu du livre

LE GUIDE DE LA CYBERSÉCURITÉ

POUR LES

PRESTATAIRES INFORMATIQUES

Préface de Guy Flament

Tous droits de reproduction, d’adaptation et de traduction, intégralement réservés pour tous les pays.

L’auteur est seul propriétaire des droits et responsable du contenu de cet ouvrage.

Le Code de la propriété intellectuelle et artistique n'autorisant, aux termes des alinéas 2 et 3 de l'article L.122-5, d'une part, que les copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause, est illicite (alinéa 1er de l'article L. 122-4). Cette représentation ou reproduction, par quelques procédés que ce soit, constituerait donc une contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.

© 2023 Yann PILPRÉ

Tous droits réservés

ISBN : 978-2-3224-7984-9

Édition : BoD – Books on Demand, Norderstedt

À propos de l’auteur

Yann PILPRÉ est président de YPSI SAS, entreprise de services numériques spécialisée dans la cybersécurité, la performance, la supervision et Expert Cyber depuis 2021. Il a été successivement responsable des systèmes d’information dans plusieurs structures comme Carl Zeiss, Barry Callebaut, Le Parc du Futuroscope puis Loeul et Piriot.

Il est certifié par l’ESIC en élaboration de politiques de cybersécurité et de l’ESCP en pilotage de projets innovants. Yann a aussi contribué à la réalisation du Référentiel de Compétences Cyber pour les Prestataires au sein d’un groupe de travail du Campus Régional de Cybersécurité et de Confiance Numérique de Nouvelle-Aquitaine.

PRÉFACE

Nul ne le conteste, les enjeux de cyberdéfense relèvent de la compétence régalienne de l’État. Est-ce à dire qu’il doit faire face, seul, à la menace ? Ayant passé quelques années au sein de l’Agence nationale de sécurité des systèmes d’information, Autorité nationale de défense des systèmes d’information et participé à la mise en œuvre du déploiement des délégué régionaux, je suis depuis longtemps persuadé que nous devons tous être acteur, chacun à notre niveau, de la cybersécurité de nos territoires.

Au premier plan de ces acteurs se trouvent les prestataires informatiques, sur lesquels reposent le plus souvent la sécurité de nos organisations régionales. Organisations sur lesquelles la pression s’est considérablement renforcée, de manière conjointe avec le rehaussement de la protection des plus gros opérateurs. Les attaquants tentent aujourd’hui de remonter la chaîne de sous-traitance en s’attaquant aux maillons les plus faibles.

Dans ce contexte, combiné à l’évolution des outils, techniques et modèles d’attaque, liée à l’industrialisation des moyens mis en œuvre par les groupes d’attaquants, les prestataires informatiques doivent impérativement renforcer leurs compétences en cybersécurité pour protéger notre tissu socio-économique.

Pour les y aider, il semblait essentiel de créer les repères nécessaires, afin de leur offrir un accompagnement vers le développement de ces nouvelles compétences.

C’est dans cet esprit que le Campus Cyber Nouvelle-Aquitaine, avec le GIP ACYMA (Cybermalveillance.gouv.fr), l’AFNOR et le concours de l’ANSSI a publié le référentiel de Compétences Cyber pour les prestataires, en mars 2023.

Complémentaire au référentiel, le présent guide vise à éclairer, avec méthode, le chemin à parcourir. Structuré et concis, il permettra à tous les prestataires de se familiariser avec les principaux concepts et outils nécessaires à l’élévation de la sécurité numérique des organisations qu’ils accompagnent.

Ce guide est le fruit de l’engagement de la société YPSI, membre du Campus cyber Nouvelle-Aquitaine et surtout de son dirigeant, Yann Pilpré, comme moi animé de la volonté de faire de notre région un territoire de confiance numérique.

Guy FLAMENT

Directeur du Campus régional de cybersécurité et de confiance numérique de Nouvelle-Aquitaine.

Présentation du Guide

La pandémie de COVID-19 a conduit les organisations à se transformer rapidement sur le plan numérique. Cependant, cette transition n'a pas toujours été suivie d'une sécurisation adéquate des infrastructures et d'un accompagnement par des prestataires compétents en cybersécurité, surtout dans un contexte géopolitique instable avec des crises économiques importantes.

Pour répondre à cette problématique, la création du label Expert Cyber a été mise en place par la plateforme cybermalveillance.gouv.fr, permettant aux organisations d'identifier des prestataires qualifiés pour sécuriser leurs systèmes et les assister en cas d'attaque. Malgré cela, la pénurie de compétences en cybersécurité a nécessité la mise en place de nouvelles mesures pour augmenter le nombre de spécialistes dans ce domaine.

Ainsi, établi sur le cadre méthodologique du NIST CSF¹, un référentiel de compétences cyber pour les prestataires, couvrant les cinq activités principales de la cybersécurité et regroupant une cinquantaine de domaines de compétences pour les prestataires s'adressant aux TPE-PME, a été conçu par le Campus régional de cybersécurité et de confiance numérique de Nouvelle-Aquitaine², l’AFNOR³, Le GIP ACYMA⁴ et l’ANSSI⁵.

Les prestataires informatiques peuvent alors faire monter leurs équipes en compétences pour atteindre le niveau adéquat en cybersécurité et répondre aux besoins de leurs clients.

Ce guide va vous permettre d'appréhender la cybersécurité à travers le cadre NIST CSF et ses différentes étapes, mais également aborder la cybersécurité par la pratique dans une vision Attaque/Défense, complétée par un aperçu de la réglementation en France.

Note de Lecture

Le terme "organisation a été préféré à entreprise" dans l’ouvrage pour faciliter la lecture et l’adaptation aux structures privées, publiques ou associatives.

Le terme "prestataire" dans l’ouvrage désigne un acteur économique qui délivre des services d’intégration, d’installation ou de support dans le domaine informatique pour ses clients.

Certaines informations techniques et juridiques ont pu évoluer depuis la rédaction et la publication de ce guide (avril 2023). Veuillez vous reporter aux informations officielles des organismes ayant autorité sur la cybersécurité en France (ANSSI, CNIL⁶, cybermalveillance.gouv.fr) en cas de doute.

Échelle de Compétences des Prestataires

Maîtriser toute la chaîne de protection en cybersécurité demande un effort important pour le prestataire informatique et ce guide est fait pour vous aider à progresser dans cette démarche. L’objectif étant de vous familiariser avec plusieurs concepts pour atteindre le niveau expérimenté et vous faire labelliser en tant qu’Expert Cyber. Cela demandera de la pratique, du temps à consacrer pour vos équipes, mais vous pourrez à l’issue de ce processus justifier de compétences pour sécuriser vos clients et gérer des incidents de cybersécurité

LES EXPERTS CYBER

Les Experts Cyber sont des êtres éclairés,

Experts en défense de l'informatique et du réseau,

Leur vigilance et leur savoir-faire sans égalité,

Font face aux attaques qui se présentent en un écho.

Leurs yeux scrutent les lignes de code avec attention,

Ils détectent les faiblesses avec une acuité redoutable,

Leur connaissance de la sécurité sans concession,

Est un atout majeur pour toute entreprise respectable.

Ils protègent les données, les réseaux et les systèmes,

Contre les menaces qui les guettent à chaque instant,

Leur mission est de garantir la sécurité suprême,

Et d'éviter que les cybercriminels ne soient triomphants.

Ils sont les gardiens de la sécurité informatique,

Les protecteurs de la vie privée et de l'intégrité,

Leur expertise est un rempart contre les attaques maléfiques,

Et leur vigilance permet de garder la sérénité.

1 LE CADRE NIST CSF

Le cadre NIST de cybersécurité (NIST Cybersecurity Framework)⁷ ou NIST CSF est un ensemble de directives et de meilleures pratiques développées par le National Institute of Standards and Technology (NIST) pour aider les organisations à gérer les risques de cybersécurité. Il a été publié pour la première fois en 2014 et a été actualisé en 2021, en intégrant la partie la sécurité de la production logicielle (Software Supply Chain Security)

Le NIST CSF est une référence largement utilisée par les organisations pour évaluer et améliorer leur posture en matière de cybersécurité. Il peut être adapté en fonction des besoins spécifiques de chaque organisation et est applicable à tous les secteurs et tailles d'organisations.

Pour simplifier la lecture, nous utiliserons l’acronyme NIST pour nommer le NIST CSF.

1.1 POURQUOI CHOISIR CETTE MÉTHODE ?

Les principes du NIST sont largement acceptés et reconnus dans le monde de la cybersécurité, ce qui en fait une référence pour les organisations. Le respect de ces principes permet donc de répondre aux attentes et aux exigences des organisations en matière de sécurité. Le respect des principes du NIST permet de garantir une approche systématique et cohérente de la sécurité des systèmes d'information. Cela assure de mettre en place , par le prestataire, des mesures de sécurité efficaces et adaptées aux risques auxquels l'organisation est exposée.

Il assure aussi de se conformer à certaines réglementations en termes de sécurité, telles que le RGPD⁸ ou la directive NIS2⁹ en Europe. Enfin, il renforce la confiance des clients dans le prestataire de services informatiques, ce qui peut conduire à une fidélisation de la clientèle et à une augmentation de la réputation du prestataire ou de l’intégrateur.

Bien qu'il n'existe pas de certification NIST pour les prestataires, il leur est possible de justifier de ses compétences sur ces domaines en se labellisant Expert Cyber via la plateforme cybermalveillance.gouv.fr par l'AFNOR.

1.1.1 LE LABEL EXPERTCYBER

Le label ExpertCyber est un programme lancé par

Avis sur Guide de cybersécurité

[benzaza.laid · Évaluation : 5 sur 5 étoiles]

livre presque parle de touts les volets , pour comprendre les en enjeux et gagner du temps